xctf攻防世界 Web高手进阶区 i-got-id-200

最新推荐文章于 2025-11-18 15:07:42 发布
原创 最新推荐文章于 2025-11-18 15:07:42 发布 · 1.3k 阅读 · 1 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#前端 #安全
博主通过Dirsearch探测发现Perl脚本回显漏洞,利用upload文件功能,通过修改参数和使用`/bin/bash-c`执行命令,成功读取并展示flag。文章详细解析了Perl的param()函数和IFS环境变量的应用。

1. 进入环境,查看题目

在这里插入图片描述
使用dirsearch扫一下,如图:
在这里插入图片描述
没有什么问题,第二个Forms点击去后,发现有回显,于是思考sql注入?一顿操作,发现也没有什么有用的信息。。。麻了!

2. 问题分析

  1. 点击Files,发现可以上传文件
    上传个txt试试,发现上传啥就回显啥。另外发现页面都是.pl,查了查,是脚本语言perl。大概能get到出题的突破口,利用perl漏洞或者回显注入,从而拿到后台的flag,无奈对perl不熟,无从下手,查看wp后跟着操作来。

抓包上传文件,看看传输的内容,如图:
在这里插入图片描述
a.txt内容为123,上传什么出现什么,大神们就能猜到代码了。。。我也是服气。

因为它会将上传的文件内容打印出来,所以猜测后台存在param()函数。param()函数会返回一个列表的文件但是只有第一个文件会被放入到下面的file变量中。如果我们传入一个ARGV的文件,那么Perl会将传入的参数作为文件名读出来。对正常的上传文件进行修改,可以达到读取任意文件的目的。我们不猜代码,一步步来:
复制下面一遍代码,将filename删去,内容修改为ARGV,读取file.pl看看有什么(就猜它在/var/www/cgi-bin/下!)同时修改POST地址后的参数,作为要读取的文件,如图:
在这里插入图片描述
我么可以看到回显源码:
在这里插入图片描述
果然验证了有param()函数的猜想。

  1. 利用bash读取一下主目录有啥文件
/cgi-bin/file.pl?/bin/bash%20-c%20ls${IFS}/|

%20是空格,原始命令为:/cgi-bin/file.pl?/bin/bash -c ls${IFS}/|,为什么这么构造?后面有解释,先看效果:
在这里插入图片描述

  1. 发现目录中有flag,同样套路读取flag
    如图:在这里插入图片描述
    cyberpeace{caddee4d044004c61124d0029e8d496c}

  2. 跟着大佬反思

    1. 何为/bin/bash -c?
      /bin/bash -c表示指定将命令转为一个完整命令执行,可以理解为执行linux命令
      例:
      在这里插入图片描述
    2. 何为${IFS}?
      I F S 是 s h e l l 的 特 殊 环 境 变 量 , 是 L i n u x 下 的 内 部 区 域 分 隔 符 。 IFS是shell的特殊环境变量,是Linux下的内部区域分隔符。 IFSshell,LinuxIFS中存储的值可以使空格、制表符、换行符或者其他自定义符号,可以在linux中使用${IFS}代替空格
      例:
      在这里插入图片描述
    3. 为什么要加|?
      |:管道符左边命令的输出就会作为管道符右边命令的输入,这里为什么要加我也没搞明白,如有知道的朋友评论告诉我,谢谢。
      举例一个常见的用法吧:cat后输出的内容,作为|后面内容的输入,这里是交给grep执行
      在这里插入图片描述
    4. 注:经测试,${IFS}和/bin/bash联用时,不代表空格

自行做测试后发现${IFS}被识别为根目录符号,但是不知道为什么会这么识别,另外管道符|,我认识是需要将内容作为ARGV的输入打包,用于显示出查找的内容个。

3. 总结

参考博文:

  • https://www.freesion.com/article/7171487849/
  • https://www.jianshu.com/p/2d34ef30361b
  • https://blog.csdn.net/whuslei/article/details/7187639
  • https://metacpan.org/pod/CGI

