这道题目是一道代码审计题
源码:
题目思路是:变量覆盖,反序列化漏洞
看到源码里面有parse_str()函数,这个函数如果没有带array()这个参数,将会导致变量被重新赋值
过first http://192.168.133.167:88/web2/index.php?first=doller
过 var http://192.168.133.167:88/web2/index.php?first=doller&a=var=give
过 bbb http://192.168.133.167:88/web2/index.php?first=doller&a=var=give%26bbb=me
这里用%26不能用&是因为bbb这些参数都要算是a的值
如果用&那么bbb就不算是a的值,就会当作是一个新的变量,那么$_GET[‘a’]就获 取不到bbb的值,也就不能重新赋值了
过 ccc
http://192.168.133.167:88/web2/index.php?first=doller&a=var=give%26bbb=me%26ccc=flag
下面post进去一个值,然后将这个值反序列化,这里就是反序列化漏洞的利用了
看class
反序列化漏洞就是对魔术方法的利用,这里有__wake() function ,一旦进行反序列化,那么就会执行这个函数,但是这个函数是可以绕过的,只要传进去的反序列,属性的数目比真正的数目多,那么就会绕过这个__wake() ,但是漏洞应该是受php版本限制的,我windows下面的php 是 php7.0.7的,可以成功绕过,直接执行__destruct() 。但是我的linux下面的php是php7.0.32的,这个函数就不能绕过了。不知道比赛的环境是怎样的,还是按正常流程来
魔术方法的执行顺序这里不说,前面已经写过相关的笔记
看class 的流程
传去的 私有变量 args 要求是一个array() ,然后对传进来的值进行waf处理
对很多字符都进行了过滤 ,不输入这些字符就好,不影响
下面还对flag进行了过滤,但是只要重写flag就可以了,
执行完之后,程序结束之前,会自动执行__destruct() function
这里有一个call_user_func_array(array($this, $this->method), $this->args),可以执行任意函数,但是上面判断是method这个参数要等于echo ,代码也重写了echo这个函数
call_user_func_array(array($this, $this->method), $this->args),这个函数要求$this->args是一个数组
参数$host的值就是args的值,如果$host的值是ls ,那么就会直接输出echo ls ,因为它这里将ls当成一个字符串了,那么可以用 ` ` 括起来(这两个是esc下面那个东东),就是
Echo `ls` ,那么就会先执行ls,然后再执行echo
下面构造payload
注意变量是private,还是public
Private的变量,序列化之后是看不到的,所以要经过urldecode 才能看到
输入发送过去就会将当前的目录的文件列出来
如果要查看一个文件的内容就要 cat 1.php
但是空格被过滤了,这里就要用到$IFS,
$IFS是Linux下面的一个环境变量,它的意思可以是空格,换行,tab等
可以将源码读出来了
结束了,为什么要那样子构建payload,在前面的笔记文章里面有详细的说,这里不详细说了
我自己搭建了一个docker,名称是nienie/ubuntu16_php7_apache2:3.0
里面有包含了web1 web2 web3的环境,不是比赛的环境,可能有些小问题,请自行修改。