可以看到数据直接带入了call_user_func,burp复现请求响应如下:
文章插图
在这里插入图片描述
由于我本地配置的原因没能弹出计算器,但是确实是调用了call_user_func的 。攻击链:
引用自 https://xz.aliyun.com/t/6619thinkphplibrarythinkprocesspipesWindows.php - > __destruct()thinkphplibrarythinkprocesspipesWindows.php - > removeFiles()Windows.php: file_exists()thinkphplibrarythinkmodelconcernConversion.php - > __toString()thinkphplibrarythinkmodelconcernConversion.php - > toJson() thinkphplibrarythinkmodelconcernConversion.php - > toArray()thinkphplibrarythinkRequest.php - > __call()thinkphplibrarythinkRequest.php - > isAjax()thinkphplibrarythinkRequest.php - > param()thinkphplibrarythinkRequest.php - > input()thinkphplibrarythinkRequest.php - > filterValue()分析完这个利用链,真的是觉得师傅们太强了,特别是最后找到这个isAjax函数,需要很大的耐心才能挖到!最后再点个题,回到红帽杯的题目,还有一个考点就是怎么触发反序列化,因为我在复现这个利用链的时候都是自己构造的反序列化点,但是题目中是没有这么一个明显的输入点的 。题目考到了利用phar归档文件实现反序列化,参考:phar利用姿势
推荐阅读
- 《金铲铲之战》黎明最强阵容是什么?
- 古茶树不能承受之重,古曼撒之冷庙古树茶
- 工夫红茶是什么意思,功夫红茶与工夫红茶字之差
- 父亲节走心茶礼,厨心熟茶品质口碑和品牌之路
- 广州旅游攻略之必去景点
- 高桥银峰的作用有哪些,高桥银峰营养成分分析
- 十大名菜之首 抗癌防癌并有“富硒食品”之称
- 凤宁号茶叶加盟信息,佛山市南海区春之茗茶叶加盟八方茶园
- 贡眉是福鼎白茶之,福鼎大白与福鼎大毫的关系
- 各用沏茶用水知识解说,沏茶用水之软水