前言

记一次CTF练习有感,觉得需要记录一波…还有就是最近CTF比赛中利用php原生类来进行反序列化的题目比较多，所以就紧跟时代潮流…

一.SPL

顾名思义，SPL就是Standard PHP Library的缩写。据手册显示，SPL是用于解决典型问题(standard problems)的一组接口与类的集合。打开手册，正如上面的定义一样，有许多封装好的类。因为是要解决典型问题，免不了有一些处理文件的类。

一.可遍历目录类

DirectoryIterator

FilesystemIterator

GlobIterator 与上面略不同，该类可以通过模式匹配来寻找文件路径。

二.可读取文件类

SplFileObject 在此函数中，URL 可作为文件名，不过也要受到allow_url_fopen影响。

二.文件系统相关扩展

finfo 该类的构造函数finfo::__construct — 别名 finfo_open(),也可以读取文件。

三.例题

题目是websec上面的第12关

题目可以见源码就一句

echo new [class]([first parameter],[second parameter]); 

类的名字可控，类的参数可控，个数为二，题目说过滤了(实际可以绕过)上述提到的`splfileobject, globiterator, filesystemiterator,and directoryiterator等诸多函数，考虑使用finfo类,正好开了此拓展。

可以读到文件，但是$key未知

关键代码大致如下：

<?php     ini_set('display_errors', 'on');     ini_set('error_reporting', E_ALL);     ....     $key = ini_get ('user_agent');     if ($_SERVER['REMOTE_ADDR'] === '127.0.0.1') {          if ($_SERVER['HTTP_USER_AGENT'] !== $key) {              die ("Cheating is bad, m'kay?");          }     }      $i = 0;     $flag = '';     foreach (str_split (base64_decode ($text)) as $letter) {         $flag .= chr (ord ($key[$i++]) ^ ord ($letter));     } 

要想得到flag，则需要知道php.ini文件中的user_agent，尝试读取php.ini文件，路径未知，无果。

尝试使用SplFileObject访问VPS，得到服务器自身的user_agent。利用绕过得到user_agent

四.问题成因分析

调试一下为什么finfo会将文件信息（当然这一些都是建立在程序警告、报错消息开启的情况下

ini_set('display_errors', 'on');ini_set('error_reporting', E_ALL);）爆出来的原因。

编译过程就略过了，用的是php-7.0的源码。在ext/fileinfo/fileinfo.c文件的285行出下断点。也即finfo_open函数处

/* {{{ proto resource finfo_open([int options [, string arg]])    Create a new fileinfo resource. */ PHP_FUNCTION(finfo_open) {     zend_long options = MAGIC_NONE;     char *file = NULL; 

1.php内容为:

<?php ini_set('display_errors', 'on'); ini_set('error_reporting', E_ALL); echo new finfo(1,'1.php') 

忽略一些过渡的函数调用如magic_load->file_apprentice->apprentice_1->apprentice_load->load_1来到 ext/fileinfo/apprentice.c文件1025行处，也即load_1函数处

/*  * Load and parse one file.  */ private void load_1(struct magic_set *ms, int action, const char *fn, int *errs,#flag    struct magic_entry_set *mset) {     char buffer[BUFSIZ + 1];     char *line = NULL;     size_t len;     size_t lineno = 0;     struct magic_entry me;      php_stream *stream;       ms->file = fn;     stream = php_stream_open_wrapper((char *)fn, "rb", REPORT_ERRORS, NULL);      if (stream == NULL) {         if (errno != ENOENT)             file_error(ms, errno, "cannot read magic file `%s'",                    fn);         (*errs)++;         return;     }      memset(&me, 0, sizeof(me));     /* read and parse this file */     for (ms->line = 1; (line = php_stream_get_line(stream, buffer , BUFSIZ, &len)) != NULL; ms->line++) {         if (len == 0) /* null line, garbage, etc */             continue;         if (line[len - 1] == 'n') {             lineno++;             line[len - 1] = ''; /* delete newline */         } 

php_stream_get_line函数将finfo要读取的文件一行行读出

随后将一行行内容进入parse函数进行解析，

        switch (parse(ms, &me, line, lineno, action)) {             case 0:                 continue;             case 1:                 (void)addentry(ms, &me, mset); 

parse函数解析内容是否有效

/*  * parse one line from magic file, put into magic[index++] if valid  */ private int parse(struct magic_set *ms, struct magic_entry *me, const char *line,     size_t lineno, int action) { 

对于不符合magic文件内容格式的则会发出相应警告，从而一句句报出文件信息。

    file_magwarn(ms, "offset `%s' invalid", l);#1802行     file_magwarn(ms, "type `%s' invalid", l);  #1950行 

五.后记：

上诉里面有一些东西只是简单提一下，希望能抛砖引玉。在一些情况下，如反序列化和其他某些特定场所，原生文件操作类也许能发挥不小的作用。