2024西湖论剑-phpems-代码审计
前言2024西湖论剑数据安全题,太菜了当时没看明确,
体系是phpems,修改了默认密码,必要利用CVE登上去
CVE-2023-6654 ,菜鸟学习,大佬多辅导
0x01环境搭建
https://phpems.net/index.php 源码
config.inc.php修改相应数据库设置
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202403251528539.png
数据库运行pe9.sql文件建立数据库
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202403251528540.png
0x02代码审计
根据题目提示是CVE2023-6654
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202403251528541.png
漏洞点在session.cls.php
检察session.cls.php代码
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202403251528542.png
检察ginkgo
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202403251528543.png
其make方法会判断$G拼接的文件名是否存在,也就是lib文件下的.cls.php文件,存在的就会包含这个文件
pepdo,ev,pdosql,strings是这内里分别包含的文件,根据CVE披露得知是反序列化漏洞,搜索反序列化点。
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202403251528545.png
strings.cls.php中有利用点
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202403251528546.png
getSessionId()方法内里有调用decode
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202403251528547.png
key值为CS,CS值在config.inc.php中,题目环境是修改的
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202403251528548.png
利用如下代码可以解密出明文,因为我们知道key
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202403251528549.png
页:
[1]