Sky's blog

Sky's blog

热爱Web的蒟蒻一叶飘零/Flappypig

CVE-2019-9081:Laravel Deserialization RCE Vulnerability
laravel序列化Laravel是一套简洁、优雅的PHP Web开发框架(PHP Web Framework),若其本身出现漏洞,则对使用响应框架开发的网站影响是致命的。而这里就将分析laravel框架序列化RCE,CVE编号:CVE-2019-9081,受影响范围:laravel >= 5.7。 类名加载我们首先随便构造一段序列化:12345678<?phpclass sky{public $sky='test';}$sky = new sky();echo urlencode(serialize($sky));# O%3A3%3A%22sky%22%...
CyBRICS CTF Quals 2019 Web Writeup
前言周末参加了LCBC主办的2019 CyBRICS CTF Quals,在金砖五国中,获得了top5的成绩,以下是web的题解。 Bitkoff Bank点一次mine btc,获得0.0000000001 BTC,而购买auto-miner需要0.1 USD。购买auto-miner后,我们的网页会多出这样一个script,每秒帮我们点击1000次,但实际上并非1秒能获得这么多BTC:然后获取flag需要1USD,显然即便依靠auto-miner也是遥遥无期的。通过做题的经验,给了的功能一般不会白给,我们测试一下转换功能,发现不断将BTC转成USD,将USD转成BTC,就会因为汇率问...
Summary of serialization attacks Part 3
前言接之前的两篇文章:12https://www.4hou.com/web/17835.htmlhttps://www.4hou.com/web/17976.html 之前分别介绍了php序列化攻击的魔法方法、session序列化引擎以及原生类序列化问题。本篇文章则主要从真实案例来看序列化的pop链构造。 typecho序列化这一节就简单说一下构造链,因为之前的文章分析过,可详见:1https://skysec.top/2017/12/29/cms%E5%B0%8F%E7%99%BD%E5%AE%A1%E8%AE%A1-typecho%E5%8F%8D%E5%BA%8F%E5%88%97...
2019 0ctf final Web Writeup(2)
前言这篇文章接之前留下的坑,主要分析了java Tapestry的一个从文件读取到反序列化RCE的一个漏洞和ocaml的一个小trick。 hotel booking system发现Tapestry版本号,同时发现该网站是Tapestry的demo,在github已开源:1https://github.com/ccordenier/tapestry5-hotel-booking 同时题目功能极少,只有search功能:以及hint信息:1234Anyway, As the project has no usable gadget libraries, I added C3P0 to ...
2019 WCTF & P-door
前言2019 WCTF看到有一道web题目开源了:https://github.com/paul-axe/ctf.git。同时看到wupco的题解:https://hackmd.io/@ZzDmROodQUynQsF9je3Q5Q/HkzsDzRxr。感觉这道题非常有趣,于是在此分析一下。 信息搜集拿到题目后,粗略的看了一下几个功能:1.注册2.登录3.写文章同时注意到cookie:看到有序列化的值,那么猜测可能有源码泄露:1http://192.168.1.106:10003/.git/ 扫描后发现确实存在文件泄露。 目录穿越代码量非常少,但挑战不小。我们关注到主要有3个大类:User...
2019 神盾杯 final Writeup(2)
前言接之前的分析文章,本篇文章将2019 神盾杯线下赛后续两道web题也解析一下。 web3预置后门扫描打开源码发现是主流cms typecho,先上工具扫一波:同时注意到版本号:根据github的开源项目回滚到当前版本:并进行diff: 用户名RCE容易发现/admin/login.php处,$rememberName被反引号包裹,可以进行RCE。 SSRF漏洞/var/Widget/XmlRpc.php:该漏洞应该为typecho对应版本的原生漏洞,可以搜到相关信息:那么关键点就在于过滤时,未把file协议过滤掉:/var/Typecho/Http/Client/Adapter.ph...
2019 神盾杯 final Writeup(1)
前言队友去参加了2019神盾杯上海市网络安全竞赛,线下有4道web题,就跟队友要来了源码进行了一波分析,由于题目较多,分为2篇撰写,本篇先写dedecms和另一个出题人手写的cms。 web1预置简单后门查杀打开源码发现是dedecms,使用主流webshell查杀工具得到如下结果:由于静态分析具有较高的误报率,所以我先选择了diff一下:发现后门文件为include/guess.class.php,事实证明还是D盾nb~ 内置混淆后门我们先去查看文件:include/guess.class.php发现明显后门:123456789101112131415161718<?php$p=...
2019 强网杯final Web Writeup
前言强网杯线下赛打的非常happy也非常累,感觉这种赛制非常有意思,早就厌倦了web的AD,这种cms的0/1day的挖掘非常带劲,就是和0ctf连着打,感觉命都没了(线下赛共有3道web,分别是1道框架0/1day,2道cms前台getshell的0/1day,但是Laravel框架由于可以搜到相关CVE,于是本篇文章不再编写,只分析另外2个cms。 yxtcmf信息搜集拿到这道题时,我先去搜集了相关信息,可以发现该cms是一个以thinkphp+bootstrap为框架进行开。可以理解为在thinkcmf上进行的二次开发。同时了解到是thinkphp3.2.3:1const THIN...
2019 0ctf final Web Writeup(1)
前言鸽了好久的Blog,因为自己事务缠身,一直没时间写一下最近比赛的题解,趁近日有空,来填坑~第一次参加0ctf新星赛就拿了冠军,还是非常开心的。比赛过程中,web共4道题,我有幸做出3道,java实在不太擅长,哭了(,另一道是ocaml的题目,涉及小trick和逻辑问题,准备放在后面和java一起编写(希望不要咕咕咕了)。这里写出另外两道题目的题解如下: 114514_calcalcalc本题是2019 RCTF calcalcalc的改版,这次限制了之前的时间延迟注入的问题,同时需要Bypass validator:我们可以使用__proto__来进行Bypass:至于时间注入的问题...
2019 强网杯online Web Writeup
upload登入题目,首先纵览题目功能,发现有注册和登录:随便注册登入后,来到文件上传页面:经探测,发现可以上传png图片,同时上传目录可直接访问:同时发现cookie有序列化内容:解码后得到:1a:5:{s:2:"ID";i:23;s:8:"username";s:13:"fuck@fuck.com";s:5:"email";s:13:"fuck@fuck.com";s:8:"password";s:32:"abf753db781ecf27d7b5...
avatar
一叶飘零
苟有恒,何必三更眠五更起。