最近在ctf_hub上看到任意檔案讀取的一道web滲透測試題,詳見ctfhub 中web afr-3,突然想到2023年參加網鼎盃白虎組,有個picdown的題目大同小異,手法相似,對任意檔案讀取漏洞的危害做個總結。
在afr-3中,任意檔案讀取漏洞如下,首先進入首頁,如下圖:
點進去,首頁是個輸入框,輸入test,提交查詢,如圖:
在輸入框這個地方存在xss,不過暫時先不管這個,重點關注任意檔案讀取。看到url中有個name=article,這個引數,猜測這個引數是突破點,將article改為article2,報錯如圖:
從報錯可以看出name引數可以讀取到系統檔案,嘗試讀取/etc/passwd,如圖:
確認name引數存在任意檔案讀取漏洞後,直接檢視proc資料夾下的相關資訊,如cmdline,cwd等資料夾,訪問/proc/self/cmdline,如圖,
說明存在當前目錄下存在server.py檔案,讀取server.py檔案,如圖:
從源代中可以看到name引數中,存在任意檔案讀取漏洞,因為過濾了flag,不能直接看到flag檔案中的內容。第9行中可以看到flag已經放到flag變數中。最開始想方設法繞過page.find的過濾,最終放棄。發現在24行中存在ssti模板注入漏洞。
但注入的內容,必須通過session獲取,就是說要偽造session,構造ssti注入。偽造flask的session,必須知道secret_key,從源**中可以看到,secret_key在key.py檔案中,讀取key.py檔案中的內容如下:
利用flask-session-manage,可以偽造session,使用方法如下,詳細用法見github官網說明。
偽造}"}的session,如圖:
改為post請求,修改session,結果如圖:
任意檔案讀取漏洞小記
漏洞介紹 realpath filepath file filename path path inputfile url urls lang dis data readfile filep src menu meta inf web inf 任意檔案讀取常用敏感檔案路徑 windows c boot...
GlassFish任意檔案讀取漏洞跟蹤
漏洞描述 趨勢跟蹤 根據我們在全球部署的蜜罐捕獲的資料顯示,針對glassfish的攻擊從來沒有停止過,poc在1月14日 公布之後,攻擊達到了頂峰,下圖為最近兩周蜜罐捕獲的攻擊趨勢。提取乙個月內針glassfish進行了全網大規模掃瞄的ip進行分析,top15個ip如下 排名第一的ip位於荷蘭阿姆...
PhpMyadmin任意檔案讀取漏洞及修復方案
簡要描述 phpmyadmin實現中錯誤的使用了 xml load string函式用於xml解析,但是該函式中預設並沒有處理好外部實體的安全性,導致使用者可以借助xml檔案讀取和訪問應用有許可權訪問的系統和網路資源 詳細說明 libraries import xml.php中 unset data...