案例一 原生代码变量覆盖,duomicms
变量覆盖是什么
这个时候为什么会输出xiaodi呢
就是因为$a=b所以$$a=$b 所以就让$b=xiaodi
搞不到源码,看老师的学吧
这一般在web端页面是看不到,也不好发现,代码可以看关键字和函数
例如$$这个符号
搜索完之后有很多,首先看前端和配置界面,再去看后台的界面
先看有变量且可以控制的文件
有可控变量,这里很可能就是脆弱点
而这个代码就是个数组接受$_get,$_post,$_cookie的值,在网页传输数据,例如get传输name激素?name=xiaodi,因为as复制给了reques,在代码内接受$_get 变量name的值,因为是经过数组传递的值,所以就是$_get[name]=xiaodi 数组的表达方式赋值给$k=》$v 那就是$name=xiadi
比起$name=$_get[name] 这样就直接简化挨个写的代码,这样可以直接遍历获取提交的值并赋值给变量。
这里存在变量覆盖但本身不是个漏洞,需要利用起来的才叫漏洞
我们登录到后台
正常这里有对cookie值的验证,那我们可不可以进行变量覆盖,覆盖为管理员的,那我们就可以访问管理员界面。
我们来到管理员登录文件,看他能不能进行变量覆盖,就看他有没有包含能变量覆盖的文件
包含了
看代码逻辑检测登录就是
res=1就可以返回值
但是变量res是由checkuser创建的,跟踪checkuser
这里就是接受密码,然后去数据库对比查询,密码错误就返回-1,密码没有函数就返回-2
正常逻辑就返回1。
如果已经登录在访问后台就不需要在登录,这是怎么判断,再去看login文件
keepuser,
s形id里面有对应的三个值就返回1,没有就返回-1
变量覆盖就把当前这三个值强制写到当前浏览器里面去
现在就通过动态调试获取登录的session值
如何就通过变量覆盖技术,让为空session有管理员的值
下个断点
这里老师环境出问题段不下来,直接看数据库userid是什么值
1,1,admin
对应的上
这里要覆盖s形数据必须文件开启了session_start才行
构造poc
为什么是exchang.php文件,因为他包含了文件并且开启session
直接访问
session已经强制存储
在访问后台界面admin
直接进入
就相当于这样
案例二-phpmyadmin-原生反序列化
这就直接搜关键字,就两个函数unserialize
那就这两个地方
对于反序列化漏洞的挖掘,要看触发了那些魔术方法,魔术方法里面有什么东西,
而这里就去看调用的wakeup方法,找出来看看
这个方法也要先看看这个代码准备,里面有没有对象
这里就调用了一个对象,在这个对象里面找有没有wakeup方法,
全局搜索一下wakeup方法
有,但是不能乱找,比如第一个wakeup在这个类里面
而触发反序列化的地方并不能触发这个类,第二个在看wakeup有没有能触发影响安全的问题
再看看第二个wakeup
慢慢看都是干嘛的,转到load的声明看看
eval,危险函数,要注意了,file-get-contents可以读取任意文件
这就看看getsuorre这个比哪里怎么来的,跟踪看看
返回个source的变量值
看到这里利用链就出来了,怎么构造接受的值
这个危险函数在这个类里面,刚好我们反序列化文件调用了这个类
显示找到了接受反序列化值的地方,然后load里面有触发的魔术方法,在任何发现了危险函数,接受的getsource的值,跟踪发现是就是返回变量source的值,那就可以构造序列化值了
现在就去找文件触发点,然后传入序列化值
然后就根据代码要求传递值就可以了
最终poc
成功读取到1.txt的文件内容
案例三演示案例-PHP审计-动态调试-框架反序列化-KiteCMS
版本问题搭建不起来
看主页有tp框架开发的提示
但是不知道具体tp版本号怎么在代码搜索,直接veision关键字,搜
5.1.37
反序列化值生成工具
自动生成
上一个案例是借助一个反序列化操作函数的,而这个是用到了phar的反序列化
这个又是什么
参考链接phar反序列化 - My_Dreams - 博客园
phar将类似java文件的jar文件
上半部分是链,下半部分是生成phar
这个是案例里面生成的文件,上面class调用的链来攻击的,而我们的靶场是tp搭建就要用到tp的链是由两个模板生成的,我们就要把上面调用的链改成tp生成的模板
就要第二个文件的内容复制到生成phar的链里面去
复制好好之后第一个文件要复制这两个内容
在生成phar的文件内构造一下
这里还修改了一些删除了案例调用的链,因为我们是用到tp框架的链,上面已经生成了,在把变量object改成变量a,上面第二条数据也要改成$a等于那个值
这里命令就执行个计算器calc,然后把变量system为空全部为空,就不执行命令
这里要生产phar文件要打开一个开关才行,php5.6之后默认是开启的
访问报错了
这里有参数值,去掉,不应该有。
案例里面的利用方式是有一个文件上传点,只允许上传图片也没啥,把生成的phar后缀改成gif上传上去就行了,,然后用到确定文件的函数,去访问这个上传的文件然后就可以利用phar执行命令
这里文件还是gif
这就要全局搜索is_dir
file_exists
这种类似的函数
搜索到这个看看
变量dir从参数来,get和post提交得到,现在就需要找一个文件上传的地方
ok开干poc
后面路径是上传完之后phar包的路径
弹计算机了,命令执行成功
扩展知识,php反序列化链
如果要用到刚刚phpmyadmin利用phar的方式去利用,就要把上半部分的链换成phpmyamdin的利用链
把
jian
kang
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
