[羊城杯 2020]easyser - 反序列化+SSRF+伪协议(绕过死亡die)

已于 2023-10-08 16:45:42 修改
阅读量1k 收藏
点赞数
文章标签: web安全 安全 ctf php 伪协议 ssrf
于 2023-10-08 16:41:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ozuoshen123/article/details/133674625
版权
本文记录了解决羊城杯2020中easyser挑战的过程,涉及SSRF漏洞利用和伪协议。通过ctf-wscan扫描、分析HTTP协议的使用,发现可以绕过限制进入ser.php。通过构造序列化数据,利用arjun工具找到参数,最终通过蚁剑连接获取flag。
摘要由CSDN通过智能技术生成

[羊城杯 2020]easyser

2

一、解题过程

(一)、一阶段

  1. 可以直接使用ctf-wscan扫描一下有什么文件,或者直接试试robots.txt能不能行
    1
    直接打开star1.php
    1
    看到这页面,和页面提示,基本和SSRF有关系了
  2. F12看提示: 小胖说用个不安全的协议从我家才能进ser.php呢! !
    意思就是http协议就能进ser.php,回顾一下http协议咋用的?
    http://ser.php ×
    http://127.0.0.1/ser.php √
    3. 


                

                
                
        

        

    

  


        

            

                

                

                了解本专栏
                
                
                  
                订阅专栏 解锁全文
                 
                
                    
                    超级会员免费看
                
            

            
            
            
        

    

      

        

            

              
                
                  Hillain
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          

                

                        订阅专栏
                









                



	

		

			

				
					
ChatGPT-Next-Web SSRF漏洞+XSS漏洞复现(CVE-2023-49785)

				
			

			

				

					0xSec
				

				

					03-14
					
					1609
					
				

			

		

		

			
				
2024年3月,互联网上披露CVE-2023-49785 ChatGPT-Next-Web SSRF/XSS漏洞,未经身份验证的攻击者可利用此漏洞构造恶意请求获取系统内部敏感信息及配置文件,造成信息泄露。

			
		

	



                

              
                



	

		

			

				
					
buu-[羊城 2020]easyre

				
			

			

				

					qaq517384的博客
				

				

					03-30
					
					544
					
				

			

		

		

			
				
无壳64位exe

运行还是老样子

查看字符串,先放一个base64在这里

跟进主函数
int __cdecl main(int argc, const char **argv, const char **envp)
{
  int v3; // eax
  int v4; // eax
  int v5; // eax
  int result; // eax
  char Str; // [rsp+20h] [rbp-60h]
  char Str1; // [rsp+50h] [rbp-30h]


			
		

	



                


  
              

                


	

		

			

				
					
[羊城 2020]EasySer

				
			

			

				

					m0_64348326的博客
				

				

					08-04
					
					326
					
				

			

		

		

			
				
方法了,不得不说,这题是蛮坑爹的,看了wp才知道,那个页面的源码中反序列化点会直接输出对象,直接能触发该方法。那么触发方式也有了,最后就是如何绕过死亡。一共是13位,需要补3位才能到16位成为4的整数倍。path已经有了,那么c参数一定就是反序列化点了。1.打开页面,进入index.php,没有任何提示,直接目录扫描发现。包含在内的字符,以4bytes一位编码来计算需要补多少位。对文件内容进行base64解码,它的字符范围包括。这句话的,猜测是该页面输出的,尝试本地访问。的方法,直接用php过滤器。

			
		

	





	

		

			

				
					
[羊城 2020]easyser

					
最新发布

				
			

			

				

					weixin_73049307的博客
				

				

					09-07
					
					488
					
				

			

		

		

			
				
解决方法是利用php://filter,在写入文件时使用string.strip.tags过滤器,string.strip.tags过滤器的作用是去掉HTML和PHP标签,同时借助convert.base64-decode过滤器,写入一个base64编码后的shell代码(指shell.php)(注意:这里的path=http://127.0.0.1/star1.php对应path=http%3A%2F%2F127.0.0.1%2Fstar1.php。://对应%3A%2F%2F /对应%2F。

			
		

	



		

			
		



	

		

			

				
					
[羊城 2020]EasySer ---不会编程的崽

				
			

			

				

					不会编程的崽的博客
				

				

					04-24
					
					689
					
				

			

		

		

			
				
也是很简单一个pop链,主要问题还是文件上传。而且这里没有给出参数,需要我们自己爆破。反正我是没爆破成功,不知道他们这么弄得,反序列化参数是c。1.需要绕过die,因为他会将那个php代码进行拼接,导致无法执行我们写的木马。我使用蚁剑连了之后,还用disable_function绕了一下(flag.php是假的)string.strip_tags:这个过滤器就比较有意思,用来处理掉读入的所有标签。2.为了防止我们自己的php代码被剔除,所以要进行base64编码。稍微带点反序列化,稍微。

