[NISACTF 2022]babyupload

最新推荐文章于 2024-06-13 17:21:40 发布
最新推荐文章于 2024-06-13 17:21:40 发布
阅读量1.1k 收藏 18
点赞数 22
分类专栏: ctf 文章标签: web安全 网络安全 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73612768/article/details/135317199
版权

[NISACTF 2022]babyupload wp

信息搜集

进入页面:

在这里插入图片描述

尝试文件上传,但是各种后缀名我都试过了,过不去。

在源码中发现提示,存在 ./source 路径:

在这里插入图片描述

访问该路径得到源码:

from flask import Flask, request, redirect, g, send_from_directory
import sqlite3
import os
import uuid

app = Flask(__name__)

SCHEMA = """CREATE TABLE files (
id text primary key,
path text
);
"""


def db():
    g_db = getattr(g, '_database', None)
    if g_db is None:
        g_db = g._database = sqlite3.connect("database.db")
    return g_db


@app.before_first_request
def setup():
    os.remove("database.db")
    cur = db().cursor()
    cur.executescript(SCHEMA)


@app.route('/')
def hello_world():
    return """<!DOCTYPE html>
<html>
<body>
<form action="/upload" method="post" enctype="multipart/form-data">
    Select image to upload:
    <input type="file" name="file">
    <input type="submit" value="Upload File" name="submit">
</form>
<!-- /source -->
</body>
</html>"""


@app.route('/source')
def source():
    return send_from_directory(directory="/var/www/html/", path="www.zip", as_attachment=True)


@app.route('/upload', methods=['POST'])
def upload():
    if 'file' not in request.files:
        return redirect('/')
    file = request.files['file']
    if "." in file.filename:
        return "Bad filename!", 403
    conn = db()
    cur = conn.cursor()
    uid = uuid.uuid4().hex
    try:
        cur.execute("insert into files (id, path) values (?, ?)", (uid, file.filename,))
    except sqlite3.IntegrityError:
        return "Duplicate file"
    conn.commit()

    file.save('uploads/' + file.filename)
    return redirect('/file/' + uid)


@app.route('/file/<id>')
def file(id):
    conn = db()
    cur = conn.cursor()
    cur.execute("select path from files where id=?", (id,))
    res = cur.fetchone()
    if res is None:
        return "File not found", 404

    # print(res[0])

    with open(os.path.join("uploads/", res[0]), "r") as f:
        return f.read()


if __name__ == '__main__':
    app.run(host='0.0.0.0', port=80)

这道题的要求就两个:看懂 python 代码;os.path.join 绝对路径拼接。

加强 python 基础

为了能更好的看懂本次 python 代码,我推荐以下文章:

python 连接数据库

Python getattr() 函数

关于python中的查询数据库内容中用到的fetchone()函数

request.files 介绍

在 Flask 框架中,request.files 是一个代表上传文件的特殊字典对象。它允许您访问用户通过 HTTP 请求上传的文件。具体来说,在 Flask 中,当您的应用程序收到一个带有文件上传的 POST 请求时,可以使用 request.files 来获取上传文件的信息。

request.files 是一个字典,它的键是文件域( input 标签的 name 属性值),而值是一个 FileStorage 对象,该对象提供了访问和操作上传文件的方法和属性。

例如,假设您的 HTML 表单中有一个文件上传域,其 name 属性为 "file"

<form action="/upload" method="post" enctype="multipart/form-data">
    Select image to upload:
    <input type="file" name="file">
    <input type="submit" value="Upload File" name="submit">
</form>

那么您可以通过以下方式访问上传文件:

file = request.files['file']

上面的代码将返回上传文件的 FileStorage 对象,您可以使用该对象的方法和属性来获取文件的详细信息,如文件名、内容类型、保存文件等:

filename = file.filename          # 获取上传文件的文件名
file.save('/path/to/save/file')   # 将上传文件保存到指定路径

通过 request.files,您可以轻松地处理和管理用户上传的文件数据。注意,为了使用 request.files,您的请求必须使用 enctype="multipart/form-data" 编码类型,这是用于文件上传的标准编码类型。

