扫码关注官方微信

扫码下载APP
返回顶部
首页 > 资讯 > 后端开发 > PHP编程 >[CISCN2019 华北赛区 Day1 Web1]Dropbox
  • 402

0
分享到

[CISCN2019 华北赛区 Day1 Web1]Dropbox

php 2023-09-11 05:09:54 402人浏览 安东尼
摘要

前言: 这道题本来是在合集里的,但是 题目出得非常不错,值得单独拿出来学习记录一下。环环相扣,找拿flag的点和考点是可以,具体实现起来,涉及到很多知识点需要注意、同时需要一定的代码阅读能力,不得不感叹出题人的思路 以及 代码功能的实现&#

前言:

这道题本来是在合集里的,但是 题目出得非常不错,值得单独拿出来学习记录一下。环环相扣,找拿flag的点和考点是可以,具体实现起来,涉及到很多知识点需要注意、同时需要一定的代码阅读能力,不得不感叹出题人的思路 以及 代码功能的实现👍👍👍

知识点:

  • ini_set(“open_basedir”,  ):

在in_set这个函数中,可以设置PHP的一些配置,其中就包括open_basedir ,用来限制当前程序可以访问的目录。它是可以访问设置目录下的所有下级目录。
若"open_basedir = /dir/user", 那么目录 “/dir/user” 和 “/dir/other"都是可以访问的。所以如果要将访问限制在仅为指定的目录,请用斜线结束路径名。”."可代表当前目录,open_basedir也可以同时设置多个目录,在windows中用分号分隔目录,在任何其它系统中用冒号分隔目录。例如此题的download.php
ini_set(“open_basedir”, getcwd() . “:/etc:/tmp”); 就是只可以访问当前目录、/etc和/tmp三个目录

  • function __call($func, $args) 

__call($func,$args)会在对象调用的方法不存在时,自动执行。 $func:被调用的方法名,所以$func()在这个魔术方法中,可以表示被调用的那个方法; $args : 被调用方法中的参数(这是个数组

  • phar反序列化

参考:Phar反序列化_葫芦娃42的博客-CSDN博客

 

进入题目,注册一个admin:admin; 登录,发现一个上传文件,上传个🐎试试

 提示  only gif/jpg/png allowed

一般看见下载/删除,都会有一个download.php   可能会存在任意文件下载的漏洞

通过测试,发现filename参数可控  下载index.php发现文件不存在,可能是路径原因 通过测试,index.php在其上级目录的上级目录 

filename=../../index.php

看见index.php里 include了class.php

class.php:

db = $db;    }    public function user_exist($username) {        $stmt = $this->db->prepare("SELECT `username` FROM `users` WHERE `username` = ? LIMIT 1;");        $stmt->bind_param("s", $username);        $stmt->execute();        $stmt->store_result();        $count = $stmt->num_rows;        if ($count === 0) {            return false;        }        return true;    }    public function add_user($username, $password) {        if ($this->user_exist($username)) {            return false;        }        $password = sha1($password . "SiAchGHmFx");        $stmt = $this->db->prepare("INSERT INTO `users` (`id`, `username`, `password`) VALUES (NULL, ?, ?);");        $stmt->bind_param("ss", $username, $password);        $stmt->execute();        return true;    }    public function verify_user($username, $password) {        if (!$this->user_exist($username)) {            return false;        }        $password = sha1($password . "SiAchGHmFx");        $stmt = $this->db->prepare("SELECT `password` FROM `users` WHERE `username` = ?;");        $stmt->bind_param("s", $username);        $stmt->execute();        $stmt->bind_result($expect);        $stmt->fetch();        if (isset($expect) && $expect === $password) {            return true;        }        return false;    }    public function __destruct() {        $this->db->close();    }}class FileList {    private $files;    private $results;    private $funcs;    public function __construct($path) {        $this->files = array();        $this->results = array();        $this->funcs = array();        $filenames = scandir($path);        $key = array_search(".", $filenames);        unset($filenames[$key]);        $key = array_search("..", $filenames);        unset($filenames[$key]);        foreach ($filenames as $filename) {            $file = new File();            $file->open($path . $filename);            array_push($this->files, $file);            $this->results[$file->name()] = array();        }    }    public function __call($func, $args) {        array_push($this->funcs, $func);        foreach ($this->files as $file) {            $this->results[$file->name()][$func] = $file->$func();        }    }    public function __destruct() {        $table = '
';        $table .= '';        foreach ($this->funcs as $func) {            $table .= '';        }        $table .= '';        $table .= '';        foreach ($this->results as $filename => $result) {            $table .= '';            foreach ($result as $func => $value) {                $table .= '';            }            $table .= '';            $table .= '';        }        echo $table;    }}class File {    public $filename;    public function open($filename) {        $this->filename = $filename;        if (file_exists($filename) && !is_dir($filename)) {            return true;        } else {            return false;        }    }    public function name() {        return basename($this->filename);    }    public function size() {        $size = filesize($this->filename);        $units = array(' B', ' KB', ' MB', ' GB', ' TB');        for ($i = 0; $size >= 1024 && $i < 4; $i++) $size /= 1024;        return round($size, 2).$units[$i];    }    public function detele() {        unlink($this->filename);    }    public function close() {        return file_get_contents($this->filename);    }}?>
download.php: 
open($filename) && stristr($filename, "flag") === false) {    Header("Content-type: application/octet-stream");    Header("Content-Disposition: attachment; filename=" . basename($filename));    echo $file->close();} else {    echo "File not exist";}?>
delete.php
open($filename)) {    $file->detele();    Header("Content-type: application/json");    $response = array("success" => true, "error" => "");    echo json_encode($response);} else {    Header("Content-type: application/json");    $response = array("success" => false, "error" => "File not exist");    echo json_encode($response);}?>
可以定义了很多类,那考点肯定就是序列化反序列化这里了。 审计代码,file_get_contents() 函数 $filename参数没有过滤,肯定是通过此得到flag。
定义的是 close 函数,我们看看哪里调用了这个close()
发现在 User类里的__destruct() 调用了 close()。寻找可以触发 __destruct的unserialize(). 没有。
这里就考到了phar反序列化:phar://伪协议,我们便不再需要unserialize(),phar的特性,他在解析phar文件时时会自动对里面的内容进行反序列化。 再有 前面只允许上传图片,phar可以解析png后缀,因此考点肯定是phar反序列化。
在 File类中的 open()方法,会给$this-filename = $filename. download.php和delete.php里存在 但是download.php会受到init_set("openbase_dir",) 的限制,因此只有delete.php可以触发phar反序列化。 里面的 $file->open()里的file_exists()函数 和 $file->delete()的unlink()函数会触发phar反序列化
 