			
		

	





	

		

			

				
					
班长出题 -- funpy  (带源码):python反序列化 + ssti + SSRF +  remote_addr路由绕过 + url中的#定位符

				
			

			

				

					Zero_Adam的博客
				

				

					03-11
					
					1893
					
				

			

		

		

			
				
目录:第五题:一、自己做:二、不足&&学到的:三、学习WP:思路学习:1.绕过get_domain()2.绕过remote_addr() + \#3. 关于反序列化关于python反序列化方法一:exec的方法,(纯属为了复习opcode)方法二、一定有方法二的方法三:用这个变量覆盖的方法(后面的用的是这个方法):4. 接着做 python反序列化 + ssti
第五题:
一、自己做:
做了个der,,,
审计代码差远了,
二、不足&&学到的:

学习了python的反序列化

			
		

	





	

		

			

				
					
跨站请求伪造-CSRF利用案例+SSRF

				
			

			

				

					xiaoheizi的博客
				

				

					07-02
					
					218
					
				

			

		

		

			
				
(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。举个生活中的例子:就是某个人点了个奇怪的链接,自己什么也没输,但自己的qq号或其他的号就被盗了。:小黑子在登录后台管理自己网站的时候,突然有人给小黑子说有少妇视频,随后给小黑子发了个URL链接,小黑子直接点了进去,GG!将文件放置到能让小黑子访问到的服务器下,加小黑子好友,将地址链接发送给小黑子,告诉小黑子是少妇视频。

			
		

	





	

		

			

				
					
ProxyLogon:ProxyLogon(CVE-2021-26855 + CVE-2021-27065)Exchange Server RCE(SSRF-> GetWebShell)

				
			

			

				

					03-25
				

			

		

		

			
				
 ProxyLogon(CVE-2021-26855 + CVE-2021-27065)Exchange Server RCE(SSRF-> GetWebShell)  usage :  python ProxyLogon . py - - host = exchange . com - - mail = admin @ exchange . com  python ProxyLogon ...

			
		

	





	

		

			

				
					
2020YCBCTF:2020羊城官方writeup及

				
			

			

				

					03-24
				

			

		

		

			
				
20202020羊城官方writeup及源码
各个过渡的分散的writeup后续会逐步上传,所有转移的writeup已经汇总在wp文件夹下的writeup文件里面了!

			
		

	





	

		

			

				
					
BUUCTF--[羊城 2020]EasySer

				
			

			

				

					qq_46263951的博客
				

				

					08-20
					
					872
					
				

			

		

		

			
				
进入后是这样的页面,有点懵,




看下大佬的思路:
1) 源码写了不安全协议从本地,想到http 和127.0.0.1
2) 读源码看反序列化,写入shell
3) 伪协议base64绕过die(),rot13等等都可以

考点:
1) PHP 基础代码审计
2) SSRF本地文件读取
3) 反序列化写入webshell,绕过死亡绕过


使用文件扫描扫到robots.txt,提示访问/star1.php/

查看页面的源代码可以看到提示

利用http://127.0.0.1/star1.php...

			
		

	





	

		

			

				
					
[羊城 2020]EasySer 1

				
			

			

				

					shinygod的博客
				

				

					03-31
					
					904
					
				

			

		

		

			
				
知识点:Arjun爆参,file_put_contents伪协议过滤

目录审题分析绕过die的原理如何找传参的地方?__toString原理Arjun的安装和使用
审题
点开是个ubuntu版本的apache,没什么用,直接扫波目录。

扫到两个目录。

访问robots.txt

进入star1.php,提示我们要从家进入ser.php,且要是不安全的协议,那么就是http://127.0.0.1/ser.php

<?php
error_reporting(0);
if ( $_SERVER['

			
		

	





	

		

			

				
					
NSS [羊城 2020]easyser

				
			

			

				

					Jay17的博客
				

				

					08-30
					
					2006
					
				

			

		

		

			
				
NSS [羊城 2020]easyser

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  





	
打赏作者

	

		

		
			
		
		

		

			
Hillain

			
你的鼓励将是我创作的最大动力

		

	

	

			

	

	

    ¥1
    ¥2
    ¥4
    ¥6
    ¥10
    ¥20
	

	

		

			

				

					扫码支付:¥1
				

				

					

					
					获取中
					

				

				

					
					
					扫码支付
				

			

		

		

			
您的余额不足,请更换扫码支付或充值

			
打赏作者

		

	



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值