NSSROUND 1zweb(revenge)刷题心得

最新推荐文章于 2024-06-02 11:15:53 发布
最新推荐文章于 2024-06-02 11:15:53 发布
阅读量387 收藏 6
点赞数 9
分类专栏: ctf刷题记录 代码审计系列 文章标签: 网络安全 web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74925562/article/details/135429865
版权

知识点:

php代码审计,文件读取漏洞,文件上传绕过,phar协议反序列化漏洞

开始

打开靶场
在这里插入图片描述
首先有一个查询文件的功能和一个文件读取的功能,一开始以为是文件上传的漏洞,嘎嘎传(虽然我也不太熟悉文件上传),后面发现不行,应该是网站在后端限制了文件上传的后缀,观察到这里有个文件查询的功能应该是文件读取,试一下直接读flag
在这里插入图片描述
不行,那就直接读取当前页面index.php,
在这里插入图片描述
成功
复制出来
在这里插入图片描述
通过代码审计,我们可以看到,这里有php的魔术方法,有对flag的正则匹配限制,但是这里没有unserialize()函数,猜想这里应该是利用了phar协议的反序列化来拿flag

Phar反序列化

Phar之所以能反序列化,是因为Phar文件会以序列化的形式存储用户自定义的meta-data,PHP使用phar_parse_metadata在解析meta数据时,会调用php_var_unserialize进行反序列化操作。
在这里插入图片描述
通过f12看到还有一个upload.php文件,读它复制出来
在这里插入图片描述
可以看到首先是对文件后缀的限制,然后是对phar文件里的_HALT_COMPILER();进行匹配,这个函数是phar文件的标志性函数,这种限制手法是有漏洞的,可以绕过的,我们可以将phar文件用linux的gzip进行压缩来加密它,以此来绕过此检测,在上面的魔术方法的图里看到了wakeup函数,在php低版本里,可以通过修改属性个数大于实际属性个数,来绕过wakeup函数,但是因为phar文件生成时是自动进行序列化的,所以我们我们需要修改文件,phar文件生成时会进行签名,来防止被修改,所以修改文件后我们需要对phar文件重新签名,phar文件有几种不同的加密签名选择,默认签名方法应该是要看生成phar文件的php版本

构造恶意phar文件

生成文件
在这里插入图片描述

修改文件

通过winhex来修改属性个数
在这里插入图片描述
然后再利用修复签名的python脚本,将签名修复
python脚本

from hashlib import sha256
with open('test.phar', 'rb') as file:
    f = file.read() 
s = f[:-28] # 获取要签名的数据
h = f[-8:] # 获取签名类型和GBMB标识
newf = s + sha256(s).digest() + h # 数据 + 签名 + (类型 + GBMB)
with open('newtest.phar', 'wb') as file:
    file.write(newf) # 写入新文件

