[CISCN2019 华北赛区 Day1 Web1]Dropbox

最新推荐文章于 2024-05-18 11:04:16 发布
最新推荐文章于 2024-05-18 11:04:16 发布
阅读量1.3k 收藏 2
点赞数
分类专栏: buuctf刷题 php 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63231007/article/details/128859533
版权

前言:

这道题本来是在合集里的,但是 题目出得非常不错,值得单独拿出来学习记录一下。环环相扣,找拿flag的点和考点是可以,具体实现起来,涉及到很多知识点需要注意、同时需要一定的代码阅读能力,不得不感叹出题人的思路 以及 代码功能的实现👍👍👍

知识点:

  • ini_set(“open_basedir”,  ):

在in_set这个函数中,可以设置php的一些配置,其中就包括open_basedir ,用来限制当前程序可以访问的目录。它是可以访问设置目录下的所有下级目录。
若"open_basedir = /dir/user", 那么目录 “/dir/user” 和 “/dir/other"都是可以访问的。所以如果要将访问限制在仅为指定的目录,请用斜线结束路径名。”."可代表当前目录,open_basedir也可以同时设置多个目录,在Windows中用分号分隔目录,在任何其它系统中用冒号分隔目录。例如此题的download.php:
ini_set(“open_basedir”, getcwd() . “:/etc:/tmp”); 就是只可以访问当前目录、/etc和/tmp三个目录

  • function __call($func, $args) 

__call($func,$args)会在对象调用的方法不存在时,自动执行。 $func:被调用的方法名,所以$func()在这个魔术方法中,可以表示被调用的那个方法; $args : 被调用方法中的参数(这是个数组)

  • phar反序列化

参考:Phar反序列化_葫芦娃42的博客-CSDN博客

 

进入题目,注册一个admin:admin; 登录,发现一个上传文件,上传个🐎试试

 提示  only gif/jpg/png allowed

一般看见下载/删除,都会有一个download.php   可能会存在任意文件下载的漏洞

通过测试,发现filename参数可控  下载index.php发现文件不存在,可能是路径原因 通过测试,index.php在其上级目录的上级目录 

filename=../../index.php

看见index.php里 include了class.php

class.php:

<?php
error_reporting(0);
$dbaddr = "127.0.0.1";
$dbuser = "root";
$dbpass = "root";
$dbname = "dropbox";
$db = new mysqli($dbaddr, $dbuser, $dbpass, $dbname);

class User {
    public $db;

    public function __construct() {
        global $db;
        $this->db = $db;
    }

    public function user_exist($username) {
        $stmt = $this->db->prepare("SELECT `username` FROM `users` WHERE `username` = ? LIMIT 1;");
        $stmt->bind_param("s", $username);
        $stmt->execute();
        $stmt->store_result();
        $count = $stmt->num_rows;
        if ($count === 0) {
            return false;
        }
        return true;
    }

    public function add_user($username, $password) {
        if ($this->user_exist($username)) {
            return false;
        }
        $password = sha1($password . "SiAchGHmFx");
        $stmt = $this->db->prepare("INSERT INTO `users` (`id`, `username`, `password`) VALUES (NULL, ?, ?);");
        $stmt->bind_param("ss", $username, $password);
        $stmt->execute();
        return true;
    }

    public function verify_user($username, $password) {
        if (!$this->user_exist($username)) {
            return false;
        }
        $password = sha1($password . "SiAchGHmFx");
        $stmt = $this->db->prepare("SELECT `password` FROM `users` WHERE `username` = ?;");
        $stmt->bind_param("s", $username);
        $stmt->execute();
        $stmt->bind_result($expect);
        $stmt->fetch();
        if (isset($expect) && $expect === $password) {
            return true;
        }
        return false;
    }

    public function __destruct() {
        $this->db->close();
    }
}

class FileList {
    private $files;
    private $results;
    private $funcs;

    public function __construct($path) {
        $this->files = array();
        $this->results = array();
        $this->funcs = array();
        $filenames = scandir($path);

