从一道CTF练习题浅谈php原生文件操作类

 

前言

记一次CTF练习有感,觉得需要记录一波…还有就是最近CTF比赛中利用php原生类来进行反序列化的题目比较多,所以就紧跟时代潮流…

 

一.SPL

顾名思义,SPL就是Standard PHP Library的缩写。据手册显示,SPL是用于解决典型问题(standard problems)的一组接口与类的集合。打开手册,正如上面的定义一样,有许多封装好的类。因为是要解决典型问题,免不了有一些处理文件的类。

一.可遍历目录类

DirectoryIterator

FilesystemIterator

GlobIterator 与上面略不同,该类可以通过模式匹配来寻找文件路径。

二.可读取文件类

SplFileObject 在此函数中,URL 可作为文件名,不过也要受到allow_url_fopen影响。

 

二.文件系统相关扩展

finfo 该类的构造函数finfo::__construct — 别名 finfo_open(),也可以读取文件。

 

三.例题

题目是websec上面的第12关

题目可以见源码就一句

echo new [class]([first parameter],[second parameter]);

类的名字可控,类的参数可控,个数为二,题目说过滤了(实际可以绕过)上述提到的`splfileobject, globiterator, filesystemiterator,and directoryiterator等诸多函数,考虑使用finfo类,正好开了此拓展。

可以读到文件,但是$key未知

关键代码大致如下:

<?php
    ini_set('display_errors', 'on');
    ini_set('error_reporting', E_ALL);
    ....
    $key = ini_get ('user_agent');
    if ($_SERVER['REMOTE_ADDR'] === '127.0.0.1') {
         if ($_SERVER['HTTP_USER_AGENT'] !== $key) {
             die ("Cheating is bad, m'kay?");
         }
    }
     $i = 0;
    $flag = '';
    foreach (str_split (base64_decode ($text)) as $letter) {
        $flag .= chr (ord ($key[$i++]) ^ ord ($letter));
    }

要想得到flag,则需要知道php.ini文件中的user_agent,尝试读取php.ini文件,路径未知,无果。

尝试使用SplFileObject访问VPS,得到服务器自身的user_agent。利用绕过得到user_agent

 

四.问题成因分析

调试一下为什么finfo会将文件信息(当然这一些都是建立在程序警告、报错消息开启的情况下

ini_set('display_errors', 'on');ini_set('error_reporting', E_ALL);)爆出来的原因。

编译过程就略过了,用的是php-7.0的源码。在ext/fileinfo/fileinfo.c文件的285行出下断点。也即finfo_open函数处

/* {{{ proto resource finfo_open([int options [, string arg]])
   Create a new fileinfo resource. */
PHP_FUNCTION(finfo_open)
{
    zend_long options = MAGIC_NONE;
    char *file = NULL;

1.php内容为:

<?php
ini_set('display_errors', 'on');
ini_set('error_reporting', E_ALL);
echo new finfo(1,'1.php')

忽略一些过渡的函数调用如magic_load->file_apprentice->apprentice_1->apprentice_load->load_1来到 ext/fileinfo/apprentice.c文件1025行处,也即load_1函数处

/*
 * Load and parse one file.
 */
private void
load_1(struct magic_set *ms, int action, const char *fn, int *errs,#flag
   struct magic_entry_set *mset)
{
    char buffer[BUFSIZ + 1];
    char *line = NULL;
    size_t len;
    size_t lineno = 0;
    struct magic_entry me;

    php_stream *stream;


    ms->file = fn;
    stream = php_stream_open_wrapper((char *)fn, "rb", REPORT_ERRORS, NULL);

    if (stream == NULL) {
        if (errno != ENOENT)
            file_error(ms, errno, "cannot read magic file `%s'",
                   fn);
        (*errs)++;
        return;
    }

    memset(&me, 0, sizeof(me));
    /* read and parse this file */
    for (ms->line = 1; (line = php_stream_get_line(stream, buffer , BUFSIZ, &len)) != NULL; ms->line++) {
        if (len == 0) /* null line, garbage, etc */
            continue;
        if (line[len - 1] == 'n') {
            lineno++;
            line[len - 1] = ''; /* delete newline */
        }

php_stream_get_line函数将finfo要读取的文件一行行读出

随后将一行行内容进入parse函数进行解析,

        switch (parse(ms, &me, line, lineno, action)) {
            case 0:
                continue;
            case 1:
                (void)addentry(ms, &me, mset);

parse函数解析内容是否有效

/*
 * parse one line from magic file, put into magic[index++] if valid
 */
private int
parse(struct magic_set *ms, struct magic_entry *me, const char *line,
    size_t lineno, int action)
{

对于不符合magic文件内容格式的则会发出相应警告,从而一句句报出文件信息。

    file_magwarn(ms, "offset `%s' invalid", l);#1802行
    file_magwarn(ms, "type `%s' invalid", l);  #1950行

 

五.后记:

上诉里面有一些东西只是简单提一下,希望能抛砖引玉。在一些情况下,如反序列化和其他某些特定场所,原生文件操作类也许能发挥不小的作用。

(完)