本文详细复现了SCTF2021 web挑战Upload_it_1的解决过程,主要涉及闭包组件的反序列化漏洞。通过分析composer.json导入的组件,发现与序列化相关。利用目录穿越将文件写入tmp目录,并操控session文件,构造恶意闭包实现远程代码执行(RCE)。在exploit构造中,利用LazyString的__toString方法。最终,通过观察phpinfo()确认session存储类型为file,利用__sleep方法调用__toString完成攻击。
题目地址
SycloverTeam提供了题目的docker环境
https://github.com/SycloverTeam/SCTF2021/tree/master/web/Upload_it_1
wp
首先题目给了composer.json
{
"name": "sctf2021/upload",
"authors": [
{
"name": "AFKL",
"email": "[email protected]"
}
],
"require": {
"symfony/string": "^5.3",
"opis/closure": "^3.6"
}
}
导入了两个包,那就肯定是组件相关的攻击了
"symfony/string": "^5.3",
"opis/closure": "^3.6"
composer update一下
第二个组件是关于闭包反序列化的,所以猜测和序列化有关
index.php内的主要逻辑代码
if (!empty($_POST['path'])) {
$upload_file_path = $_SESSION["upload_path"]."/".$_POST['path'];
$upload_file = $upload_file_path."/".$file['name'];
} else {
$upload_file_path = $_SESSION["
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