太难了,这题跟着wp操作下来的,PERL和shell知道太少了,仅做记录和总结吧

Go-Blaster-cli一个go后台脚手架命令行工具
08-14
一个简单的blaster脚手架管理工具. blaster用于创建工程
【愚公系列】2023年06月 攻防世界-Web(i-got-id-200
愚公智库
06-18 4607
Perl 文件上传是一种使用Perl编程语言编写的文件上传脚本或程序,它可以将文件从本地计算机上传到 Web 服务器或远程服务器。Perl 文件上传脚本通常由客户端和服务器端两个部分组成。客户端部分通常是一个HTML表单,用户可以使用它选择要上传的文件。服务器端部分是由Perl编写的脚本,它可以从客户端接收文件并将其保存到服务器上的指定位置。使用Perl文件上传脚本可以极大地简化文件上传的过程,提高效率和用户体验。ARGV 是 Perl 中的一个内置变量,用于获取命令行参数。
CTF之i-got-id-200
qq_74263993的博客
03-29 539
我们猜测/cgi-bin/file.pl的路径是在/var/www/cgi-bin/file.pl,所以构造playload:?/bin/bash%20-c%20ls${IFS}/|列出bin下的文件,找到了/flag。并且把上传的文件复制一下贴在前面,并且把文件名和内容删除,在到下面添加一个ARGV。而perl上传代码使用了param()函数,的话就可能有漏洞了。拿到题目看了看源码试了下文件上传,都没什么用。再构造playload:/flag。
攻防世界web进阶i-got-id-200
gongjingege的博客
08-06 588
打开链接,有三个链接地址 挨个看一哈 发现在url栏都是以.pl结尾,百度一下是perl编写的(很好,不懂) 看一下源码,也没要求上传什么文件 但是会把文件内容打印出来 这里看大佬讲的是param()函数 param()函数会返回一个列表的文件但是只有第一个文件会被放入到下面的接收变量中。如果我们传入一个ARGV的文件,那么Perl会将传入的参数作为文件名读出来。对正常的上传文件进行修改,可以达到读取任意文件的目的 bp抓包 将上传文件的代码复制,粘贴,删除filename=“”,加上ARV
攻防世界web进阶i-got-id-200超详解
hxhxhxhxx的博客
08-10 2808
攻防世界web进阶i-got-id-200详解题目详解param()漏洞分析构造远程执行代码 题目 提示:嗯刚建了一个网站 打开网页发现三个可以点击的 file处存在文件上传 form处存在xss 详解 .pl结尾的都是perl编写的网页文件 这里上传文件会直接进行展示,到这里就没了= = 只能看看师傅们的wp 师傅们猜测这里后台perl上传代码使用了param()函数 这里附上网上大佬们猜测的后台代码 use strict; use warnings; use CGI; my $cgi=
攻防世界 web 进阶 i-got-id-200
weixin_42499640的博客
08-09 2372
题目:i-got-id-200 题目来源: csaw-ctf-2016-quals 打开网页 有三个页面 Hello World Forms Files 都是 .pl 后缀 都是用perl编写的网页文件 Froms用了CGI Files用了upload 尝试发现上传文件支持所有格式的文件 Froms是把输入的内容打印到屏幕 简单猜测后台的代码是这样的 perl use strict; use w...
攻防世界XCTF:i-got-id-200
末初 · mochu7
03-13 2529
Perl写的站,三个链接页面内容如下: 直接来到上传,随便先上传一个文件。 他把上传的文件内容返回出来了,猜测后台源码逻辑 use strict; use warnings; use CGI; my $cgi= CGI->new; if ( $cgi->upload( 'file' ) ) { my $file= $cgi->param( 'file' ); ...
攻防世界 i-got-id-200
Hacker_Fuchen的博客
01-08 441
进入主页面,发现三个链接,御剑扫描一下,并没有发现什么。经过测试,发现,第二第三个界面会将提交的内容显示在页面上。当上传一句话木马时,会被注释掉。考虑用< script>绕过。后来发现网站是由perl语言所写,这真不会,去看看wp,发现漏洞在param()函数中,
web之i-got-id-200
m0_52501802的博客
11-14 594
又因为删除了filename文件名,所以$file的值(原本为文件名)变成ARGV,会执行ARGV,即遍历数组变量@ARGV中的命令行参数列表,将命令行参数执行。发到repeater中,修改request文件:将框中再次复制粘贴,删除filename,将内容修改为ARGV。发现会将文件上传并将内容输出,猜测服务端使用了perl的param()函数并具有param()函数漏洞。进去就三个链接,都是在cgi-bin目录下的perl文件写的页面,页面信息也暗示了。*web题目,此外什么信息都没有。
攻防世界 WEB进阶 i-got-id-200
m0_51395584的博客
06-09 594
攻防世界 WEB进阶 i-got-id-200
攻防世界——i-got-id-200
最新发布
2402_88743313的博客
11-18 1098
摘要:本文分析了基于Perl CGI模块的文件上传漏洞利用过程。通过上传文件名为"ARGV"的特殊文件,利用Perl内置ARGV句柄特性绕过安全限制。测试发现param()函数未过滤输入,导致可通过URL注入bash命令。最终利用管道符绕过过滤,成功读取/flag文件内容。整个过程展示了Perl CGI脚本中文件处理函数的安全风险,以及利用特殊文件名和参数注入实现命令执行的方法。
