攻防世界——i-got-id-200

原创 已于 2025-11-18 15:18:30 修改 · 1k 阅读 · 26 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#网络安全 #web安全 #CTF
于 2025-11-18 15:07:42 首次发布

打开靶机后发现有三个网页链接

先用diersearch扫描看看能不能找出源代码

什么也没发现

点开第一个(Hello World)

提示我们这里用的是Perl语言

Perl 是一门解释型编程语言,无需编译,直接由 Perl 解释器执行。用于早期 Web 开发,是 CGI 脚本的「首选语言」(比 PHP 更早普及),很多老服务器、运维脚本、漏洞场景都基于 Perl CGI;

点开第二个(Forms)

提示这里用的是Perl的CGI 模块

并且能够把输入的信息回显出来

猜测这里存在Perl CGI 模块的 param() 函数

Perl 编写的 CGI 脚本,通常会用 CGI.pm 模块处理 Web 请求,而 param() 是该模块的核心函数,作用是 获取客户端(浏览器 / 攻击者)提交的请求参数(比如表单数据、URL 参数、文件上传数据)。

param()的作用

  • 接收 GET/POST 请求的参数(比如 http://xxx/cgi-bin/file.pl?name=test 中的 name 参数);
  • 接收文件上传的相关数据(比如上传文件的文件名、文件内容);
  • 无需区分 GET/POST 方法,直接通过参数名获取值,简化 CGI 脚本开发。

换句话说,param()函数就是一个接收文件并传到后台的函数

点开第三个(Files)

发现有一个文件上传页面

但不知道上传文件的路径

随便传入一个文件,发现它能把我们传入的文件内容打印出来

猜测这里存在一个句柄,脚本会读取这个句柄的内容并回显

并且我们从第二个网页猜测到这里存在Perl CGI 模块的 param() 函数

那么思路来了

这个句柄也许就是ARGV文件

我们可以传入一个文件,并修改文件名为 ARGV

如果我们传入一个ARGV的文件,那么Perl会将传入的参数作为文件名读出来。如果对正常的上传文件内容进行修改,可以达到读取任意文件的目的。

ARGV 是 Perl 内置的文件句柄,专门用于处理命令行参数传入的文件。当 Perl 脚本运行时,若命令行后跟文件名(如perl script.pl file.txt),ARGV 会自动关联file.txt,脚本中<> 运算符默认读取 ARGV 对应的文件内容。

换句话说,修改文件名为ARGV后可快速让目标服务器上的 Perl 脚本读取该文件,对正常的上传文件进行修改,可以达到读取任意文件的目的。

抓包读取源代码验证测试一下我们的猜想

抓取文件上传的包并发到repeater

直接把fliename参数改为ARGV并在文件内容上写入路径

------WebKitFormBoundaryRFagHVAG215Cy6BJ

Content-Disposition: form-data; name="file"; filename="ARGV"

Content-Type: application/octet-stream



var/www/cgi-bin/file.pl

发现它会直接把我的输入打印到页面上,而不会执行语句

换种方法

在抓取的包上再写入一个ARGV文件包,把filename删去,在url上传入查询路径

成功找到

CGI 脚本有一个核心特性:URL 中的查询参数(?后面的内容),会被 Perl 自动存入@ARGV数组(相当于命令行参数)。

后端也许存在文件检测,必须要检测到一个真实的文件才能放行

所以

第一个file字段用于注入语句

第二个file字段用于欺骗后端满足后端逻辑,让脚本继续跑下去

一般CGI脚本的标准部署目录都是/var/www/cgi-bin/,结合原来的url,我们不难猜测这个网站CGI的源码就在/var/www/cgi-bin/file.pl

源码如下

if ($cgi->upload('file')) { 
    my $file = $cgi->param('file'); 
    while (<$file>) { 
        print "$_"; 
    } 
}

$file = $cgi->param('file')

param('file') 不仅能接收 “上传文件的句柄”,还能接收 用户指定的任意句柄名(比如 ARGV)—— 只要攻击者上传时,让 param('file') 返回 ARGV 句柄,<$file> 就会变成 <ARGV>,触发 Perl 的特殊读取逻辑。

并且我们发现<$file> 读取逻辑没有任何过滤
当 $file 是 ARGV 句柄时,<ARGV> 的读取优先级是:
先读 URL 参数 / 命令行参数(比如 file.pl?cmd=xxx 中的 cmd=xxx);
再读当前目录下名为 ARGV 的文件;
最后读标准输入。
<ARGV> 会把读取到的 “字符串” 当作 “数据源指令”—— 如果字符串是系统命令,Perl 会直接调用系统解释器(bash)执行该命令,再把执行结果通过 print "$_" 回显。

