前言
记一次CTF练习有感,觉得需要记录一波…还有就是最近CTF比赛中利用php原生类来进行反序列化的题目比较多,所以就紧跟时代潮流…
一.SPL
顾名思义,SPL就是Standard PHP Library的缩写。据手册显示,SPL是用于解决典型问题(standard problems)
的一组接口与类的集合。打开手册,正如上面的定义一样,有许多封装好的类。因为是要解决典型问题,免不了有一些处理文件的类。
一.可遍历目录类
DirectoryIterator
FilesystemIterator
GlobIterator
与上面略不同,该类可以通过模式匹配来寻找文件路径。
二.可读取文件类
SplFileObject
在此函数中,URL 可作为文件名,不过也要受到allow_url_fopen
影响。
二.文件系统相关扩展
finfo
该类的构造函数finfo::__construct
— 别名 finfo_open()
,也可以读取文件。
三.例题
题目是websec上面的第12关
题目可以见源码就一句
echo new [class]([first parameter],[second parameter]);
类的名字可控,类的参数可控,个数为二,题目说过滤了(实际可以绕过)上述提到的`splfileobject
, globiterator
, filesystemiterator
,and directoryiterator
等诸多函数,考虑使用finfo
类,正好开了此拓展。
可以读到文件,但是$key
未知
关键代码大致如下:
<?php ini_set('display_errors', 'on'); ini_set('error_reporting', E_ALL); .... $key = ini_get ('user_agent'); if ($_SERVER['REMOTE_ADDR'] === '127.0.0.1') { if ($_SERVER['HTTP_USER_AGENT'] !== $key) { die ("Cheating is bad, m'kay?"); } } $i = 0; $flag = ''; foreach (str_split (base64_decode ($text)) as $letter) { $flag .= chr (ord ($key[$i++]) ^ ord ($letter)); }
要想得到flag,则需要知道php.ini
文件中的user_agent
,尝试读取php.ini
文件,路径未知,无果。
尝试使用SplFileObject
访问VPS,得到服务器自身的user_agent。利用绕过得到
user_agent
四.问题成因分析
调试一下为什么finfo
会将文件信息(当然这一些都是建立在程序警告、报错消息开启的情况下
ini_set('display_errors', 'on');ini_set('error_reporting', E_ALL);
)爆出来的原因。
编译过程就略过了,用的是php-7.0的源码。在ext/fileinfo/fileinfo.c
文件的285行出下断点。也即finfo_open
函数处
/* {{{ proto resource finfo_open([int options [, string arg]]) Create a new fileinfo resource. */ PHP_FUNCTION(finfo_open) { zend_long options = MAGIC_NONE; char *file = NULL;
1.php
内容为:
<?php ini_set('display_errors', 'on'); ini_set('error_reporting', E_ALL); echo new finfo(1,'1.php')
忽略一些过渡的函数调用如magic_load
->file_apprentice
->apprentice_1
->apprentice_load
->load_1
来到 ext/fileinfo/apprentice.c
文件1025行处,也即load_1
函数处
/* * Load and parse one file. */ private void load_1(struct magic_set *ms, int action, const char *fn, int *errs,#flag struct magic_entry_set *mset) { char buffer[BUFSIZ + 1]; char *line = NULL; size_t len; size_t lineno = 0; struct magic_entry me; php_stream *stream; ms->file = fn; stream = php_stream_open_wrapper((char *)fn, "rb", REPORT_ERRORS, NULL); if (stream == NULL) { if (errno != ENOENT) file_error(ms, errno, "cannot read magic file `%s'", fn); (*errs)++; return; } memset(&me, 0, sizeof(me)); /* read and parse this file */ for (ms->line = 1; (line = php_stream_get_line(stream, buffer , BUFSIZ, &len)) != NULL; ms->line++) { if (len == 0) /* null line, garbage, etc */ continue; if (line[len - 1] == 'n') { lineno++; line[len - 1] = ''; /* delete newline */ }
php_stream_get_line
函数将finfo
要读取的文件一行行读出
随后将一行行内容进入parse
函数进行解析,
switch (parse(ms, &me, line, lineno, action)) { case 0: continue; case 1: (void)addentry(ms, &me, mset);
parse
函数解析内容是否有效
/* * parse one line from magic file, put into magic[index++] if valid */ private int parse(struct magic_set *ms, struct magic_entry *me, const char *line, size_t lineno, int action) {
对于不符合magic文件内容格式的则会发出相应警告,从而一句句报出文件信息。
file_magwarn(ms, "offset `%s' invalid", l);#1802行 file_magwarn(ms, "type `%s' invalid", l); #1950行
五.后记:
上诉里面有一些东西只是简单提一下,希望能抛砖引玉。在一些情况下,如反序列化和其他某些特定场所,原生文件操作类也许能发挥不小的作用。