攻防世界Web题wp解析(难度6)

已于 2023-08-07 13:11:46 修改
阅读量175 收藏 2
点赞数
分类专栏: CTF Web安全 攻防世界CTFweb 文章标签: web安全 运维
于 2023-08-07 13:11:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63138919/article/details/132144197
版权
文章讲述了如何利用Perl中的param()函数和ARGV特殊变量绕过限制,实现上传文件时读取服务器上任意文件的漏洞。通过修改上传请求,删除filename参数并替换为ARGV,得以执行远程命令并获取flag。
摘要由CSDN通过智能技术生成

  1. got-id-200

打开环境

 

进入场景后有3个链接,点进去都是.pl文件,.pl文件都是用perl编写的网页文件

尝试后发现,Files链接可以上传文件并把文件内容打印出来

 

想后台应该用了param()函数。

param()函数会返回一个列表的文件但是只有第一个文件会被放入到下面的接收变量中。如果我们传入一个ARGV的文件,那么Perl会将传入的参数作为文件名读出来。对正常的上传文件进行修改,可以达到读取任意文件的目的。

这里附上网上大佬们猜测的后台代码:

use strict;

use warnings;

use CGI;

my $cgi= CGI->new;

if ( $cgi->upload( 'file' ) ) {

    my $file= $cgi->param( 'file' );

     while ( <$file> ) { print "$_"; }

}

我们利用bp抓包

然后增加一个ARGV内容

ARGV内容如下:

-----------------------------203714850424912882901994417149

Content-Disposition: form-data; name="file";

Content-Type:image/jpeg

ARGV

这里注意修改一些东西        

 

  1. 盲猜,flag在根目录下

 

2.正常流程做法

直接先读取file.pl文件,盲猜在/var/www/cgi-bin/file.pl试试

 

发现确实使用了param()函数,然后我们利用bash来进行读取当前目录下的文件。

Payload:?/bin/bash%20-c%20ls${IFS}/|

 

发现flag 我们读取flag就行

Payload:?cat%20/flag%20|

 

总结:

param()

param()函数会返回一个列表的文件但是只有第一个文件会被放入到下面的接收变量中。如果我们传入一个ARGV的文件,那么Perl会将传入的参数作为文件名读出来。对正常的上传文件进行修改,可以达到读取任意文件的目的:

漏洞分析

这里大佬告诉我们要利用@ARGV这个全局变量

首先要了解Perl中的ARGV全局特殊文件句柄

ARGV:遍历数组变量@ARGV中所有文件名的特殊文件句柄

@ARGV:是个全局数组特殊变量,传给脚本的命令行参数列表

Perl 会将 perl 命令行参数列表放入到数组 @ARGV 中,而默认情况下,这些命令行参数是 Perl 的数据输入源,也就是 说Perl 会以依次将他们当作文件进行读取。这里可以参考C语言的argv{}数组,但不同的是,

Perl语言的@ARGV中的第一个变量就是参数,而不是文件名。

Param() 函数会返回一个列表,但只有第一个文件会被放到变量中。

增加新的上传项,并删除filename,重大漏洞来了:

删除filename后, $file的值(也就是文件名)变为了上传的内容,而输出的文件内容为空

通俗理解就是,新加入的文件内容替换了filename参数,传给了$file变量,<file>句柄中打开文件内容为空

那如果我们利用@ARGV,将$file替换为@ARGV,其句柄就是,就是命令行的参数呀,如果给的参数是文件名,就可以输出第一个文件名的所有内容。

这里我们利用以上信息构造,加入新的文件列表,删除filename,文件内容写入ARGV

那么后端执行,就会把$file的值换为ARGV,也就成了上述test.pl的内容,会把从命令行里读取到的参数,当作文件路径找到并输出。

那么如何传入命令行参数呢?其实直接在url给出参数就相当于命令行传参

那么,通过ARGV和url的参数就可以达到读取服务器上任意文件的目的

构造远程执行代码

这里空格需要用url编码转义,否则不符合http头部格式,不能随便加空格的

Linux中,/bin/bash 是bash解释器,这句话当作文件名时,首先会去寻找/bin/bash并且输出,那就是执行了解释器的功能

bash -c 的语法是,后面跟的第一个参数会当作命令来被bash解析,第二,第三个参数被认为是bash的参数,而不是第一个参数(命令)的参数

举个例子:

bash -c ls /

会执行ls命令,列出当前目录,/会被当做bash的参数,没有意义,会找不到

如果我们想要列出根目录需要 “ls /”时,需要加入$IFS

IFS是linux的特殊变量,默认值是space空格, $是取变量值,$IFS就代表空格

就可以执行“ls /“的命令了

若只有 /bin/bash%20-c%20ls$IFS/ 命令会发现没有返回信息

因为,/etc/passwd本身就是文件,后端代码找到并输出返回在html标签中

而/bin/bash 一旦被访问输出,就是bash运行环境,整个语句的输出结果在shell的缓冲区里,也就是后台服务器才能看到,并不会输出到html标签中。在linux里我们只需要管道操作就可以指定结果的存放位置了。

注:经测试,${IFS}和/bin/bash联用时,不代表空格

Tips:Perl open()函数会默认打开一个管道!

