本文主要是介绍[CISCN2019 华北赛区 Day1 Web1]Dropbox详解,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
刷题记录[CISCN2019 华北赛区 Day1 Web1]Dropbox
php8.0中phar自动反序列化已经被修复
一、知识点:信息搜集,Phar反序列化
- phar知识点分析
phar文件的结构主要分为四个部分:
- stub
phar文件的表示,类似于gif文件的GIF89a,以 xxx<?php xxx;__HALT__COMPILER();?>为固定形式,前面内容可以变,点必须以__HALT__COMPILER();?>结尾。
2. a mainfest describing the contents
该部分是phar文件中被压缩的文件的一些信息,其中meta-data部分的信息会被序列化,即执行serialize()函数,而phar://就相当于对这部分的内容进行反序列化,此处也正是漏洞点所在。
- the file contents
这部分存储的是文件的内容,在没有其它特殊要求的情况下,这里面的内容不做约束。
- a signature for verifying Phar integrity
数字签名。放在最末。
phar反序列化使用前提条件
- phar反序列化使用条件
-
phar文件可上传
-
文件流操作函数如
file_exists(),file_get_content(),fopne()要有可利用的魔法方法作为“跳板”。 -
文件流参数可控,且
phar://协议可用。
注意:想要生成phar文件记得把php.ini中的phar.readonly选项设置为Off,否则将无法生成phar文件
要找到php.ini的话,linux下,若已经配置了php环境的话,可以用find命令寻找绝对路径;windows下可以直接在phpmystudy或xmapp中找到打开。
- phar文件生成基本架构
二.做题过程
有了这些前置知识以后,我们在回过头来看这道题。前期是跟phar一点关系没有,简单就是一个信息搜集的过程。如果没有搜集到,那么直接可以G了,233.
首先简单的注册登录,进入以后我们发现左上角有一个上传文件的功能,然后我们先随便建个文档上传提交,发现它要求得文件类型只能是gif/jpg/png的类型,然后进一步测试发现,只更改文件后缀名是没有用的,需要抓包更改其Content-Type为image/jpeg或其它图片格式的对应字符串。
然后我们就发现文件上传成功了。上传成功后我们发现对文件可以进行两个操作,下载和删除。一般来讲,我们看到下载这个字眼的时候,可以联想到这里是不是可能存在任意文件下载的漏洞。然后我们进一步抓包分析,发现果然如此。
下面的filename是可控的,并且很明显内容就是下载的文件,所以我们想着把所有功能的源代码进行下载。但是,这里有一点小坑,就是它的download.php之类的文件并不是放在当前目录下的,而是上级目录的上级目录(emm,你要问问什么我知道,我只能说我是试出来的,因为这个文件肯定存在)
所以我们通过这个download.php将index.php,delete.php,download.php,class.php(class.php是在index.php中的include中发现的)下载下来,我自己是只下载了这四个源码,但其实也够用了,其实还有一个upload.php。然后就开始了代码审计。接下来,附上代码
- class.php
<?php
error_reporting(0);
$dbaddr = "127.0.0.1";
$dbuser = "root";
$dbpass = "root";
$dbname = "dropbox";
$db = new mysqli($dbaddr, $dbuser, $dbpass, $dbname);class User {public $db;public function __construct() {global $db;$this->db = $db;}public function user_exist($username) {$stmt = $this->db->prepare("SELECT `username` FROM `users` WHERE `username` = ? LIMIT 1;");$stmt->bind_param("s", $username);$stmt->execute();$stmt->store_result();$count = $stmt->num_rows;if ($count === 0) {return false;}return true;}public function add_user($username, $password) {if ($this->user_exist($username)) {return false;}$password = sha1($password . "SiAchGHmFx");$stmt = $this->这篇关于[CISCN2019 华北赛区 Day1 Web1]Dropbox详解的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
