护网杯2018 easylaravel

最新推荐文章于 2024-08-26 15:31:56 发布
最新推荐文章于 2024-08-26 15:31:56 发布
阅读量1.9k 收藏 3
点赞数
CC 4.0 BY-SA版权
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43610673/article/details/107777433
本文详细介绍了通过EasyLaravel框架进行渗透测试的过程,包括利用SQL注入获取管理员权限、利用Phar协议实现反序列化删除缓存文件,以及最终获得flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

easylaravel

robots.txt没啥东西
在这里插入图片描述

注释给了源码地址,下下来审计
在这里插入图片描述

/routes/web.php 查看路由
在这里插入图片描述

包里有composer.json 先composer install安装一下相关的包依赖(需要先安装composer)
安装完后项目根目录会有vendor文件夹 composer.lock文件。(因为网络问题一直没安装完。。。也就没composer.lock文件,后来换了阿里云的源才搞定,菜鸟教程那写着的国内源一直不行,不知道咋回事),安装完后才能得到完整源码,毕竟是用的laravel框架

php artisan route:list 查看一下已经定义的路由
在这里插入图片描述

因为我扫的时候看到一个upload 但自己注册的账户没有 这个功能 所以先去注册登录那看看怎么搞到admin账户,这里用户名是随便的,主要是邮箱地址

app/Http/Middleware/AdminMiddleware.php 找到admin用户邮箱
在这里插入图片描述

但不能用重复邮箱注册,好在有一个重置密码功能
在这里插入图片描述

这里点击后会发送一个token到数据库
访问Illuminate\Foundation\Auth\SendsPasswordResetEmails;
在这里插入图片描述

再到\Illuminate\Contracts\Auth\PasswordBroker
在这里插入图片描述

改密码的时候也需要这个token
\database\migrations\2014_10_12_100000_create_password_resets_table.php
在这里插入图片描述
在这里插入图片描述

/app/Http/Controllers/NoteController.php 发现有一个sql注入
在这里插入图片描述

SELECT * FROMnotesWHEREauthor='admin' or 1=1#' 通过恶意构造后 回显(正常是无回显的)
nginx是坠吼的 ( 好麻烦,默认配置也是坠吼的
这里可以注入得到用户表中的密码,但是是经过加密处理的,无法解开还是搞不到密码
但可以通过这个sql注入搞到数据库中用来修改密码的token

test' union select 1,(select token from password_resets where email='admin@qvq.im'),3,4,5#

在这里插入图片描述

然后访问/password/reset/token
在这里插入图片描述

登录成功后访问flag页面
在这里插入图片描述

flag | App\Http\Controllers\FlagController@showFlag 本来应该直接打印处flag的
在这里插入图片描述

现在的flag是空的
在这里插入图片描述
在这里插入图片描述

Blade 视图文件使用 .blade.php 文件扩展并存放在 resources/views 目录下
但是还有一个上传功能,题目上传页面代码可通过file_exists(也就是页面中的check功能)使用phar://协议触发反序列化,用pop链删除这个编译后的模板文件
在这里插入图片描述
在这里插入图片描述

需要达成的条件:

  • 1.找到可以用来删除文件的函数(unlink函数),并构造pop链
  • 2.需要知道编译后的文件名
find . -name "*.php" | xargs grep "__destruct"

在这里插入图片描述

vendor/swiftmailer/swiftmailer/lib/classes/Swift/ByteStream/TemporaryFileByteStream.php
在这里插入图片描述

新建SwiftByteStream_TemporaryFileByteStream类,将要删除的路径写入,生成phar文件,利用phar://伪协议访问该文件,反序列化结束时自动调用__destruct()也就调用了unlink函数删除文件。

下面就是找到缓存文件的路径
laravel视图缓存没有及时更新:
在这里插入图片描述

vendor/laravel/framework/src/Illuminate/View/Compilers/Compiler.php
在这里插入图片描述

编译后文件的路径由两部分构成第一部分是模板的绝对路径path,第二部分是是缓存路径,又因为缓存路径为/storage/framework/views/
根据sql注入那的提示,默认配置是最好的,得到path为/usr/share/nginx/html/resources/views/auth/flag.blade.php的sha1值
最终的路径为:
/usr/share/nginx/html/storage/framework/views/34e41df0934a75437873264cd28e2d835bc38772.php
生成phar的脚本:https://github.com/CTFTraining/huwangbei_2018_easy_laravel
easy_laravel_exp_gen.php
在这里插入图片描述