        $key = array_search(".", $filenames);
        unset($filenames[$key]);
        $key = array_search("..", $filenames);
        unset($filenames[$key]);

        foreach ($filenames as $filename) {
            $file = new File();
            $file->open($path . $filename);
            array_push($this->files, $file);
            $this->results[$file->name()] = array();
        }
    }

    public function __call($func, $args) {
        array_push($this->funcs, $func);
        foreach ($this->files as $file) {
            $this->results[$file->name()][$func] = $file->$func();
        }
    }

    public function __destruct() {
        $table = '<div id="container" class="container"><div class="table-responsive"><table id="table" class="table table-bordered table-hover sm-font">';
        $table .= '<thead><tr>';
        foreach ($this->funcs as $func) {
            $table .= '<th scope="col" class="text-center">' . htmlentities($func) . '</th>';
        }
        $table .= '<th scope="col" class="text-center">Opt</th>';
        $table .= '</thead><tbody>';
        foreach ($this->results as $filename => $result) {
            $table .= '<tr>';
            foreach ($result as $func => $value) {
                $table .= '<td class="text-center">' . htmlentities($value) . '</td>';
            }
            $table .= '<td class="text-center" filename="' . htmlentities($filename) . '"><a href="#" class="download">下载</a> / <a href="#" class="delete">删除</a></td>';
            $table .= '</tr>';
        }
        echo $table;
    }
}

class File {
    public $filename;

    public function open($filename) {
        $this->filename = $filename;
        if (file_exists($filename) && !is_dir($filename)) {
            return true;
        } else {
            return false;
        }
    }

    public function name() {
        return basename($this->filename);
    }

    public function size() {
        $size = filesize($this->filename);
        $units = array(' B', ' KB', ' MB', ' GB', ' TB');
        for ($i = 0; $size >= 1024 && $i < 4; $i++) $size /= 1024;
        return round($size, 2).$units[$i];
    }

    public function detele() {
        unlink($this->filename);
    }

    public function close() {
        return file_get_contents($this->filename);
    }
}
?>

download.php: 

<?php
session_start();
if (!isset($_SESSION['login'])) {
    header("Location: login.php");
    die();
}
 
if (!isset($_POST['filename'])) {
    die();
}
 
include "class.php";
ini_set("open_basedir", getcwd() . ":/etc:/tmp");
 
chdir($_SESSION['sandbox']);
$file = new File();
$filename = (string) $_POST['filename'];
if (strlen($filename) < 40 && $file->open($filename) && stristr($filename, "flag") === false) {
    Header("Content-type: application/octet-stream");
    Header("Content-Disposition: attachment; filename=" . basename($filename));
    echo $file->close();
} else {
    echo "File not exist";
}
?>

delete.php

<?php
session_start();
if (!isset($_SESSION['login'])) {
    header("Location: login.php");
    die();
}

if (!isset($_POST['filename'])) {
    die();
}

include "class.php";

chdir($_SESSION['sandbox']);
$file = new File();
$filename = (string) $_POST['filename'];
if (strlen($filename) < 40 && $file->open($filename)) {
    $file->detele();
    Header("Content-type: application/json");
    $response = array("success" => true, "error" => "");
    echo json_encode($response);
} else {
    Header("Content-type: application/json");
    $response = array("success" => false, "error" => "File not exist");
    echo json_encode($response);
}
?>

可以定义了很多类,那考点肯定就是序列化反序列化这里了。 审计代码,file_get_contents() 函数 $filename参数没有过滤,肯定是通过此得到flag。

定义的是 close 函数,我们看看哪里调用了这个close()

发现在 User类里的__destruct() 调用了 close()。寻找可以触发 __destruct的unserialize(). 没有。

这里就考到了phar反序列化:phar://伪协议,我们便不再需要unserialize(),phar的特性,他在解析phar文件时时会自动对里面的内容进行反序列化。 再有 前面只允许上传图片,phar可以解析png后缀,因此考点肯定是phar反序列化。

在 File类中的 open()方法,会给$this-filename = $filename. download.php和delete.php里存在 但是download.php会受到init_set("openbase_dir",) 的限制,因此只有delete.php可以触发phar反序列化。 里面的 $file->open()里的file_exists()函数 和 $file->delete()的unlink()函数会触发phar反序列化

 

下面开始找链子:

在File类中,close方法存在file_get_contents()函数,在User中,会调用改方法$this->db->close(),如果有回显的化,我们就可以直接构造如下payload:

