從一道CTF練習題淺談php原生檔案操作類
前言
記一次CTF練習有感,覺得需要記錄一波…還有就是最近CTF比賽中利用php原生類來進行反序列化的題目比較多,所以就緊跟時代潮流…
一.SPL
顧名思義,SPL就是Standard PHP Library的縮寫。據手冊顯示,SPL是用於解決 典型問題(standard problems) 的一組介面與類的集合。開啟 ofollow,noindex" target="_blank">手冊 ,正如上面的定義一樣,有許多封裝好的類。因為是要解決典型問題,免不了有一些處理檔案的類。
一.可遍歷目錄類
DirectoryIterator
FilesystemIterator
GlobIterator 與上面略不同,該類可以通過模式匹配來尋找檔案路徑。
二.可讀取檔案類
SplFileObject 在此函式中,URL 可作為檔名,不過也要受到 allow_url_fopen 影響。
二.檔案系統相關擴充套件
finfo 該類的建構函式 finfo::__construct — 別名 finfo_open() ,也可以讀取檔案。
三.例題
題目是websec上面的 第12關
題目可以見原始碼就一句
echo new [class]([first parameter],[second parameter]);
類的名字可控,類的引數可控,個數為二,題目說過濾了(實際可以繞過)上述提到的 splfileobject , globiterator , filesystemiterator ,and directoryiterator 等諸多函式,考慮使用 finfo 類,正好開了此拓展。
可以讀到檔案,但是 $key 未知
關鍵程式碼大致如下:
<?php
ini_set('display_errors', 'on');
ini_set('error_reporting', E_ALL);
....
$key = ini_get ('user_agent');
if ($_SERVER['REMOTE_ADDR'] === '127.0.0.1') {
if ($_SERVER['HTTP_USER_AGENT'] !== $key) {
die ("Cheating is bad, m'kay?");
}
}
$i = 0;
$flag = '';
foreach (str_split (base64_decode ($text)) as $letter) {
$flag .= chr (ord ($key[$i++]) ^ ord ($letter));
}
要想得到flag,則需要知道 php.ini 檔案中的 user_agent ,嘗試讀取 php.ini 檔案,路徑未知,無果。
嘗試使用 SplFileObject 訪問VPS,得到伺服器自身的user_agent。利用 繞過得到 user_agent
四.問題成因分析
除錯一下為什麼 finfo 會將檔案資訊(當然這一些都是建立在程式警告、報錯訊息開啟的情況下
ini_set('display_errors', 'on');ini_set('error_reporting', E_ALL); )爆出來的原因。
編譯過程就略過了,用的是php-7.0的原始碼。在 ext/fileinfo/fileinfo.c 檔案的285行出下斷點。也即 finfo_open 函式處
/* {{{ proto resource finfo_open([int options [, string arg]])
Create a new fileinfo resource. */
PHP_FUNCTION(finfo_open)
{
zend_long options = MAGIC_NONE;
char *file = NULL;
1.php 內容為:
<?php
ini_set('display_errors', 'on');
ini_set('error_reporting', E_ALL);
echo new finfo(1,'1.php')
忽略一些過渡的函式呼叫如 magic_load -> file_apprentice -> apprentice_1 -> apprentice_load -> load_1 來到 ext/fileinfo/apprentice.c 檔案1025行處,也即 load_1 函式處
/*
* Load and parse one file.
*/
private void
load_1(struct magic_set *ms, int action, const char *fn, int *errs,#flag
struct magic_entry_set *mset)
{
char buffer[BUFSIZ + 1];
char *line = NULL;
size_t len;
size_t lineno = 0;
struct magic_entry me;
php_stream *stream;
ms->file = fn;
stream = php_stream_open_wrapper((char *)fn, "rb", REPORT_ERRORS, NULL);
if (stream == NULL) {
if (errno != ENOENT)
file_error(ms, errno, "cannot read magic file `%s'",
fn);
(*errs)++;
return;
}
memset(&me, 0, sizeof(me));
/* read and parse this file */
for (ms->line = 1; (line = php_stream_get_line(stream, buffer , BUFSIZ, &len)) != NULL; ms->line++) {
if (len == 0) /* null line, garbage, etc */
continue;
if (line[len - 1] == 'n') {
lineno++;
line[len - 1] = ''; /* delete newline */
}
php_stream_get_line 函式將 finfo 要讀取的檔案一行行讀出
隨後將一行行內容進入 parse 函式進行解析,
switch (parse(ms, &me, line, lineno, action)) {
case 0:
continue;
case 1:
(void)addentry(ms, &me, mset);
parse 函式解析內容是否有效
/*
* parse one line from magic file, put into magic[index++] if valid
*/
private int
parse(struct magic_set *ms, struct magic_entry *me, const char *line,
size_t lineno, int action)
{
對於不符合magic檔案內容格式的則會發出相應警告,從而一句句報出檔案資訊。
file_magwarn(ms, "offset `%s' invalid", l);#1802行 file_magwarn(ms, "type `%s' invalid", l);#1950行
五.後記:
上訴裡面有一些東西只是簡單提一下,希望能拋磚引玉。在一些情況下,如反序列化和其他某些特定場所,原生檔案操作類也許能發揮不小的作用。