把生成的gif文件上传
在这里插入图片描述

然后去/files check一下 要更改path路径才能触发反序列化,存储的目录为storge/app/public
在这里插入图片描述
在这里插入图片描述

再次访问flag页面
在这里插入图片描述

参考:
https://www.cnblogs.com/tr1ple/p/11044313.html
https://xz.aliyun.com/t/2912
https://www.dazhuanlan.com/2019/12/24/5e01ca0844f13/

Arnoldqqq
关注
安全 | CTF】2018easy_tornado解题详析(Tornado之SSTI注入)
等风来
08-24 5830
提示:filename先被md5加密后,结合cookie_secret,再次被md5加密姿势进入页面给出三个链接:提示:filename先被md5加密后,结合cookie_secret,再次被md5加密先加密filename:得到:3bf9f6cf685a6dd8defadabfb41先加密filename:可知存在模板注入,而Tornado框架的附属文件handler.settings中存在cookie_secret故get传参:/error?msg={{handler.settings}}得到
[ 2018]easy_tornado WriteUp(超级详细!)
lunan的博客
04-22 4138
[ 2018]easy_tornado   打开题目后,首先发现3个超链接   依次点开三个链接    址里有参数filename和filehash推测这里flag应该是 filename=/fllllllllllllag&filehash=md5(cookie_secret+md5(filename))里面,filehash里hash就是提示为md5的hash加密。    变量 filename 的值总是为要访问的文件,再根据提示三和 fil
攻防世界 WEB easy_laravel
qq_41696858的博客
02-06 3773
这题我一开始是在攻防世界做的,但是不知道今天靶场又抽什么风了。。。。反正两个靶场配置有点不一样,但是出入不是很大,BUUCTF需要提前手动利用管理员邮箱reset_password一下,攻防世界不需要 打开场景,审计页面源码,发现源码地址直接给出来了,非常的简单粗暴啊 https://github.com/qazxcv123/easy_laravel 建议把源码下下来,自己搭个环境慢慢看,不然不方便。那就看源码呗,先看路由,mvc的入口点 哦对了先说一下,larvel是一个PHP的web框架 在一个个尝试路
18年 Easy Laravel Writeup
Tel_milk的博客
11-22 1427
2018Easy Laravel Writeup,CTF平台攻防世界,难度10
2018easy_tornado(BUUCTF提供复现)
giaogiao123的博客
01-31 1085
进入页面首先看一下flag.txt file?filename=/flag.txt&filehash=9f1a5c8c40be3aafbc5e719d151b1d36 换成fllllllllllllg试一试 出现error 然后一脸懵逼,查阅资料发现这是一个SSTI注入,原理跟SQL注入一样,但是上图把 又查阅资料发现尝试进行验证: 传递error?msg={{2}},页面出现2 传递er...
[ 2018]easy_tornado WriteUp
weixin_52599204的博客
08-04 1229
statements are surrounded by {% %}, e.g. {% if len(items) > 2 %}. // 陈述被{%%}包围,例如 {%如果Len(项目)> 2%}。Expressions are surrounded by {{ }}, e.g. {{ items[0] }}. //表达式被{{}}包围,例如 {{项目[0]}}。是一个渲染函数 ,就是一个公式,能输出前端页面的公式。但是我这里直接把flag直接md5放上去的 发现得出的报错结果是一样的。...
Easy Laravel 5
08-05
英文版 PDF Laravel 5 is an ambitious step forward for the popular framework, offering quite a few new features. This version was published on 2015-06-09 This is a Leanpub book. Leanpub empowers authors and publishers with the Lean Publishing process. Lean Publishing is the act of publishing an in-progress ebook using lightweight tools and many iterations to get reader feedback, pivot until you have the right book and build traction once you do.