这里利用Perl open()函数打开的管道,进行劫持,通过“|“操作符,把内容引入open()函数已经打开的管道中,就可以输出到html标签中啦!

[网络安全自学篇] 九十二.《Windows黑客编程技术详解》之病毒启动技术创建进程API、突破SESSION0隔离、内存加载详解(3)
杨秀璋的专栏
07-27 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点。第三篇文章主要介绍木马病毒启动技术,包括创建进程API、突破SESSION0隔离、内存加载详解,希望对您有所帮助。
[网络安全自学篇] 八十七.恶意代码检测技术详解及总结
热门推荐
杨秀璋的专栏
07-16 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了威胁情报分析,通过Python抓取FreeBuf网站“APT”主的相关文章。这篇文章将详细总结恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。基础性文章,希望对您有所帮助~
攻防世界-re新手区wp
令则
10-10 1786
攻防世界-re新手区wp https://adworld.xctf.org.cn/ 文章目录攻防世界-re新手区wpre1ganmehello,ctfopen-sourcesimple-unpacklogmeininsanityno-strings-attached使用静态分析:使用动态调试:csaw2013reversing2gititpython-trademaze最后 re1 下载附件文...
攻防世界WP
Lionel_kai的博客
07-14 356
新手练习区: 1.view_source 查看网页源代码的方式有4种,分别是:1、鼠标右击会看到”查看源代码“,这个网页的源代码就出现在你眼前了;2、可以使用快捷Ctrl+U来查看源码;3、在地址栏前面加上view-source,如view-source:https://www.baidu.com ; 4、浏览器的设置菜单框中,找到“更多工具”,然后再找开发者工具,也可以查看网页源代码。查看到了源码就拿到了flag。 2.get_post 此考查两种传参,get和post传参 get:可以直接在
攻防世界部分wp(web引导模式)
最新发布
CTF
09-14 360
那么先上传一张图片马,然后用bp抓包修改图片马的文件后缀为.php然后,用蚁剑连接。打开容器查看源代码发现有一个source.php文件,访问一下发现源代码。打开容器发现就是命令执行,先进行代码审计发现php://伪协议被绕过了,这时想到data://伪协议。打开容器发现就是一个文件上传绕过,先上传一个php文件发现提示请选择一张图片文件上传!代码审计一下,实现了一个文件包含的利用显示了当前文件的利用,其中包含一个静态方法。使用命令读取读取fl4gisisish3r3.php的文件的内容,
攻防世界WP(Misc新手篇)
qq_52988674的博客
07-26 413
1.this_is_flag 签到,flag直接在目描述里。 2.pdf 下载附件后,随便用一个pdf查看器打开,右键排列置于底层,发现flag在原图下方(或者把图片透明度降低,也可以得到flag)。 3.如来十三掌 下载附件后打开发现是一堆佛教的东东,上网搜一下,发现果然有一个神奇的网站可以解码https://www.keyfc.net/bbs/tools/tudoucode.aspx 把附件里的文字复制下来粘贴到该网站下方并在前加上【佛曰:】再点击“参悟佛所言的真意“即可获得第二个编码,
攻防世界web部分wp 1
fcz___的博客
02-02 317
1.training-WWW-robots 打开靶机, 大概的意思就是 说到有一个robots.txt,我们就去访问它。 可以看到disallow是一个flag.php。disallow是不希望被访问的一个url。也是我们要的flag。我们就访问flag.php。 flag就到手了。值得注意的是。disallow那一项是一个fl0g,不是flag,有点小坑。 robots.txt是网络跟爬虫之间的协议,它是爬虫访问的第一个文件,告诉爬虫那些权限是被允许的。爬虫会
攻防世界web入门 wp
m0_62851980的博客
03-23 318
1.view_source 目:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 打开网页,f12查看源码: 注:在html中,<!-- 代码块 -- >是注释,不会显示在网页中 2.robots 目:X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧 界面空白,右键查看源码什么信息也没有,百度robots协议可知: robots协议也叫robots.txt(统一小写)是一种存放于网站根目.
攻防世界-web高手进阶区
zji
04-25 6658
文章目录攻防世界-web高手进阶区一、baby_web二、Training-WWW-Robots1.引入库2.读入数据总结 攻防世界-web高手进阶区 提示:这里是记录web目,这里我基本不讲很多细节,请自行下载Burpsuite,web使用的等等工具。 一、baby_web 非常的简单,bp抓包直接把1.php去掉后,就看的flag了。 二、Training-WWW-Robots 非常的简单,点网页进去后,看到了robots.txt进去看到一个可以看到他有一个不允许访问的文件f10g.php,在
