m0_68976043的博客

我们来看一下这个样本，它提交的一个参数是 StringBuilder，cmd，把我们执行结果转换成一个流放进InputStreamReader进行一个包装，把字节流转换成字符流，执行之后把结果放入stringBuilder.toString();而这个WebShell为什么可以绕过，正因为它加载的是一个字节码，没有任何关键词，所以我们来尝试进行一个执行，很明显咱们的一个命令执行已经生效了，并且权限相当大可以执行net user。运行一下看看相当于对这个类生成了一个字节码。也可以执行一个计算器。

雷池官网docker安装我的版本是看官网介绍主要防御top10。

这个漏洞很早之前了，但是为了避免大家在面试等等的时候被问到，这里给大家温习一下CSRF全程是没有黑客参与的，全程都是用户自己在操作。

那既然这样我们怎么去处理呢，这个是非常巧妙的current是返回当前数组的元素，也就是当前数组的值current，此时它就从current重新变成了current($_POST[a])($_POST[b]),变成它a是一个数组，b就是你的任意命令。当然，这只是两款免费的webshell查杀工具，当前我们算是绕过了，但如果是花钱买的，这个动态传参多半是可以监控到的，因为用户可以控制，至少免费的绕过了，如何去利用呢，call_user_func老朋友了，回调函数。

我们经过前面文章很清楚知道，shiro是将数据存储在内存当中，内存落盘实现一个数据存储，而当其结合python，python将登录的session存储到shiro里面就会造成一个反序列化漏洞看看环境登录信息存到session序列化一个引擎序列化存入那我们就需要反序列化的方式取出pass：python序列化的两个方法pickle.dumps、pickle.loads。

网上自己找vulhub-master.zip，我这里没用docker，本地自己搭建的。

pass:readis【6379】未授权访问（写入webshell，物理路径，写入任务计划（反弹webshell），写入公钥（直接登录服务器））很盛行，因为低版本90%的人基本上不会设置密码，但到2024年有些企业很注意这个点了，大部分人也开始设置了。所以像 mysql 的服务，因为也是基于 tcp 协议开发，所以用 dict 协议的方式打开也能强行读取一些 mysql 服务的返回内容，比如我本地开的mysql我们尝试读取。pikachu，这里我直接docker拉取的，我只写原理，靶场都是随便找的。

蚁剑官网拉取。

首先disable_function不能禁用mail和error_log这两个函数，因为putenv可以创建环境变量，可以把LD_PRELOAD环境变量创建出来，加载我们创建的一个.so文件，而我们的mail函数在执行的时候会创建一个新进程调用sendmail，sendmail会创建系统服务getuid，而我们创建的恶意的.so文件恰好就劫持了mail调用诸多函数的其中一个比如getuid，会提前执行我们的恶意函数，自然也就执行了。

那怎么污染的，我们通过结果看过程，最后因为svg是我们插进去的，在没有插进去之前div应该是第一个，相当于就是将root覆盖为了root，但是我们的命令在进去之前已经被js处理为数组了，所以最后[outerHTML]后面还有一个1去取payload。JavaScript中，数组的下标可以⽤字符或是字符串数字来取值，所以在原型链中，我们可 以给[]对象添加⼀个名称为1的属性，这样 temp 在通过下标 1 取值的时候，实际上取到的 是数组中属性为 1 的值。我们可以看到已经被污染。要求：弹出域名就算成功。

JavaScript 常被描述为一种基于原型的语言 (prototype-based language)——每个对象拥有一个原型对象，对象以其原型为模板、从原型继承方法和属性。原型对象也可能拥有原型，并从中继承方法和属性，一层一层、以此类推。这种关系常被称为原型链 (prototype chain)。

如果notify为真的话那么html是代码解析meme-code的值在页面随便输入一个text=aaaa&img=bbbbb很明显调用到这里因为text和img都存在了而我们可以很明显看到一点Meme Code没值，没值的话那就代表onload根本没有加载，当我们什么都没写的情况下很明显加载值了当我们把地址参数写对的情况下，我们的onload很明显是可以执行的而我们从始至终都没有看到created...，因为notify是false1.绕过过滤框架2.html 逃逸出style标签。

最后，再通过一张攻击流程图来回顾整个攻击过程。

docker直接搭建。

所谓rce简单来说就是可以执行系统命令的函数，举个例子php。

不完整的汉字导致转utf-8的时候被抛弃了。

通过审计代码中，有远程登录板块，而可以看到这个板块是从cookie中拿出来安全码，而上一步未授权我们已经成功拿到安全码，拿到后通过xxtea_decrypt这个函数进行解密，解密后进行一个反序列化。我们可以看到构造函数ip是通过X_FORWARDED_FOR来获取的，而这个刚好可以伪造，那我们再加着ishtml=1就达成了第一个要点未授权访问。我们将安全cookie添加到我们的index.php后，开始写我们的语句。原因：我们需要和源码是反着的，源码：先解码，再解密，再序列化。先序列化再加密再编码。

BUUCTF在线评测首先我们通过靶场进入发现是一个留言板通过dirsearch收集目录获取一个重要资产目录，我们通过访问，很清楚是一个.get的源码泄露,我们尝试恢复一下，恢复工具为githacker工具安装：开始恢复恢复源码如下2.2源码分析2.2.1源码中写了一个get[do]这个参数点击发帖我们可以看到而源码中这个地方没有注入点因为有addslashes（php中防注入函数）我们提交个数据看看详情，代码是走到了comment底下而这个地方很明显没有过滤而addslashes在

我们在注入的过程中很多时候利用的就是information_schema这个库获取 table_schema table_name, column_name这些数据库内的信息，而在市面上很多厂商的waf会对其进行过滤和黑名单，而我们在不使用information_schema库，那只能去看看mysql中其他与生俱来的库，这个时候sys库就尤为显眼。

一定添加--privileged不然只能拉取环境首页不显示。二、thinkphp远程代码执行。vulfocus网上自行下载。