用户
搜索
  • TA的每日心情
    开心
    2018-10-12 18:11
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]初来乍到

    i春秋-脚本小子

    Rank: 2

    9

    主题

    11

    帖子

    79

    魔法币
    收听
    0
    粉丝
    0
    注册时间
    2018-10-11
    发表于 2019-10-27 23:39:15 0312
    签名墙2.jpeg

    本文由白帽高级安全研究专员R3start撰写


    Writeup 1:Controllable Database Connection

    打开网站提示“Please connect to the database first” 还有一个 Connect的链接 所以应该跟数据库有关

    图片 1.png

    点击链接后发现URI 多了/#mysql.php  看来是个提示

    图片 2.png

    访问mysql.php  提示 Error   常规套路扫一波源码

    3.png

    得到备份文件 /mysql.php.bak  获取到源码

    4.png

    发现连接地址、用户名、密码参数可控,看来考点是mysql伪造恶意服务端读取客户端文件,按照泄露的源码来看,应该是要读 /Flag.php 文件

    5.png

    通过连接自己公网开启的恶意mysql服务端读取成功读取到Flag.php 的源码

    6.png

    Flag.php 是一个简单命令执行绕过,限制使用eval、assert函数和长度不得超过11位,满足以上两个条件进入eval函数执行

    7.png

    我们可以使用反单引号执行命令,并通过$_GET传入我们需要执行的命令,长度刚好11个字符内

    屏幕快照 2019-10-27 19.33.37.png

    成功反弹shell 并获取到Flag

    8.png





    Writeup 2:Unsafe Access

    打开网站只有一张logo和一个提示 6_79?很自然的就想到应该跟6379,redis有关

    21.png

    右键查看源码发现一个被注释的链接

    22.png

    测试发现此接口存在SSRF漏洞

    23.png

    扫描备份文件获取到link.php的源码,只是简单的进行了一些过滤,限制了gopher和127、localhost 等字符

    24.png

    联系首页的6_79提示,看来这题是常规的SSRF配合Redis拿Flag。使用dict协议写入redis、使用0 代表当前IP或域名解析等方式即可绕过访问本地限制。尝试反弹或者写私钥,均没有成功应该是权限过低的原因,于是尝试写webshell,成功写入恶意代码,获取到Flag。

    写入恶意代码:(<? 等特殊符号需要转义,不然问号后面会导致截断无法写入)
    26.png
    设置保存路径:
    27.png
    设置保存名字:
    28.png
    保存:
    29.png

    成功写入
    25.png


    更多信息,请关注DVP官网dvpnet.io和公众号DVPNET


    双11又又又来了?DVP双重活动,让你成为锦鲤本鲤 活动详情:https://mp.weixin.qq.com/s/8TvnUKBv83pU2XaA850L8g DVP去中心化漏洞平台 https://dvpnet.io/ ,双11诚邀
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册