通过kali自带的gzip对phar文件进行压缩

不压缩的话phar的文件头还是会被识别出来
然后修改文件后缀为任意白名单后缀上传,解毕

logan.x
关注
  • 9
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Revenge Storm高帮 x_revenge x storm官网地址 revenge x storm是什么牌子
weixin_39563823的博客
12-21 8306
revenge x storm官网地址revenge x storm官网地址为:https://store.kix-files.com/collections/revenge-x-storm由 Ian Connor 主理品牌 Revenge x Storm 出品却与 VANS Old Skool 鞋型“激似”的这双“闪电鞋”,在今年早些时候就以迅雷不及掩耳之势席卷了整个欧美的时尚潮流界,随后这股风...
[NSSRound#3 Team]jump_by_jump_revenge
qq_61156124的博客
04-13 447
有可能加一个96仍超出范围,因此用了一个循环,一个一个加也行。加密过程有一个求模运算,解密时如果超出范围要加回去。更好理解,其实就是超出ASCII编码范围就加回去。
bestphp‘s revenge 1
m0_62129839的博客
02-20 154
因为$b变量已经被我们覆盖成了call_user_func,那么此时的程序,就变成了call_user_func(call_user_func,array($_session,‘welcome_to_the_lctf2018’));9. $_session这个对象,会去调用“welcome_to_the_lctf2018”这个不存在的方法,于是__call方法被。
[NSSRound#4] 复现
qq_61768489的博客
08-12 1111
可以看到下面的句子跟原棋盘数量一样,也就是我们要给原棋盘涂色,玩完之后能组成下面的句子并且颜色相符。是无法被正常解析的,所以需要修改签名,让他变成一个正常的phar文件还需要对phar文件进行修改。文件的签名是第一次生成文件的时候自动生成的,所以当我们修改数据过后,由于签名错误,这个。将文件压缩为zip文件,并把后缀改为png文件,这样文件内容和后缀白名单检测都绕过了。这里对文件后后缀进行了白名单,也对phar文件内容进行了检测,伪了绕过这两点。zip打不开,是把zip文件头换成rar了,换回去。.....
[NSSRound#4 SWPU]1zweb
m0_70819573的博客
03-13 544
index.php中只需要绕过_wakeup魔术方法就行了,可以考虑增加自然属性个数或增加属性个数来绕过,因为upload.php会检查stub,所以压缩文件成zip(注意要用winhex改变属性个数,不然签名会改变),用phar://伪协议来读取文件。得到aa.phar.gz,改文件名为1.jpg上交,用phar读取发现签名损坏,所以要进行签名修复,phar由data,data签名(20位),和签名格式(8位)组成。可以用读取文件读取index.php,upload.php的源码。
Revenge:创建私人的 1v1 复仇战
05-30
复仇 创建私人的 1v1 复仇战。
revenge
03-12
项目名称:复仇!... 级别:初学者。 :handshake: 如何贡献? 进行公关的步骤在我们不是合作者的项目中: 创建要协作的项目的分支。 克隆存储库。 创建一个遥控器。 执行原始存储库的拉取。 创建一个新分支。...
ON Hamlet Hesitation ; Revenge ; Criticism
09-25
Abstract: The Hamlet’ s scruple is dealt with , which has been disputed for a long time. Hamlet’ s hesitation shows kindness and conscience of the human nature. Hamlet is not the individual tragedy ...
Quatros-Revenge
05-13
Quatros-Revenge 从头开始用Javascript构建的太空射击游戏,没有任何库。 享受!
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8259
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
渗透测试之Web安全系列教程(一)
最新发布
fearhacker的专栏
06-02 623
script 标签 的 src 属性,指向跨域脚本的URL地址!如果客户端,是我们自己编制的浏览器,或者是自己编制的可以解析网页内容的脚本,那么,我们是可以突破同源策略限制的!由于 浏览器的同源策略,并没有对 script 等标签进行同源限制,这导致了 恶意黑客 可以利用这一特性,并通过一些 Web 网站中所存在的XSS注入漏洞,将一些恶意的代码(包含 script 相关内容,而 script 的 src 属性的值,可能是指向某个其它域的、包含木马脚本的URL地址)内容嵌入到 Web 网站的指定页面中。
网络安全VIP>第一篇《工业互联网安全
Else 的博客
05-28 975
工业互联网的网络是基础,平台是核心,安全是保障。信息化会提高工业化的生产效率,但信息化本身具备两面性。一方面它可以让信息交互更加顺畅,共享更加快捷;但另一方面是带来相应的安全威胁。
HFish蜜罐实践:网络安全防御的主动出击
weixin_43822401的博客
05-29 622
HFish蜜罐作为一种主动防御工具,通过模拟易受攻击的服务,吸引攻击者,不仅能有效捕获攻击行为,还能为安全分析和溯源提供宝贵信息。HFish蜜罐作为一种先进的网络安全防御工具,不仅能够有效地捕获和分析攻击行为,还能为安全专家提供攻击溯源的重要线索。为每个节点配置蜜罐服务,如FTP、SSH、Telnet等,这些服务作为诱饵,用于吸引并捕获攻击者的行为。收集所有连接和攻击节点的IP信息,通过分析这些信息,刻画攻击者画像,构建私有情报库。利用攻击者使用的工具漏洞,进行信息提取和溯源,确定攻击者的身份和来源。
网络安全等级保护,三级等保技术建议书(word原件获取)
2302_79423711的博客
06-02 260
本文末个人名片直接获取所有资料。
CTF网络安全大赛简单的web抓包题目:HEADache
Pythonit教程网
05-20 1122
题目 描  述: > Wanna learn about some types of headache?红客网:blog.hongkewang.cn。”,就能获取到flag,完成题目了。直接在抓包到的页面添加请求头“题目来源于:bugku。
网络安全(黑客)—-2024自学手册
xv7676的博客
05-18 2135
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试”等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
语音控制系统的安全挑战与防御策略(下)
声纹感知 洞察芯声
05-29 1000
活性检测已成为VCS中一种普遍的防御策略,主要设计用来确定语音命令是否来自真实的人类。这种方法背后的基本前提是,大多数恶意命令都是机器生成的。这些命令通常通过扬声器播放或直接通过音频文件(如WAV文件)输入到VCS API中。与这些人工产生的命令不同,真正的人类用户不会以这种方式生成语音命令。因此,通过识别人类语音的特征,活性检测旨在过滤掉这些非人类、机器生成的输入,从而增强VCS的安全性。
Recommend a movie from the top global trending movies to me.
04-02
1. Nomadland (2020) - A film about a woman who becomes a modern-day nomad after losing everything in the Great Recession. 2. The Father (2020) - A drama about a man who struggles with memory loss as ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值