关于 python 的 flask 框架,在学 SSTI 模板注入时有所学习。

源码分析

# 设置了一个路由,当以 POST 方式访问 ./upload 页面时,就会触发 upload() 函数
@app.route('/upload', methods=['POST'])
def upload():
    if 'file' not in request.files:
        return redirect('/')
# 从 HTML 表单中获取 file 对象,即用户上传的文件
    file = request.files['file']
# 文件名中不能有小数点
    if "." in file.filename:
        return "Bad filename!", 403
# 调用 db() 函数连接数据库
    conn = db()
    cur = conn.cursor()
# 调用 uuid 模块以某种方式生成文件的 uid
    uid = uuid.uuid4().hex
    try:
        cur.execute("insert into files (id, path) values (?, ?)", (uid, file.filename,))
    except sqlite3.IntegrityError:
        return "Duplicate file"
    conn.commit()
# 将文件保存到 ./uploads/ 路径下
    file.save('uploads/' + file.filename)
# 返回最终保存的文件路径
    return redirect('/file/' + uid)

不过在此段代码中 file.save('uploads/' + file.filename) 并没有起到作用,推测原因是 uploads/ 路径不存在。

下面来看这段代码:

# 设定路由,当访问 /file/<id> 路径时触发 file 函数,其中 <id> 为用户输入的任意值,该值会被作为 file 函数的参数值
@app.route('/file/<id>')
def file(id):
# 连接数据库
    conn = db()
    cur = conn.cursor()
# 执行 SQL 语句,根据 id 查找 path
    cur.execute("select path from files where id=?", (id,))
# fetchone 函数的作用在上面的博客中已提到,执行该语句后,res[0] 就是 SQL 语句查询到的 path ,根据源代码,path 就是传入的文件名
    res = cur.fetchone()
    if res is None:
        return "File not found", 404

    # print(res[0])
# os.path.join 函数拼接路径,再 open 打开文件
    with open(os.path.join("uploads/", res[0]), "r") as f:
        return f.read()

os.path.join 绝对路径拼接

os.path.join(path, *paths) 函数用于将多个文件路径连接成一个组合的路径。第一个参数通常包含了基础路径,而之后的每个参数都被当做组件拼接到基础路径后。

但是该函数有个特性:如果拼接的某个路径以 / 开头,那么包括基础路径在内的所有前缀路径都将被删除,该路径将被视为绝对路径。下面的示例揭示了开发者可能遇到的这个陷阱。

比如,上述代码中,若 res[0] 以 / 开头,则前面的 uploads/ 将被抹去,最后拼接的结果只有 res[0] 。

漏洞利用

据此,我们可以传入一个名为 “/flag” 的文件,那么最后经过路径拼接抹去前面的 uploads/ 路径,就会直接打开根目录下的 flag 文件。

当然,这种方法存在猜测性,前提是根目录下确实有一个 flag 文件。

文件名为 /flag ,文件内容任意:

在这里插入图片描述

返回结果中给出了路径:/file/de087626346e4fc390a272957aa5b88e ,那么直接访问:

