前言
2024西湖论剑数据安全题,太菜了当时没看明确,
体系是phpems,修改了默认密码,必要利用CVE登上去
CVE-2023-6654 ,菜鸟学习,大佬多辅导
0x01环境搭建
https://phpems.net/index.php 源码
config.inc.php修改相应数据库设置
[img=720,413.9130434782609]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202403251528539.png[/img]
数据库运行pe9.sql文件建立数据库
[img=720,325.44]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202403251528540.png[/img]
0x02代码审计
根据题目提示是CVE2023-6654
[img=720,403.92]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202403251528541.png[/img]
漏洞点在session.cls.php
检察session.cls.php代码
[img=720,422.64]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202403251528542.png[/img]
检察ginkgo
[img=720,407.52]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202403251528543.png[/img]
其make方法会判断$G拼接的文件名是否存在,也就是lib文件下的.cls.php文件,存在的就会包含这个文件
pepdo,ev,pdosql,strings是这内里分别包含的文件,根据CVE披露得知是反序列化漏洞,搜索反序列化点。
strings.cls.php中有利用点
[img=720,211.68]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202403251528546.png[/img]
getSessionId()方法内里有调用decode
[img=720,320.80808080808083]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202403251528547.png[/img]
key值为CS,CS值在config.inc.php中,题目环境是修改的
[img=720,293.04]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202403251528548.png[/img]
利用如下代码可以解密出明文,因为我们知道key
[img=720,218.88]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202403251528549.png[/img]
[code] | 