<?php
class User {
	public $db;
}
class File {
	public $filename = "/flag.txt";
}
$a = new User();
$a->db = new File();
?>

生成对应的phar文件即可。

但是没有回显,那么我们就让$this->db = new FileList(),让它去调用close。然而当执行FileList->close()时,因为FileList类中没有close()这个方法所以会调用FileList->_call()从而遍历全文件找close()方法

public function __call($func, $args) {
    array_push($this->funcs, $func);
    foreach ($this->files as $file) {
        $this->results[$file->name()][$func] = $file->$func();
    }
}

看一下这个call函数,它会把close当成参数传入$func, $this->func()的结果会被赋值给  $this->results[$file->name()] 这个一维数组,即我们的file_get_contents('/flag.txt') ,构成了一个$this->results二维数组(也就是$this->results[文件名]['close']) 学过c语言 二维数组更好理解一点。   这个二维数组中的 $this->results['/flag.txt']['close'] 即为我们的flag

调用完__call(),$this->results二维数组赋值完之后。然后再调用 __destruct()函数 去输出我们的flag

public function __destruct() {
        $table = '<div id="container" class="container"><div class="table-responsive"><table id="table" class="table table-bordered table-hover sm-font">';
        $table .= '<thead><tr>';
        foreach ($this->funcs as $func) {
            $table .= '<th scope="col" class="text-center">' . htmlentities($func) . '</th>';
        }
        $table .= '<th scope="col" class="text-center">Opt</th>';
        $table .= '</thead><tbody>';
        foreach ($this->results as $filename => $result) {
            $table .= '<tr>';
            foreach ($result as $func => $value) {
                $table .= '<td class="text-center">' . htmlentities($value) . '</td>';
            }
            $table .= '<td class="text-center" filename="' . htmlentities($filename) . '"><a href="#" class="download">下载</a> / <a href="#" class="delete">删除</a></td>';
            $table .= '</tr>';
        }
        echo $table;
    }

 foreach ($this->results as $filename => $result) 每次把每个一级数组的值,传递给$result,即$this-results[filename][]

foreach ($result as $func => $value) 每次把每个二级数组的值,传递给$value

最终echo $table 打印出来全部数据

链子:

User->_destruct => FileList->close() => FileList->_call('close') => File->close('/flag.txt') => $results=file_get_contents('flag.txt') => FileList->_destruct() => echo $result

 poc.php

注:download.php文件中 open_basedir 限制了当前程序可以访问的目录

ini_set("open_basedir", getcwd() . ":/etc:/tmp");