在这里插入图片描述

拿到 flag 。

妙尽璇机
关注
  • 22
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[NISACTF 2022]
snowlyzz的博客
09-09 5932
NISACTF部分WP
NISACTF 2022 writeup
热门推荐
st1cky的博客
03-29 3万+
周末两天的比赛 WEB(11/12)、PWN(5/6)、Reverse(3/6)、Crypto(3/7)、Misc(8/12) WEB没有AK还是略有遗憾,到后面实在做不动了。 第一次写这么长的WP… WEB checkin <?php error_reporting(0); include "flag.php"; // ‮⁦NISACTF⁩⁦Welcome to if ("jitanglailo" == $_GET[ahahahaha] &‮⁦+!!⁩⁦& "‮⁦ Flag!.
【CTF】[NISACTF 2022]babyupload
西原一点红的博客
06-19 192
文件上传
NSS [NISACTF 2022]babyupload
Jay17的博客
07-09 253
NSS [NISACTF 2022]babyupload
[NISACTF 2022]babyupload(wp)
wikey 的博客
03-30 525
有一个小问题,我们在尝试上传图片马也就是//php木马时,burp会自行改形式为image/jpeg图片内容,我们既然需要伪造//flag文件,就需要改相应的格式。如: text/plain。这道题学会了个新姿势就是当res[0]为绝对路径时,我们可以直接跳转到最后文件地址而不需要补齐界面的文件,直接跳转//flag界面。所以用burp修改文件名为 //flag,跳转就读取到//flag文件了。当res[0]为绝对路径时,打开的就是绝对路径,不会进行拼接。给了上传地址直接访问就可。
[NISACTF 2022]上
qq_62046696的博客
07-26 3440
在php中变量名字是由数字字母和下划线组成的,所以不论用post还是get传入变量名的时候都将空格、+、点、[转换为下划线,但是用一个特性是可以绕过的,就是当[提前出现后,后面的点就不会再被转义了,suchas`CTF[SHOW.COM`=>`CTF_SHOW.COM`打开界面本来以为是简单的get传参,结果发现有的字符不能选中,选了好几下也不可以很蹊跷,仅仅想到了可能是代替的一些东西吧,然后csdn了一下。array1[]=1&array2[]=2本来觉得数组绕过就可以可是,发现输出了?...
NISACTF2022公开通道
as you know, nlp is fantasitc!
03-29 1993
NISACTF2022公开通道checkinlevel_up第一层 robots.txt第二层 md5碰撞第三层 sha1碰撞第四层 parse_url解析漏洞第五层create_function()注入bingdundunbabyserializebabyuploadeasyssrfis secret(原题)popchain(原题)middlevel(原题) 题目 checkin urlencode,因为解释器读取出来的才是真正的顺序 ahahahaha=jitanglailo&&%E2%
NISACTF 2022-WEB部分wp
m0_74606212的博客
10-11 187
NISACTF 2022-WEB部分wp
[NISACTF 2022]WriteUp web篇
Pysnow's Blog
04-01 4344
[NISACTF 2022] WEB checkin 打开一看,本来一位就是简单的一道get传参题,结果发现复制的时候出现了问题 所以我就把代码复制到vscode上面来 发现存在Unicode特殊字符,直接把字符原样复制下来,然后URLencode编码一下 最终payload ?ahahahaha=jitanglailo&%E2%80%AE%E2%81%A6Ugeiwo%E2%81%A9%E2%81%A6cuishiyuan=%E2%80%AE%E2%81%A6 Flag!%E2%81%
网络安全管理组织架构复习
LongL_GuYu的博客
06-12 308
网络安全管理组织架构复习
网络安全练气篇——OWASP TOP 10
weixin_55762309的博客
06-13 472
OWASP(开放式Web应用程序安全项目)是一个开放的社区,由非营利组织 OWASP基金会支持的项目。对所有致力于改进应用程序安全的人士开放,旨在提高对应用程序安全性的认识。其最具权威的就是“10项最严重的Web 应用程序安全风险列表” ,总结并更新Web应用程序中最可能、最常见、最危险的十大漏洞,是开发、测试、服务、咨询人员应知应会的知识。最重要的版本应用程序中最严重的十大风险。
