0x00.感悟
写完这道题,我感觉到了扫源码的重要性。暑假复现的那些CVE,有的就是任意文件读取,有的是任意命令执行,这些应该都是通过代码审计,得到的漏洞。也就和我们的CTF差不多了。
但是我们扫目录,字典是个大问题,我目前还没有搞懂为什么有些文件,只能被一些特定的软件扫到。比如这道题,这个dirsearch,连www.zip这样的变态目录都能扫出来,为什么扫不出update.php这样极其常见的目录。而且题目的源码,就只能用dirsearch扫到,dirb和nikto就不行。但nikto却可以扫到另一道题“fakebook”的源码。有人说是字典的问题,可我感觉这些常见的目录,这些软件的字典里,应该都有吧。(这些软件不是很强的吗!)
0x01.知识点
1.1 url传递数组
当我们要向服务器传递数组时,我们可以通过http://127.0.0.1/index.php?a[]=hello&a[]=world
来传递,这样,在后端,$a = $_GET['a'];
就可以接收到 $a[0]=“hello”, $a[1]=“world”。
1.2 数组的遍历
-
foreach (array_expression as $value)
-
foreach (array_expression as $key => $value)
第一种格式遍历给定的 array_expression 数组。每次循环中,当前单元的值被赋给 $value 并且数组内部的指针向前移一步(因此下一次循环中将会得到下一个单元)。
第二种格式做同样的事,只除了当前单元的值赋给$value外,键名也会在每次循环中被赋给变量 $key。
<?php
$arr = array(1, 2, 3, 4);
foreach ($arr as &$value) {
$value = $value * 2;
}
$ arr is now array(2, 4, 6, 8)
unset($value); 最后取消掉引用
?>
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
$a = array(
"one" => 1,
"two" => 2,
"three" => 3,
"seventeen" => 17
);
foreach ($a as $k => $v) {
echo "\$a[$k] => $v.\n";
}
输出 $a[one] => 1. $a[two] => 2. $a[three] => 3. $a[seventeen] => 17.
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
1.3数组绕过正则即相关
- md5(Array()) = null
- sha1(Array()) = null
- ereg(pattern,Array()) =null
- preg_match(pattern,Array()) = false
- strcmp(Array(), “abc”) =null
- strpos(Array(),“abc”) = null
- strlen(Array()) = null
1.4 改变序列化长度,导致反序列化漏洞
unserialize(str) 会忽略能够正常序列化的字符串后面的字符串。也是这到题最厉害的一点。像这样的一个字符串,我们可以可以不用反序列话,就能知道它反序列化后是什么,因为它是有规律的。
a:4:{s:5:“phone”;s:11:“11111111111”;s:5:“email”;s:11:“1a2s@qq.com”;s:8:“nickname”;s:3:“123”;s:5:“photo”;s:39:“upload/f3b94e88bd1bd325af6f62828c8785dd”;}a:4
指的是由一个数组序列化而来,并且有4个值。如果是对象的话,好像是把a改成了O。然后就是一个键值名,一个变量值:s:5:"phone";
第一个键值名,是string类型的,长度为五,s:11:"11111111111";
第一个变量值,string类型,长度为11.这就是它的规律。如果我们在这个序列化字符串的后面,再加上一些字符,后面的字符是不会被反序列化的
0x02 实践
2.1 找源码
我们先扫描,我可是记住了,不管啥题,先扫描。而且还的不同软件多扫几遍,防止遗漏。反正这道题,我用御剑是扫不出来,我给字典里加上www.zip还是扫不出来,不知道为什么!我们用dirsearch扫描一下,让后发现源码。
2.2 审计
打开后,开始审计,反正我是不会 。其实做的题多了,也就能发现,来来回回也就那几个函数。我们可以在config.php里看见flag,当后在profile.php里看见file_get_contents()函数,而且我发现一般有这个函数的同时,都会有序列化的事情。
profile = unserialize($profile);
$phone = $profile['phone'];
$email = $profile['email'];
$nickname = $profile['nickname'];
$photo = base64_encode(file_get_contents($profile['photo']));
- 1
- 2
- 3
- 4
- 5
当时光看代码,就看了一上午,感谢自己当时学了点C++面向对象的知识,虽然语言不一样,但思想是一样的。
然后再update里可以控制 $profile[‘nicjanme’] $profile[‘photo’]。那么思路就很明确了:让 $profile[‘photo’]的值为“config.php”,这这样就可以得到falg了。 我们可以利用反序列化漏洞,在nickname里加上";}s:5:"photo";s:10:"config.php";}
,这样它后面的upload什么的,就不是再反序列化了。我们可以看见在update.php里,代码是通过
if(preg_match('/[^a-zA-Z0-9_]/', $_POST['nickname']) || strlen($_POST['nickname']) > 10)
die('Invalid nickname');
- 1
- 2
来控制nickname的值的,但是如果我们传过去的是一个数组的话,这个过滤就凉了。但是传递过去之后,会先把序列化的值,保存在数据中:
而保存之前,还会再次过滤:
这也正式我们可以利用的地方,因为我们想让“";}s:5:“photo”;s:10:“config.php”;”被拼接在反序列化字符串里,而不是被当做nickname的值。因为“";}s:5:“photo”;s:10:“config.php”;}”是34个字符。那么我们就传递34个where,在序列化后,存入数据库时,会把where变成hacker,长度加一。这样代表nickname的“s”,就只能代表前34个hacker,即{s:6*34:hacker...kacker";}s:5:"photo";s:10:"config.php";}s:39:"upload/804f743824c0451b2f60d81b63b6a900";}
因为本来6*34个字符的长度=34个where+“length(s:39:“upload/804f743824c0451b2f60d81b63b6a900”;})”,所以反序列化后, $profile[‘nicjanme’] 就等于config.php了。