XCTF-高手进阶:i-got-id-200
1stPeak's Blog
04-14 698
题目 三个文件,都是perl写的,Files存在上传文件,它会将上传的文件内容打印出来 没接触过perl,看了别人的wp,就简单说一下,以后学了perl再来回味 因为它会将上传的文件内容打印出来,所以猜测后台存在param()函数 param()函数会返回一个列表的文件但是只有第一个文件会被放入到下面的file变量中。如果我们传入一个ARGV的文件,那么Perl会将传入的参数作为文件名读出来...
攻防世界 WEB i-got-id-200
qq_41696858的博客
09-01 328
这题考的是perl的任意文件,结合ARGV参数可以读取任意文件 具体可以看这篇 在文件上传页面,通过修改burpsuite抓到的包,可以实现读取任意路径 具体做法: 在原包上面复制一份抓到的文件内容,然后把文件名去掉,在下面加上一行ARGV,最后在url上加上?+文件路径 由于ARGV写在了原文件内容的前面,所以由于param函数只读取第一个文件内容的属性,读取了我们传入的文件路径的内容 当然可以看一下/var/www/html/cgi-bin/file.pl的原文件内容 ```perl use stric
【网络安全 | CTF】攻防世界 command_execution 解题详析
等风来
05-21 9002
ping 命令是一个常用的网络命令,用于测试两台计算机之间网络连接的连通性。通过向目标计算机发送 ICMP 协议的数据包,并等待目标计算机返回响应数据包来测试网络的可达性,同时也可以测试网络的延迟和丢包率等信息。本地回环地址是网络通信中的特殊地址,指向本机的网络接口,因此通过发送 icmp 数据包到该地址来测试网络连通性和延迟。如果 ping 命令不正确地处理其输入参数,就可能存在被攻击者利用来运行危险的命令的风险。2.ping+IP地址或主机域名+命令参数。3.ping+命令参数+IP地址或主机域名。
XCTFWeb – I-got-id-200 (Perl语言与linux命令)
wssmiss的博客
04-19 723
Perl语法及特性学习和web CGI接口编程,linux命令以及管道操作 初窥题目 打开网站有三个指向网页 第一个网页是个pl页面,而且可以发现url处,不是我们常见的php语言,jsp,asp语言。而是.pl后缀,查了一下是perl语言。 Perl:一种脚本语言,也是胶水语言,拥有巨大的第三方库CPAN,可以用来做web编程,而且对于文件操作方便快捷。 第二个网页是个表...
xctf web i-got-id-200
doudoudedi
06-20 4059
今天就一个毛概课但是很热啊 中午来写一个wp 打开题目会有 直接跳到文件会有一个上传,但它会将上传的内容显示出来 哦们可以猜测他的php代码(前面还有提示哦) ```perl use strict; use warnings; use CGI; my $cgi= CGI->new; if ( $cgi->upload( 'file' ) ) { my $file= $cgi-&...
攻防世界-web-i-got-id-200-从0到1的解题历程writeup
CTF小白的博客
04-17 2972
题目分析 主要的功能界面就两个 提交姓名年龄界面 文件上传界面 首先可以知道这是一个perl语言的后台 漏洞扫描了一下除了xss漏洞还有这个目录穿越漏洞 直接猜出flag文件 常规做法可以 /cgi-bin/file.pl?/bin/bash%20-c%20ls${IFS}/| 看了大佬的解释为 通过管道的方式,执行任意命令,然后将其输出结果用管道传输到读入流中,这样就可以保证获取到fla...
考试后查漏补缺之cat命令
weixin_43911375的博客
12-05 334
cat命令一、命令及常用参数1.命令用法二、选项三、追加文件内容,合并文件内容1.合并文件2.追加文件内容 一、命令及常用参数 1.命令用法 用法:cat [选项] [文件] 功能:用来查看文件内容,创建文件,文件合并,追加文件内容等功能 二、选项 选项 含义 -b 对非空输出行编号 -E 在每行结束处显示"$" -n 对输出的所有行编号 -s 不输出多行空行(当出现连续空行,只出现一个空行) -b --number-nonblank 对非空输出行编号(不对空行进行编
攻防世界 web高手进阶 6分题(ics-07、unfinish、i-got-id-200
闵行小鱼塘
08-02 1108
继续ctf的旅程,攻防世界web高手进阶的6分题:ics-07、unfinish、i-got-id-200
攻防世界Web:i-got-id-200
Light_inthe_eyes的博客
10-20 283
打开页面,看见三个可点击链接: hello.pl: forms.pl,输入Name和Age后会直接输出在页面上,感觉没什么突破点: file.pl,先上传一个test.txt文件,内容是123,发现文件内容直接输出在页面了,猜想后台源码可能用了parm()函数: param()函数会返回一个列表的文件但是只有第一个文件会被放入到下面的接收 变量中。 如果我们传入一个ARGV的文件,那么Perl会将传入的参数作为文件名读出来。 对正常的上传文件进行修改,可以达到读取任意文件的目的。 用burpsuite抓
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

l8947943

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值