Sky's blog

Sky's blog

热爱Web的蒟蒻一叶飘零/Flappypig

2019网络与信息安全领域专项赛Web Writeup
前言今天要坐5个小时的高铁,在车上顺便打了个比赛,以下是web题解。 Game拿到题发现是个老虎机= =,本能的查看JS:1http://4c7add9a08cb4acda1bec9c7693bf7d121100f86cdf74096.changame.ichunqiu.com/js/cqg.js 发现:随机直接给score.php发包:1234567import requestsurl = 'http://4c7add9a08cb4acda1bec9c7693bf7d121100f86cdf74096.changame.ichunqiu.com/score.php'data = ...
2019 De1CTF Writeup
前言为了去重庆XCTF Final吃火锅,周末就冲了一下De1CTF,以下是本次比赛Web题解。 SSRF Me拿到题目源码如下:1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192939495969798#! /usr/bin/env python#encoding=utf-8from fla...
phpggc详解
前言PHPGGC 是一款能够自动生成主流框架的序列化测试payload的工具,类似 Java 中的 ysoserial,支持大量主流框架的序列化exp一键生成。但因为工具作者的时间有限,不能做到实时更新。而本文旨在分析phpggc原理,并为其添加拓展,以便我们加入最新的,自己需要的exp生成模块。 phpggc流程分析当我们运行:1phpggc Laravel/RCE1 system id 我们跟踪一下具体流程。 初始化流程在创建对象时,我们下断点,发现首先程序会进行load_gadget_chains():紧接着程序会寻找定义申明过的class:经过array_filter,将程序自己...
CVE-2019-9081:Laravel Deserialization RCE Vulnerability
laravel序列化Laravel是一套简洁、优雅的PHP Web开发框架(PHP Web Framework),若其本身出现漏洞,则对使用响应框架开发的网站影响是致命的。而这里就将分析laravel框架序列化RCE,CVE编号:CVE-2019-9081,受影响范围:laravel >= 5.7。 类名加载我们首先随便构造一段序列化:12345678<?phpclass sky{public $sky='test';}$sky = new sky();echo urlencode(serialize($sky));# O%3A3%3A%22sky%22%...
CyBRICS CTF Quals 2019 Web Writeup
前言周末参加了LCBC主办的2019 CyBRICS CTF Quals,在金砖五国中,获得了top5的成绩,以下是web的题解。 Bitkoff Bank点一次mine btc,获得0.0000000001 BTC,而购买auto-miner需要0.1 USD。购买auto-miner后,我们的网页会多出这样一个script,每秒帮我们点击1000次,但实际上并非1秒能获得这么多BTC:然后获取flag需要1USD,显然即便依靠auto-miner也是遥遥无期的。通过做题的经验,给了的功能一般不会白给,我们测试一下转换功能,发现不断将BTC转成USD,将USD转成BTC,就会因为汇率问...
Summary of serialization attacks Part 3
前言接之前的两篇文章:12https://www.4hou.com/web/17835.htmlhttps://www.4hou.com/web/17976.html 之前分别介绍了php序列化攻击的魔法方法、session序列化引擎以及原生类序列化问题。本篇文章则主要从真实案例来看序列化的pop链构造。 typecho序列化这一节就简单说一下构造链,因为之前的文章分析过,可详见:1https://skysec.top/2017/12/29/cms%E5%B0%8F%E7%99%BD%E5%AE%A1%E8%AE%A1-typecho%E5%8F%8D%E5%BA%8F%E5%88%97...
2019 0ctf final Web Writeup(2)
前言这篇文章接之前留下的坑,主要分析了java Tapestry的一个从文件读取到反序列化RCE的一个漏洞和ocaml的一个小trick。 hotel booking system发现Tapestry版本号,同时发现该网站是Tapestry的demo,在github已开源:1https://github.com/ccordenier/tapestry5-hotel-booking 同时题目功能极少,只有search功能:以及hint信息:1234Anyway, As the project has no usable gadget libraries, I added C3P0 to ...
2019 WCTF & P-door
前言2019 WCTF看到有一道web题目开源了:https://github.com/paul-axe/ctf.git。同时看到wupco的题解:https://hackmd.io/@ZzDmROodQUynQsF9je3Q5Q/HkzsDzRxr。感觉这道题非常有趣,于是在此分析一下。 信息搜集拿到题目后,粗略的看了一下几个功能:1.注册2.登录3.写文章同时注意到cookie:看到有序列化的值,那么猜测可能有源码泄露:1http://192.168.1.106:10003/.git/ 扫描后发现确实存在文件泄露。 目录穿越代码量非常少,但挑战不小。我们关注到主要有3个大类:User...
2019 神盾杯 final Writeup(2)
前言接之前的分析文章,本篇文章将2019 神盾杯线下赛后续两道web题也解析一下。 web3预置后门扫描打开源码发现是主流cms typecho,先上工具扫一波:同时注意到版本号:根据github的开源项目回滚到当前版本:并进行diff: 用户名RCE容易发现/admin/login.php处,$rememberName被反引号包裹,可以进行RCE。 SSRF漏洞/var/Widget/XmlRpc.php:该漏洞应该为typecho对应版本的原生漏洞,可以搜到相关信息:那么关键点就在于过滤时,未把file协议过滤掉:/var/Typecho/Http/Client/Adapter.ph...
2019 神盾杯 final Writeup(1)
前言队友去参加了2019神盾杯上海市网络安全竞赛,线下有4道web题,就跟队友要来了源码进行了一波分析,由于题目较多,分为2篇撰写,本篇先写dedecms和另一个出题人手写的cms。 web1预置简单后门查杀打开源码发现是dedecms,使用主流webshell查杀工具得到如下结果:由于静态分析具有较高的误报率,所以我先选择了diff一下:发现后门文件为include/guess.class.php,事实证明还是D盾nb~ 内置混淆后门我们先去查看文件:include/guess.class.php发现明显后门:123456789101112131415161718<?php$p=...
avatar
一叶飘零
苟有恒,何必三更眠五更起。