换句话说,现在我们可以直接在url中写入bash指令读取数据

先从根目录下寻找flag

构造payload

?/bin/bash -c ls /

传入后发现被过滤了

用${IFS}替代空格

?/bin/bash -c ls${IFS}/

还是被过滤了

IFS中存储的值可以使空格、制表符、换行符或者其他自定义符号,可以在linux中使用${IFS}代替空格

用%20替代空格并加上管道符试试

?/bin/bash%20-c%20ls${IFS}/|

成功了

发现flag就在根目录下

管道符 | 的核心功能是将前一个命令的输出,作为后一个命令的输入

在末尾加 |,会让命令变成 ls${IFS}/|,相当于改变了命令的结尾字符(从 / 变成 |),绕过 “禁止以 / 结尾” 的规则并且伪装成 “管道命令” 的格式,满足目标系统对命令结构的校验,让 bash 能正常解析执行。

并且管道符右端无指令并不会让bash报错,只会让它执行左边的ls${IFS}/

抓取flag

构造payload

?cat%20/flag%20|

网络安全 | CTF攻防世界 command_execution 解题详析
等风来
05-21 9002
ping 命令是一个常用的网络命令,用于测试两台计算机之间网络连接的连通性。通过向目标计算机发送 ICMP 协议的数据包,并等待目标计算机返回响应数据包来测试网络的可达性,同时也可以测试网络的延迟和丢包率等信息。本地回环地址是网络通信中的特殊地址,指向本机的网络接口,因此通过发送 icmp 数据包到该地址来测试网络连通性和延迟。如果 ping 命令不正确地处理其输入参数,就可能存在被攻击者利用来运行危险的命令的风险。2.ping+IP地址或主机域名+命令参数。3.ping+命令参数+IP地址或主机域名。
CTF之i-got-id-200
qq_74263993的博客
03-29 539
我们猜测/cgi-bin/file.pl的路径是在/var/www/cgi-bin/file.pl,所以构造playload:?/bin/bash%20-c%20ls${IFS}/|列出bin下的文件,找到了/flag。并且把上传的文件复制一下贴在前面,并且把文件名和内容删除,在到下面添加一个ARGV。而perl上传代码使用了param()函数,的话就可能有漏洞了。拿到题目看了看源码试了下文件上传,都没什么用。再构造playload:/flag。
攻防世界-Web 简单入门-No.1
pone2233的博客
07-11 2907
文章目录比赛地址view_sourceget_postrobotsbackupcookiedisabled_buttoncyberpeace{23286d5010dee15644e560dabf702614}weak_authcommand_executionsimple_phpxff_refererwebshellsimple_js 比赛地址 攻防世界 :https://adworld.xctf.org.cn/ view_source 按F12检查一下就找到了flag get_post 这个简单
零基础小白如何入门CTF,看这一篇就够了(附学习笔记、靶场、工具包)
最新发布
2401_85688943的博客
03-26 483
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式,2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地,DEFCON CTF也成为了目前全球最高技术水平和影响力的CTF竞赛,类似于CTF赛场中的“世界杯”。CTF靶场。
【愚公系列】2023年06月 攻防世界-Web(i-got-id-200
愚公智库
06-18 4607
Perl 文件上传是一种使用Perl编程语言编写的文件上传脚本或程序,它可以将文件从本地计算机上传到 Web 服务器或远程服务器。Perl 文件上传脚本通常由客户端和服务器端两个部分组成。客户端部分通常是一个HTML表单,用户可以使用它选择要上传的文件。服务器端部分是由Perl编写的脚本,它可以从客户端接收文件并将其保存到服务器上的指定位置。使用Perl文件上传脚本可以极大地简化文件上传的过程,提高效率和用户体验。ARGV 是 Perl 中的一个内置变量,用于获取命令行参数。
攻防世界web进阶区i-got-id-200超详解
hxhxhxhxx的博客
08-10 2808
攻防世界web进阶区i-got-id-200详解题目详解param()漏洞分析构造远程执行代码 题目 提示:嗯刚建了一个网站 打开网页发现三个可以点击的 file处存在文件上传 form处存在xss 详解 .pl结尾的都是perl编写的网页文件 这里上传文件会直接进行展示,到这里就没了= = 只能看看师傅们的wp 师傅们猜测这里后台perl上传代码使用了param()函数 这里附上网上大佬们猜测的后台代码 use strict; use warnings; use CGI; my $cgi=
攻防世界 web高手进阶区 6分题(ics-07、unfinish、i-got-id-200
闵行小鱼塘
08-02 1108
继续ctf的旅程,攻防世界web高手进阶区的6分题:ics-07、unfinish、i-got-id-200
攻防世界 web 进阶 i-got-id-200
weixin_42499640的博客
08-09 2372
