强网杯部分web复现腾讯云开发者社区

这次的强网杯好难 其实是我太菜了，不过确实学到了很多新东西

打开注册登录后有个向admin机器人发送指令的功能，简单抓包分析下后发现向admin机器人发送的指令用了websocket连接，同时发现其未对origin头进行验证，存在websocket劫持(和CSRF类似)，有关websocket劫持的利用可以参考

有个修改密码的功能，还有个让admin去访问你给的链接的功能，那直接让admin去访问你构造的恶意网站造成websocket劫持修改admin的密码

题目给了说明admin-bot是在8888端口启动的

exp:

购买hint拿到源码

审计源码发现其后端购买商品的业务用了python和go两种语言，所以存在json解析差异的漏洞

简单说一下

审计题目的源码发现python中用了标准库中的json解析器，golang中用了三方JSON解析器（buger/jsonparser)

而python标准库中的JSON解析器，针对重复键，将返回最后一个键值对

golang中高性能的第三方JSON解析器（buger/jsonparser),针对重复键，它会返回第一个键值对

这样就造成了json解析差异，可以构造如下payload

这样在python中取到的num为1，而在go中取到的num为0

而结算算资金的业务在go中，拿到商品的业务在python中，于是就成功“购买”到了flag

审计源码发现存在这个函数

这个函数就有意思了

在其黑名单中发现并未有 .inc

那我们的利用思路就是上传一个 .inc 木马文件，构造合适的cookie进行反序列化从而达成RCE

但是我们上传的文件名要和我们反序列化的那个类名要一样才能使 spl_autoload_register() 去加载我们上传的文件，而题目中对文件做了这样的处理

所以我们所上传的文件中的class类的类名也要定义成其对应的 md5(time()) 值，这要求速度待快，只能用脚本实现了

构造所上传的文件内容为

exp:

成功执行命令（题目环境关了，本地测试成功）

这题的flag在504页面

有关pickle反序列化的东西网上有很多，这里不再赘述

pickle 反序列化, 过滤了 “R”, 构造 opCode 可实现命令执行多进程同时打 sleep 20 ,阻塞出现504,获取flag

浅浅解释一下

504 是网关超时, 我们的请求是通过第一个服务器转发给实际处理逻辑的服务器的, 第一个服务器拿不到实际处理逻辑的服务器就会报 504, 实际处理逻辑的服务器能同时响应的连接是有限的, 假设有 20个, 我们反序列化命令(函数)执行让后端每个都 sleep 20 秒(超过第一个服务器等待的时间), 这样我们的第 21 个进程迟迟得不到处理, 第一个服务器就报 504 了