[CISCN2019 华北赛区 Day1 Web1]Dropbox详解

刷题记录[CISCN2019 华北赛区 Day1 Web1]Dropbox

php8.0中phar自动反序列化已经被修复

一、知识点：信息搜集，Phar反序列化

• phar知识点分析

phar文件的结构主要分为四个部分：

1. stub

phar文件的表示，类似于gif文件的GIF89a，以 xxx<?php xxx;__HALT__COMPILER();?>为固定形式，前面内容可以变，点必须以__HALT__COMPILER();?>结尾。
2. a mainfest describing the contents

该部分是phar文件中被压缩的文件的一些信息，其中meta-data部分的信息会被序列化，即执行serialize()函数，而phar://就相当于对这部分的内容进行反序列化，此处也正是漏洞点所在。

3. the file contents

这部分存储的是文件的内容，在没有其它特殊要求的情况下，这里面的内容不做约束。

4. a signature for verifying Phar integrity

数字签名。放在最末。

phar反序列化使用前提条件

• phar反序列化使用条件

1. phar文件可上传

2. 文件流操作函数如file_exists(),file_get_content(),fopne()要有可利用的魔法方法作为“跳板”。

3. 文件流参数可控,且phar://协议可用。

注意：想要生成phar文件记得把php.ini中的phar.readonly选项设置为Off,否则将无法生成phar文件

要找到php.ini的话，linux下，若已经配置了php环境的话，可以用find命令寻找绝对路径；windows下可以直接在phpmystudy或xmapp中找到打开。

• phar文件生成基本架构
  

二.做题过程

有了这些前置知识以后，我们在回过头来看这道题。前期是跟phar一点关系没有，简单就是一个信息搜集的过程。如果没有搜集到，那么直接可以G了,233.

首先简单的注册登录，进入以后我们发现左上角有一个上传文件的功能，然后我们先随便建个文档上传提交，发现它要求得文件类型只能是gif/jpg/png的类型，然后进一步测试发现，只更改文件后缀名是没有用的，需要抓包更改其Content-Type为image/jpeg或其它图片格式的对应字符串。

然后我们就发现文件上传成功了。上传成功后我们发现对文件可以进行两个操作，下载和删除。一般来讲，我们看到下载这个字眼的时候，可以联想到这里是不是可能存在任意文件下载的漏洞。然后我们进一步抓包分析，发现果然如此。

下面的filename是可控的，并且很明显内容就是下载的文件，所以我们想着把所有功能的源代码进行下载。但是，这里有一点小坑，就是它的download.php之类的文件并不是放在当前目录下的，而是上级目录的上级目录（emm,你要问问什么我知道，我只能说我是试出来的，因为这个文件肯定存在）

所以我们通过这个download.php将index.php,delete.php,download.php,class.php(class.php是在index.php中的include中发现的)下载下来，我自己是只下载了这四个源码，但其实也够用了，其实还有一个upload.php。然后就开始了代码审计。接下来，附上代码

• class.php

<?php
error_reporting(0);
$dbaddr = "127.0.0.1";
$dbuser = "root";
$dbpass = "root";
$dbname = "dropbox";
$db = new mysqli($dbaddr, $dbuser, $dbpass, $dbname);class User {public $db;public function __construct() {global $db;$this->db = $db;}public function user_exist($username) {$stmt = $this->db->prepare("SELECT `username` FROM `users` WHERE `username` = ? LIMIT 1;");$stmt->bind_param("s", $username);$stmt->execute();$stmt->store_result();$count = $stmt->num_rows;if ($count === 0) {return false;}return true;}public function add_user($username, $password) {if ($this->user_exist($username)) {return false;}$password = sha1($password . "SiAchGHmFx");$stmt = $this->