记一次红队打点mt_rand突破

admin
admin
admin
138674
文章
114
评论
2025年3月11日08:53:03评论30 views字数 467阅读1分33秒阅读模式
做项目打点打了半天打不进,在信息收集时发现一套自建的客服系统。用资产测绘收集一下信息
记一次红队打点mt_rand突破
记一次红队打点mt_rand突破
发现用户量还不少,找到源码后进行审计
记一次红队打点mt_rand突破
代码基于tp5.0.24开发,看了一圈基本没注入。
上传点也拦的死死的。
记一次红队打点mt_rand突破
记一次红队打点mt_rand突破
越权也基本没有
记一次红队打点mt_rand突破
干你乃,这怎么玩, 看来是不给饭吃了。先吃饭再说。
午休睡醒后又继续看了下代码
记一次红队打点mt_rand突破
跟到cpDecode里
记一次红队打点mt_rand突破
目测是解密算法后,通过传入的key对内容进行解密后,然后对result26位后进行反序列化,好家伙,这不就入口点来了吗。
记一次红队打点mt_rand突破
看看AIKF_SALT怎么生成的
记一次红队打点mt_rand突破
记一次红队打点mt_rand突破
记一次红队打点mt_rand突破
可以看到这里使用mt_rand进行生成,关于php mt_rand安全网上很多文章,可以上网参考下
目前路径就是 爆破seed 根据seed生成相同密钥,通过seed加密tp5的反序列化链放到cookie来打
上网查了下 如果是64位的操作系统seed范围是1-42亿,粗略估计了下要跑挺久,写个脚本多进程开起来
记一次红队打点mt_rand突破
记一次红队打点mt_rand突破
等了两天后爆破出来了 //狂喜
验证确实可以解密
记一次红队打点mt_rand突破
然后就是找入口,看看那些控制器继承了base
记一次红队打点mt_rand突破
记一次红队打点mt_rand突破
随便找一个就行
记一次红队打点mt_rand突破
记一次红队打点mt_rand突破
拿下拿下。

原文始发于微信公众号(8ypass):记一次红队打点mt_rand突破

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月11日08:53:03
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   记一次红队打点mt_rand突破https://cn-sec.com/archives/3825663.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息