题目:i-got-id-200 题目来源: csaw-ctf-2016-quals 打开网页 有三个页面 Hello World Forms Files 都是 .pl 后缀 都是用perl编写的网页文件 Froms用了CGI Files用了upload 尝试发现上传文件支持所有格式的文件 Froms是把输入的内容打印到屏幕 简单猜测后台的代码是这样的 perl use strict; use w...
攻防世界XCTF:i-got-id-200
末初 · mochu7
03-13 2529
Perl写的站,三个链接页面内容如下: 直接来到上传,随便先上传一个文件。 他把上传的文件内容返回出来了,猜测后台源码逻辑 use strict; use warnings; use CGI; my $cgi= CGI->new; if ( $cgi->upload( 'file' ) ) { my $file= $cgi->param( 'file' ); ...
攻防世界——web新手和引导模式(全解)
热门推荐
小白一枚多多关注的博客
12-20 3万+
全新攻防世界web新手题目,小白重新归来
攻防世界-难度1-Misc总结
Welcome To My6n Blog
03-05 7251
攻防世界-难度1-Misc总结 ; 主要针对Misc入门、图片隐写; kali linux、Stegsolve.jar、010Editor、WinHex、QR Research、Ziperello、ARCHPR、RX-SSTV、IDLE、Bandizip、7zFM、Firefox、SilentEye、DeepSound、PS、Wireshark;binwalk、foremost、zsteg、strings、grep、stegpy、file、checksec、pngcheck、convert、montage
攻防世界-web-FlatScience
wuh2333的博客
10-25 1585
攻防世界web,FlatScience
CTFCTF竞赛介绍以及刷题网址
m0_71744044的博客
06-05 1666
CTF是一种流行的信息安全竞赛形式,其英文名可直译为“夺得Flag”,也可意译为“夺旗赛”。其大致流程是,参赛团队之间通过进行攻防对抗、程序分析等形式,率先从主办方给出的比赛环境中得到一串具有一定格式的字符串或其他内容,并将其提交给主办方,从而夺得分数。为了方便称呼,我们把这样的内容称之为“Flag”。PWN(溢出):PWN在黑客俚语中代表着攻破,取得权限,在CTF比赛中它代表着溢出类的题目,其中常见类型溢出漏洞有栈溢出、堆溢出。
web之i-got-id-200
m0_52501802的博客
11-14 594
又因为删除了filename文件名,所以$file的值(原本为文件名)变成ARGV,会执行ARGV,即遍历数组变量@ARGV中的命令行参数列表,将命令行参数执行。发到repeater中,修改request文件:将框中再次复制粘贴,删除filename,将内容修改为ARGV。发现会将文件上传并将内容输出,猜测服务端使用了perl的param()函数并具有param()函数漏洞。进去就三个链接,都是在cgi-bin目录下的perl文件写的页面,页面信息也暗示了。*web题目,此外什么信息都没有。
攻防世界 i-got-id-200
Hacker_Fuchen的博客
01-08 441
进入主页面,发现三个链接,御剑扫描一下,并没有发现什么。经过测试,发现,第二第三个界面会将提交的内容显示在页面上。当上传一句话木马时,会被注释掉。考虑用< script>绕过。后来发现网站是由perl语言所写,这真不会,去看看wp,发现漏洞在param()函数中,
攻防世界-Web合集-引导模式(持续更新)
qq_52364123的博客
12-27 9802
攻防世界-Web合集-引导模式(持续更新)
XCTF-高手进阶区:i-got-id-200
1stPeak's Blog
04-14 698
题目 三个文件,都是perl写的,Files存在上传文件,它会将上传的文件内容打印出来 没接触过perl,看了别人的wp,就简单说一下,以后学了perl再来回味 因为它会将上传的文件内容打印出来,所以猜测后台存在param()函数 param()函数会返回一个列表的文件但是只有第一个文件会被放入到下面的file变量中。如果我们传入一个ARGV的文件,那么Perl会将传入的参数作为文件名读出来...
攻防世界WEB(新手模式)1-19-file_include
你好
03-06 1172
一般过滤情况【base、be(过滤字符编码)、encode、print、zlib、quoted、write、rot13、read、string、i】发现这几个的编码方式都可以,随便用一个编码,这里我用的是utf-32。使用payload 进行测试,发现对编码方式也有过滤。果然是什么都没有,那接下来我们构造payload。查看check.php,一般情况下肯定会被过滤。
攻防世界-新手篇(Misc)~~~
pone2233的博客
03-25 2813
Mise this_is_flag 签到题flag{th1s_!s_a_d4m0_4la9} pdf 打开图片,flag值在图片底下,wps将pdf转为word格式后,将图片拉开发现flag flag{security_through_obscurity} gif 刚开始给了是黑白图片,用照妖镜winhex,没发现东西,他真好给104个图片,想想正好有13个对二进制。 就写了一个脚本 whi...
攻防世界pwn-level0详细步骤
m0_74047686的博客
02-28 1742
学习pwn开始,慢慢来不要急
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值