因此我们只能用 delete.php 去触发phar反序列化

生成的phar文件后缀为png上传,

传入 filename=phar://a.png

成功$value带出来,把flag回显出来了 得到flag

葫芦娃42
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
利用PHAR协议进行PHP反序列化攻击1
08-03
乎所有件操作函数都可触发 phar 反序列化题地址:[CISCN2019 华北赛区 Day1 Web1]Dropbox(链接:进题后,随意注册账号上传件,上传点
BUUCTF-WEBCISCN2019 华北赛区 Day1 Web1】Dropbox 1
qq_36410265的博客
02-08 287
反序列化
CISCN2019_华北赛区_Day1_Web1-Dropbox
抒情诗
10-23 331
好长时间没做web了,web狗太难了 首先得检讨一下,我竟然将近三天没做web题目了,这这这还是一个web狗应该做的吗?反思一下呜呜呜。。。 phar反序列化 什么是phar反序列化呢? 下面的文章可能会有点帮助来自jianshu 按照我的理解来说呢,就是把危险的文件上传到服务器?然后借助某些功能与危险函数实现危险的操作,太笼统了。具体来说呢就是php文件系统中很大一部分的函数在通过phar://解析时,存在着对meta-data(在这里<meta-data>区域面搞反序列化的pop链)反序列化
[CISCN2019 华北赛区 Day1 Web1]Dropbox 1
plant1234的博客
10-01 963
phar文件的表示,类似于gif文件的GIF89a,以 xxx为固定形式,前面内容可以变,点必须以__HALT__COMPILER();?>结尾。该部分是phar文件中被压缩的文件的一些信息,其中meta-data部分的信息会被序列化,即执行serialize()函数,而phar://就相当于对这部分的内容进行反序列化,此处也正是漏洞点所在。这部分存储的是文件的内容,在没有其它特殊要求的情况下,这里面的内容不做约束。数字签名。放在最末。1、phar文件可上传。
dropbox:Codepath节点Beta课程分配1
05-24
保管箱Codepath节点Beta课程作业1:Dropbox 这是一个基本的Dropbox克隆,可跨多个远程文件夹同步文件。特征必需的 客户端可以发出GET请求以获取文件或目录内容 客户端可以发出HEAD请求以仅获取GET标头 客户端可以...
MySQL-DropBox_dertz1_MYSQL_
10-04
脚本语言服务端php实现,这是一个用php脚本语言写的CMS建站
node_dropbox:Assign1 - Nodejs Dropbox 项目
06-08
Assign1 - Nodejs Dropbox 项目 这是一个基本的 Dropbox 克隆,用于跨多个远程文件夹同步文件。 耗时:15小时 所需功能 客户端可以发出 GET 请求以获取文件或目录内容 - 完成客户端可以发出 HEAD 请求以仅获取 GET...
Cloudclient:用于 Dropbox 等云服务的 Web 客户端
05-30
Dropbox 等云服务的 Web 客户端。 尽管我想添加更多服务,例如Box.com和Google云端硬盘,但它目前仅支持Dropbox。 它主要在 JavaScript 中工作,虽然它使用 PHP“代理”连接到 Dropbox API,主要是为了简化 OAuth ...
[CISCN2019 华北赛区 Day1 Web1]Dropbox (phar反序列化)
qq_45699846的博客
03-11 2430
[CISCN2019 华北赛区 Day1 Web1]Dropbox (phar反序列化)
[CTFTraining] CISCN 2019 华北赛区 Day1 Web1
ZXW_NUDT的博客
06-05 1804
[CTFTraining] CISCN 2019 华北赛区 Day1 Web1
BUUCTF [CISCN2019 华北赛区 Day1 Web1]Dropbox 1
weixin_45642610的博客
07-08 1149
进入页面随便注册一个账号,登录。 随便上传一个图片。 用burpsuite拦截下载页面,里面有任意文件下载文件,可以下载源码。 用../../index.php格式把index.php,download.php, delete.php下载,打开发现用到class.php,也下了。 #index.php <?php session_start(); if (!isset($_SESSION['login'])) { header("Location: login.php"); die
[CISCN2019 华北赛区 Day1 Web1]Dropbox详解
SHININGENDING的博客
04-23 1889
[CISCN2019 华北赛区 Day1 Web1]Dropbox 一、知识点:信息搜集,Phar反序列化 phar知识点分析 phar文件的结构主要分为四个部分: stub phar文件的表示,类似于gif文件的GIF89a,以 xxx<?php xxx;__HALT__COMPILER();?>为固定形式,前面内容可以变,点必须以__HALT__COMPILER();?>结尾。 2. a mainfest describing the contents 该部分是phar...
如何构建基因单倍型网络
最新发布
hgz2020的博客
05-18 660
单倍型分析
[ciscn2019 华北赛区 day1 web1]dropbox
06-06
这是一道Web安全题目,要求我们通过访问网站,获取到flag。 题目中给出了一个网站地址,我们可以直接访问该网站。进入网站后,我们可以看到一个登录界面,要求我们输入用户名和密码。 我们可以尝试一些常见的用户名和密码,但是都无法登录成功。因此,我们需要通过其他方式来获取flag。 我们可以尝试一些常见的Web漏洞,比如SQL注入、XSS等。在这个题目中,我们可以尝试一些文件上传漏洞。 我们可以通过Burp Suite等工具,来拦截网站的上传请求,然后修改上传的文件,来获取flag。 具体的操作步骤如下: 1. 使用Burp Suite等工具,拦截上传请求。 2. 修改上传的文件,将文件名改为flag.php。 3. 将上传的文件类型改为php。 4. 将上传的文件内容改为以下内容: <?php echo "flag{xxxxxxxxxxxxxxxxxxxx}"; ?> 其中,xxxxxxxxxxxxxxxxxxxx为flag的具体内容。 5. 发送修改后的上传请求,上传文件。 6. 访问上传的文件,即可获取flag。 通过以上步骤,我们就可以成功获取到flag了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值