2020指挥官杯练习赛部分Writeup

虽然最近事情有点多,但还是手痒打了打这个练习赛

Round 1

Red-web8

反序列化,过滤了一些管道符,__toString()魔术方法不用多说了,字符串操作会自动调用。

Continue reading 2020指挥官杯练习赛部分Writeup

Apache Shiro反序列化RCE复现

概述

This image has an empty alt attribute; its file name is image-251.png

Apache Shiro 存在高危代码执行漏洞。该漏洞是由于Apache Shiro cookie中通过 AES-128-CBC 模式加密的rememberMe字段存在问题,用户可通过Padding Oracle 加密生成的攻击代码来构造恶意的rememberMe字段,并重新请求网站,进行反序列化攻击,最终导致任意代码执行。

shiro默认使用了CookieRememberMeManager,其处理cookie的流程是:得到rememberMe的cookie值–>Base64解码–>AES解密–>反序列化
然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。

Continue reading Apache Shiro反序列化RCE复现

Web安全原理剖析-XXE

XML

在介绍XXE之前,先来简单了解一下XML

<?xml version="1.0"?>                                    //XML声明
<!DOCTYPE message [
<!ELEMENT message (receiver ,sender ,header ,msg)>
<!ELEMENT receiver (#PCDATA)>
<!ELEMENT sender (#PCDATA)>                             //文档类型定义(DTD)
<!ELEMENT header (#PCDATA)>
<!ELEMENT msg (#PCDATA)>
]>

XML 文档有自己格式规范,这个格式规范是由DTD(document type definition)控制。

Continue reading Web安全原理剖析-XXE