安全 | CTF】攻防世界 2018 easy_tornado
等风来
07-23 5504
tornado render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的页,如果用户对render内容可控,不仅可以注入XSS代码,而且还可以通过{{}}进行传递变量和执行简单的表达式。或一个目录是“/Users/python/tornado-file-read/static_private/”,传入某文件的路径为“/Users/python/tornado-file-read/static/”将得到的cookie_secret同加密的内容一同进行加密。
2018逆向题目
10-16
2018逆向题目是针对这一领域的专业挑战,旨在检验参赛者在逆向工程方面的技能和知识。这三道题目——task_Loader7.exe、task_APM233_6.exe和task_huwang-refinal-6.exe,很可能是精心设计的恶意软件或复杂程序...
[ 2018]easy_tornado1 刷题记录
kindyyy的博客
10-11 1065
得到cookie_secrect的值,再通过md5加密和脚本计算出md5(cookie_secret+md5(filename)Tornado全称Tornado Web Server,是一个用Python语言写成的Web服务器兼Web应用框架。msg={{2*2}},发现回显orz。查询了一下发现可能存在过滤。因此,构造查询语句:/error?其实这里就已经可以猜测一下,可能和ssti模板注入有关。还得继续加油啊,还有好多注入模板不熟练!(本题考察的是SSTI注入的问题)其实这里没有什么发现,看一下址。
laravel-easy-admin:一个用于Laravel项目的简单管理面板
03-16
Laravel Easy Admin 〜用于Laravel项目的简单管理面板。 演示: ://easy-admin-demo.fullstack-ds.com(凭据:[email protected] |秘密) 什么是Laravel Easy Admin Laravel Easy Admin是一个后端UI,专门为开发人员,具有良好数据库知识的root用户或基本项目而设计。 它无意充当具有全部功能的完整管理面板(如果您正在寻找的,请参阅 )。 相反,这意味着要充当基本的管理面板,但可定制性受到限制,可以在数分钟内启动并运行。 Laravel Easy Admin利用一组强大的工匠命令来添加/删除资源。 它与公共文件结合在一起,在公共文件中,可以通过注释/取消注释代码删除或添加功能,从而使Easy Admin可以提供基本的自定义功能。 如果您的项目需要快速而肮脏的管理面板,那么此软件包适合您!
[VNCTF 2021]Easy_laravel-PHP代码审计&CVE-2021-3129学习记录
cjdgg的博客
04-05 1919
[VNCTF 2021]Easy_laravel-PHP代码审计学习记录 上次做完那道代码审计后,好巧不巧,又有新的php代码审计题,也是Laravel,话不多说,进入正题 这题一进入就是这个页面,看到这个页面就想起了之前拿CVE打过的一个靶机,于是看了下版本号找找有没有CVE可以打 谷歌搜了下laravel 8.22.1 exploit,很绝望,这个版本几乎都是CVE的修复版本,没有可用的CVE,这题还提供了源代码,那就只能慢慢看了 又是熟悉的N多个文件夹,依旧是先全局搜索_destruct找可以用
BUUCTF[ 2018]easy_tornado1-write up
m0_62851980的博客
04-23 1217
知识点: SSTI(模板注入),render函数,Tornado框架(知识点在最后) 打开靶机,看到三个链接: 分别点进去: 注意每个链接的url: /file?filename=/xxx&filehash=32位MD5 根据flag.txt和hint.txt提示url的形式为:文件名+32位MD5 再看hint.txt的提示:md5(cookie_secret+md5(filename))。明显我们要先找到cookie_secret进行MD5加密,再和进行MD5加密后输入的文
EasyAdmin8-Laravel 更新 Laravel 版本 11.x ,PHP 要求提升到 8.2
wolfcode
03-14 1547
