本文介绍了参与CTF比赛时,通过源码审计发现的反序列化漏洞。作者首先对比原始文件找出修改点,然后详细阐述了如何利用PayNotifyCallBack类的NotifyProcess方法,以及如何构造Payload触发系统调用来实现目标。文章中还讲解了如何利用php序列化特性构造攻击字符串,最终成功getshell。
首先是得到了支付系统的源码,第一步使用扫描工具进行扫描,没有发现简单的漏洞,决定从网上寻找源码,对比原始文件的方式,查看出题者具体改了哪些代码。
PS:总不可能让我们挖0day吧。
下载链接,0币下载(工具除外)
使用 Beyound Compare 进行文件对比(52上有pj),很快发现了几处修改
第1处
// /includes/cron/cron.php
# 新增
function filter_($str) {
return str_replace("cxyu", "ccxyu", $str);
}
...
# 新增
$data['userdata'] = $_POST['userdata'];
...
# 利用点
$serial_str = filter_(serialize($data));
第2处
// /admin/index.php
# 新增
include("../submit/wxpay/wxpay_notify.php");
...
# 利用点
$data=unserialize(file_get_contents(SYSTEM_ROOT.'db.txt'));
第3处
// /submit/wxpay/wxpay_notify.php
class PayNotifyCallBack extends WxPayNotify
{
...
public function NotifyProcess($data, &$msg)
{
//file_put_contents('log.txt',"call back:" . json_encode($data));
$notfiyOutput = array(
最低0.47元/天 解锁文章
扫一扫
865
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