Web安全Day1 - SQL注入实战攻防
hongrisec的博客
02-20 3209
声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 本专文章导航 1.Web安全Day1 - SQL注入实战攻防 https://mp.weixin.qq.com/s/zP0MZNhnZG_S9aoHDXzvWA 1. SQL注入 1.1 漏洞简介 结构化查询语言(Structured Query Language...
渗透测试 ( 3 ) --- Metasploit Framework ( MSF )
墨鱼菜鸡
07-11 4573
白嫖 Metasploit Pro 2022:https://zhuanlan.zhihu.com/p/449836479 白嫖 Metasploit Pro 2022:http://t.zoukankan.com/hxlinux-p-15787814.html 好东西之 metasploit pro:https://www.52pojie.cn/thr...
攻防世界Webwp解析难度5)
m0_63138919的博客
09-01 618
11
攻防世界 simple-check-100(非常好的一篇wp,日后还得多多观看,受益匪浅)
太阳照耀我走四方
08-12 1023
title: 攻防世界 simple-check-100 date: 2021年8月12日 10点26分 tags: 攻防世界 categories: 攻防世界 菜鸡的自我分析过程 拿到这道的时候,一个压缩包,下载打开,有三个文件,分别是32位的ELF,64的ELF,32位的exe。 我先打开exe分析。 1、PE分析 32位,打开IDApro。 2、IDApro分析 (1)shift + F12 查看字符串窗口,可以发现,有一个Key字符,跟进。 (3)ctrl + x交叉引用 (4)F5反编.
2024年最新CTF_WP-攻防世界web解,从零开始学数据结构和算法
2401_84264536的博客
05-11 563
目描述:想想初始页面?尝试访问index.php,没反应,返回结果一样用dirbuster扫描一下,发现果然有个index.php,并且大小跟1不一样,并且返回码是302再次尝试访问,还是不行搜索得知,302是被重定向了用burpsuit抓包发送,flag被隐藏,查看headerflag藏在报文头里备份文件搜索得知:php的备份有两种:.php~和.php.bak修改urlindex.php.bak自动下载了一个文件,打开发现flag打开链接是一个维基百科的说明,
CTF_WP-攻防世界web
qq_63600223的博客
03-25 2495
目描述:想想初始页面?尝试访问index.php,没反应,返回结果一样用dirbuster扫描一下,发现果然有个index.php,并且大小跟1不一样,并且返回码是302再次尝试访问,还是不行搜索得知,302是被重定向了用burpsuit抓包发送,flag被隐藏,查看headerflag藏在报文头里备份文件搜索得知:php的备份有两种:.php~和.php.bak修改urlindex.php.bak自动下载了一个文件,打开发现flag打开链接是一个维基百科的说明,
perl 实现文件上传
yhb72的专栏
11-27 1884
示例的 HTML 文件如下:File 1: File 2: 后台的 Perl 程序如下:#!/usr/bin/perl######################################### Perl Services Upload Helper v1.0 #### http://www.perlservices.com #### perlservices@perlservices.co
攻防世界】crypto解wp
yezhenfule的博客
11-24 1451
密码学写记录
攻防世界hello pwn WP(pwn入门基础
m0_62584974的博客
11-21 2239
攻防世界hello pwn WP(pwn入门基础)的简单讲解
linux ifs 命令用法,linux命令(while,shell参数的用法)
weixin_42659252的博客
04-28 1462
#!/bin/bashwhile IFS=: read name1 name2 name3 name4#IFS是从文件读取内容时指定的分割符号,将a中的内容以:分开的部分分别赋值给相应变量.doecho $name1 '|' $name2 '|' $name3 '|' $name4done #反引号与$()的功能是命令替换,将反引号或$()中的字符串当作命令来执行,但是反引号中不能继续有反引号,而...
攻防世界web新手unserialize3
05-05
这道是一个 PHP 反序列化的目。 目描述: 提示:这次不会那么简单了,打开源代码看看? 源代码: ``` error_reporting(0); highlight_file(__FILE__); class Show{ public $name; public $age; ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

W3nd4L0v3

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值