EasyAdmin8-Laravel 在 EasyAdmin 的基础上使用 Laravel 11.x 重构,PHP 最低版本要求不低于8.2Laravel v11.x 和 layui v2.9.x 的快速开发的后台管理系统。项目地址:https://easyadmin8.topmain 分支演示地址:http://laravel.easyadmin8.top/admin,需要 PHP >=8.2。
搜索 一道CTF题引起的对laravel v8.32.1序列化利用链挖掘
jklbnm12的博客
07-15 433
目录 0x00 前言 0x01 利用条件 0x02 环境配置 0x03 链条分析 call_user_func([可控],[可控]) 安全学习资料点击白嫖 call_user_func([可控],[可控],[可控]) call_user_func_array([完全可控]) eval([完全可控]) 0x00 前言 前几天刚搞完V&NCTF,里边有一道easy_laravel题目引起了我的注意(指挖了一下午的序列化链,结果路由不正确无法利用CVE反序列化,呜呜呜,气...
渗透测试笔记-kali学习(二)-红日靶场(七)
最新发布
kangsfcc的博客
08-26 857
Redis 未授权访问漏洞是指 Redis 数据库在默认配置或不当配置下,未对客户端访问进行授权验证,导致未经授权的用户可以访问或操作 Redis 实例。这种漏洞通常发生在 Redis 实例没有配置密码保,或者密码配置不当时。具体来说,Redis 默认配置是不需要密码的,这意味着任何能够访问 Redis 端口的用户都可以连接到 Redis 实例并执行各种操作,比如读取、写入数据、删除数据等。如果攻击者能够访问 Redis 实例,就有可能窃取敏感信息或修改数据。
攻防世界 web write-up warmup
qq_44092699的博客
04-18 398
warmup 【题目】 【步骤】 首先查看页面源代码,发现有提示:source.php,进入该页面 得到一串php代码 在代码中,whitelist中包含两个php文件,提示我们进入hint.php,打开后得到flag文件的大概位置 在source.php中,有四个用来检测page变量: 若page为字符串,返回true; 若page存在whitelist中,返回tr...
2018——easy_dump
weixin_40709439的博客
10-19 3709
题目: 链接: https://pan.baidu.com/s/1IdhDQAv02nAz0H211BoVgA 提取码: axgp 做题时看到下载下来的600m,懵逼中,看到是img镜像文件当然想到的是利用diskgenuis恢复文件找特别文件再进行解密。 一直做不出,是我想的太简单了,昨天看了大佬写的wp,满怀敬佩的心复现一下 参考i春秋大佬:lem0n   实验用到的工具: k...
easyphp攻防世界详细题解
m0_74312676的博客
10-29 582
这array_search()在查找元素的时候是进行弱类型比较,而在PHP里字符串==0是成立的,即“DGGJ"==0是成立的,因此,要保证在c["n"]中有0,即可绕过array_search的判断。如果没有找到,则输出"no..."并终止执行。这是上述if条件的else部分,如果上述所有的条件检查都没有通过,那么会执行这里的代码,输出"no hack"并终止执行。这行代码的作用是在"n"键的数组中搜索"DGGJ"这个值,并返回其索引位置。的检查没有通过,那么会执行这里的代码,输出"no"并终止执行。
[ 2018]easy_tornado
03-16
2018 中的 easy_tornado 题目是一道Web安全题目。根据题目描述,该站使用了 Tornado 框架搭建,并且存在一个可以进行任意代码执行的漏洞。需要我们利用这个漏洞,在服务器上执行指定的命令。 解决这道题目的关键在于找到代码执行的漏洞点。在代码中,我们可以看到使用了 Python 的 eval() 函数,而这个函数可以执行任意的 Python 代码。我们可以通过构造一个恶意的字符串,然后将其传递给 eval() 函数,从而实现任意代码执行。 具体来说,我们可以构造一个 HTTP 请求,其中包含以下数据: { "action": "__import__('os').system('command')" } 其中 command 为需要执行的命令。这个数据会被传递到服务器端,并被 eval() 函数执行。由于没有对输入数据进行过滤,我们可以通过这个漏洞,在服务器上执行任意的命令。 需要注意的是,由于 Python 的语法比较严格,我们需要在构造恶意字符串时,确保其语法是正确的。可以使用 Python 的反斜杠(\)来转义引号和其他特殊字符,以确保字符串的语法是正确的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值