下面开始找链子:
在File类中,close方法存在file_get_contents()函数,在User中,会调用改方法$this->db->close(),如果有回显的化,我们就可以直接构造如下payload:
db = new File();?>
生成对应的phar文件即可。
但是没有回显,那么我们就让$this->db = new FileList(),让它去调用close。然而当执行FileList->close()时,因为FileList类中没有close()这个方法所以会调用FileList->_call()从而遍历全文件找close()方法
public function __call($func, $args) {    array_push($this->funcs, $func);    foreach ($this->files as $file) {        $this->results[$file->name()][$func] = $file->$func();    }}
看一下这个call函数,它会把close当成参数传入$func, $this->func()的结果会被赋值给  $this->results[$file->name()] 这个一维数组,即我们的file_get_contents('/flag.txt') ,构成了一个$this->results二维数组(也就是$this->results[文件名]['close']) 学过c语言 二维数组更好理解一点。   这个二维数组中的 $this->results['/flag.txt']['close'] 即为我们的flag
调用完__call(),$this->results二维数组赋值完之后。然后再调用 __destruct()函数 去输出我们的flag
public function __destruct() {        $table = '
' . htmlentities($func) . 'Opt
' . htmlentities($value) . '下载 / 删除
                    
';        $table .= '';        foreach ($this->funcs as $func) {            $table .= '';        }        $table .= '';        $table .= '';        foreach ($this->results as $filename => $result) {            $table .= '';            foreach ($result as $func => $value) {                $table .= '';            }            $table .= '';            $table .= '';        }        echo $table;    }
 foreach ($this->results as $filename => $result) 每次把每个一级数组的值,传递给$result,即$this-results[filename][]
foreach ($result as $func => $value) 每次把每个二级数组的值,传递给$value
最终echo $table 打印出来全部数据
  
链子:
  
User->_destruct => FileList->close() => FileList->_call('close') => File->close('/flag.txt') => $results=file_get_contents('flag.txt') => FileList->_destruct() => echo $result
 
 poc.php
注:download.php文件中 open_basedir 限制了当前程序可以访问的目录
ini_set("open_basedir", getcwd() . ":/etc:/tmp");
因此我们只能用 delete.php 去触发phar反序列化
生成的phar文件后缀为png上传,
传入 filename=phar://a.png
成功$value带出来,把flag回显出来了 得到flag
来源地址:https://blog.csdn.net/weixin_63231007/article/details/128859533

您可能感兴趣的文档:




--结束END--


 本文标题: [CISCN2019 华北赛区 Day1 Web1]Dropbox


 本文链接: https://lsjlt.com/news/402751.html(转载时请注明来源链接)


有问题或投稿请发送至:
邮箱/279061341@qq.com    QQ/279061341





猜你喜欢







    

  • 

    

    

    [CISCN2019 华北赛区 Day1 Web1]Dropbox
    
 
    前言: 这道题本来是在合集里的,但是 题目出得非常不错,值得单独拿出来学习记录一下。环环相扣,找拿flag的点和考点是可以,具体实现起来,涉及到很多知识点需要注意、同时需要一定的代码阅读能力,不得不感叹出题人的思路 以及 代码功能的实现&#...

    

     

    

    

    

    

    99+
    

    2023-09-11
    

    
php

    

    

    

    

    • 











软考高级职称资格查询















热门wiki
















近期文章
















推荐阅读
















热门问答















热门标签














        

            

                

                    

                    
编程网,编程工程师的家园,是目前国内优秀的开源技术社区之一,形成了由开源软件库、代码分享、资讯、协作翻译、讨论区和博客等几大频道内容,为IT开发者提供了一个发现、使用、并交流开源技术的平台。
                    

                

                

                    

                        
                    

                    

                        
                    

                

                

                    
    
                        
  • 
                            
    
                            
    官方手机版
    
                        
    • 
                        
  • 
                            
    
                            
    微信公众号
    
                        
    • 
                        
  • 
                            
    
                            
    商务合作
    
                        
    • 
                        
    
                    

                

                

            

        

        

            

                

                    
                

                

            

        

    
' . htmlentities($func) . 'Opt
' . htmlentities($value) . '下载 / 删除