网络安全 - ARP 欺骗原理+实验
z339521的博客
06-13 927
APRAPR(Address Resolution Protocol)即地址解析协议,负责将某个 IP 地址解析成对应的 MAC 地址。在网络通信过程中会使用到这两种地址,逻辑 IP 地址和物理 MAC 地址,一般情况下,正常通信需要这两种地址协同工作。一个主机要和另一个主机进行直接通信,必须要知道目标主机的 MAC 地址。但这个目标 MAC 地址是如何获得的呢?就是需要通过 ARP 协议获得的。
【网络安全的神秘世界】web应用程序安全与风险
weixin_54750312的博客
06-05 1340
web攻击的本质,就是通过http协议篡改应用程序(永远不要相信用户的输入)可利用点:请求方法、请求头、请求体利用过程:认证、会话、授权弱口令强口令账号枚举认证不满足强口令条件密码长度至少8位包含大小写字母、数字、特殊字符中的至少3类密码和用户名无相关性尝试大量可能的账号名称,以找出系统中存在的有效账号为了密码爆破做准备,节省攻击时间判断下面属于什么口令:admin@123#1 --弱口令,与用户名相关。
【网络安全】【深度学习】【入侵检测】SDN模拟网络入侵攻击并检测,实时检测,深度学习【一】
q742971636的博客
06-09 1300
Mininet: 主要用于创建和模拟虚拟网络拓扑,适合于网络实验和研究。Ryu: 主要用于开发和运行 SDN 控制器,用于管理和控制网络设备。这两个工具通常可以结合使用:使用 Mininet 模拟网络环境,使用 Ryu 作为 SDN 控制器来管理模拟网络中的设备和流量。
提升网络安全韧性:从基础防护开始
最新发布
Dexun_chuqi的博客
06-13 333
网络安全韧性(Cyber Resilience)指的是在面对网络攻击或其他不利事件时,系统、网络和组织能够有效抵御、吸收和恢复正常功能的能力。这一概念不仅关注防止攻击的发生,还强调在攻击发生后,系统能够迅速恢复并继续运行。网络安全韧性包括预防、响应、恢复三个主要环节,旨在确保在面对各种潜在威胁时,网络能够保持其关键功能。提升网络安全韧性是一项系统性工程,涉及多个方面的综合管理和技术手段。
网络安全练气篇——Web与Http基础
weixin_55762309的博客
06-13 370
既然我们要学习 Web 安全,当然要简单的了解什么是 Web,Web 与现在与我们生活息息相关,上个网站浏览新闻,看个视频,或者说……(咳咳)。这其中涉及到几个基本的点,从通信,会接触到 URL,到协议,会接触到 HTTP,再到前后端的概念,前端即 HTML,CSS,JavaScript,三剑客。后端,即处理脚本语言,比如PHP,JAVA,python,SQL 等等,再细致的分还能分为很多,这是一个庞大的链路,我们先从简单的学起就好啦。那什么是 Web 呢?
网络安全练气篇——PHP编程语言基础
weixin_55762309的博客
06-13 688
(外文名:PHP:Hypertext Preprocessor,中文名:“超文本预处理器”) 是一种通用开源脚本语言。语法吸收了C语言、Java和Perl的特点,利于学习,使用广泛,主要适用于Web开发领域。用PHP做出的动态页面与其他的编程语言相比,PHP是将程序嵌入到HTML(标准通用标记语言下的一个应用) 文档中去执行,执行效率比完全生成HTML标记的CGI要高许多,PHP还可以执行编译后代码,编译可以达到加密和优化代码运行,使代码运行更快。
【网络安全】【深度学习】【入侵检测】SDN模拟网络入侵攻击并检测,实时检测,深度学习【二】
q742971636的博客
06-12 218
以通过 Alt+F2 然后输入 xterm 尝试打开xterm。这之后就可以用Ctrl+Alt+T打开新终端了。在之前的代码中,已经捕获到攻击流量并打印。
网络安全和信息安全
waitaikong_的博客
06-12 366
信息安全、网络安全与网络空间安全是当前信息技术领域内的三个重要概念,它们在某些方面有着紧密的联系,同时在不同的语境和应用场景下又有所区别。本次分析旨在深入理解这三个概念的定义、内涵及其相互关系,以便更好地应用于实际工作中。综上所述,信息安全、网络安全和网络空间安全是三个密切相关但又各具特色的概念。信息安全关注的是信息本身的保护,网络安全侧重于网络环境和设施的安全,而网络空间安全则是一个更全面的框架,它不仅包括了信息安全和网络安全的内容,还延伸到了更广泛的社会和法律层面。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值