Hello there, ('ω')ノ

 

PHARデシリアライズを使用してカスタムガジェットチェーンをデプロイするを。

 

このラボでは、PHARの逆シリアル化を高度なハッキング手法と組み合わせると。

カスタムガジェットチェーンを介してリモートでコードが実行されて。

 

まずは、ログインして。

 

 

JPGをアバターとしてアップロードして。

 

 

インターセプトしてリクエストを見ていくと下記のリクエストが。

 

 

履歴を見ると上記のリクエストは表示されていないものの。

下記のレスポンスから呼ばれているようで。

 

 

Imagesにチェックを入れてリクエストが表示されるようにしておいて。

 

 

 

cgi-binのリクエストをSendすると。

レスポンスにCustomTemplate.php〜ファイルを見つけることができて。

 

 

バックアップ拡張子を使用してファイルをリクエストすると。

file_exists()が、lockFilePath属性で呼び出されていて。

 

 

Blog.phpでは、Twigテンプレートエンジンを使用していることがわかって。

これで、デシリアライズを使用してSSTIペイロードを渡すことができて。

 

 

下記からTwigでリモートコード実行するためのSSTIペイロードをダウンロードして。

これは、ファイルを削除するPHPスクリプトを含んだphar-jpg-polyglotで。

https://github.com/PortSwigger/serialization-examples/blob/master/php/phar-jpg-polyglot.jpg

 

 

ファイルをアップロードして。

 

 

アバターをロードするリクエストをリピータへ。

 

 

phar://ストリームでアップロードした悪意のあるアバターを。

逆シリアル化するようにリクエストをSendすると。

 

 

クリアできた。

 

 

Best regards, (^^ゞ