浅谈python与proc

0x00 如果python open了一个文件,发生了什么?

从进程的I/O来看,这个文件会先被缓存(buffered),这意味着在写入这个文件之前,它会被保存在一个临时的位置,而你对它的一切更改都是在更改这个缓存文件,python并不会清空这个缓存区除非程序确定你完成了对这个文件的修改,比如你把这个文件close()了

如果你写入了一个文件,但并没有close,数据并不会被修改,比如:

1
2
3
4
5
6

with open('file.txt','r') as file:
#对文件的任何操作

file.close() #如果没有这个步骤,那么对文件的修改并不会被保存下来

0x01 /proc目录

Linux 内核提供了一种通过 /proc 文件系统,在运行时访问内核内部数据结构、改变内核设置的机制。proc文件系统是一个伪文件系统,它只存在内存当中,而不占用外存空间。它以文件系统的方式为访问系统内核数据的操作提供接口。

用户和应用程序可以通过proc得到系统的信息,并可以改变内核的某些参数。由于系统的信息,如进程,是动态改变的,所以用户或应用程序读取proc文件时,proc文件系统是动态从系统内核读出所需信息并提交的。下面列出的这些文件或子文件夹,并不是都是在你的系统中存在,这取决于你的内核配置和装载的模块。另外,在/proc下还有三个很重要的目录:net,scsi和sys。 Sys目录是可写的,可以通过它来访问或修改内核的参数,而net和scsi则依赖于内核配置。例如,如果系统不支持scsi,则scsi 目录不存在。

除了以上介绍的这些,还有的是一些以数字命名的目录,它们是进程目录。系统中当前运行的每一个进程都有对应的一个目录在/proc下,以进程的 PID号为目录名,它们是读取进程信息的接口。而self目录则是读取进程本身的信息接口,是一个link

目录 作用
/proc/buddyinfo 每个内存区中的每个order有多少块可用,和内存碎片问题有关
/proc/cmdline 启动时传递给kernel的参数信息
/proc/cpuinfo cpu的信息
/proc/crypto 内核使用的所有已安装的加密密码及细节
/proc/devices 已经加载的设备并分类
/proc/dma 已注册使用的ISA DMA频道列表
/proc/execdomains Linux内核当前支持的execution domains
/proc/fb 帧缓冲设备列表,包括数量和控制它的驱动
/proc/filesystems 内核当前支持的文件系统类型
/proc/interrupts x86架构中的每个IRQ中断数
/proc/iomem 每个物理设备当前在系统内存中的映射
/proc/ioports 一个设备的输入输出所使用的注册端口范围
/proc/kcore 代表系统的物理内存,存储为核心文件格式,里边显示的是字节数,等于RAM大小加上4kb
/proc/kmsg 记录内核生成的信息,可以通过/sbin/klogd或/bin/dmesg来处理
/proc/loadavg 根据过去一段时间内CPU和IO的状态得出的负载状态,与uptime命令有关
/proc/locks 内核锁住的文件列表
/proc/mdstat 多硬盘,RAID配置信息(md=multiple disks)
/proc/meminfo RAM使用的相关信息
/proc/misc 其他的主要设备(设备号为10)上注册的驱动
/proc/modules 所有加载到内核的模块列表
/proc/mounts 系统中使用的所有挂载
/proc/mtrr 系统使用的Memory Type Range Registers (MTRRs)
/proc/partitions 分区中的块分配信息
/proc/pci 系统中的PCI设备列表
/proc/slabinfo 系统中所有活动的 slab 缓存信息
/proc/stat 所有的CPU活动信息
/proc/sysrq-trigger 使用echo命令来写这个文件的时候,远程root用户可以执行大多数的系统请求关键命令,就好像在本地终端执行一样。要写入这个文件,需要把/proc/sys/kernel/sysrq不能设置为0。这个文件对root也是不可读的
/proc/uptime 系统已经运行了多久
/proc/swaps 交换空间的使用情况
/proc/version Linux内核版本和gcc版本
/proc/bus 系统总线(Bus)信息,例如pci/usb等
/proc/driver 驱动信息
/proc/fs 文件系统信息
/proc/ide ide设备信息
/proc/irq 中断请求设备信息
/proc/net 网卡设备信息
/proc/scsi scsi设备信息
/proc/tty tty设备信息
/proc/net/dev 显示网络适配器及统计信息
/proc/vmstat 虚拟内存统计信息
/proc/vmcore 内核panic时的内存映像
/proc/diskstats 取得磁盘信息
/proc/schedstat kernel调度器的统计信息
/proc/zoneinfo 显示内存空间的统计信息,对分析虚拟内存行为很有用

|
以下是/proc目录中进程N的信息

目录 描述
/proc/N pid为N的进程信息
/proc/N/cmdline 进程启动命令
/proc/N/cwd 链接到进程当前工作目录
/proc/N/environ 进程环境变量列表
/proc/N/exe 链接到进程的执行命令文件
/proc/N/fd 包含进程相关的所有的文件描述符
/proc/N/maps 与进程相关的内存映射信息
/proc/N/mem 指代进程持有的内存,不可读
/proc/N/root 链接到进程的根目录
/proc/N/stat 进程的状态
/proc/N/statm 进程使用的内存的状态
/proc/N/status 进程状态信息,比stat/statm更具可读性
/proc/self 链接到当前正在运行的进程
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
-r--r--r--   1 root root    0 Jan  5 14:48 buddyinfo
dr-xr-xr-x 4 root root 0 Jan 5 10:05 bus
-r--r--r-- 1 root root 0 Jan 5 14:48 cgroups
-r--r--r-- 1 root root 0 Jan 5 14:48 cmdline
-r--r--r-- 1 root root 0 Jan 5 14:48 consoles
-r--r--r-- 1 root root 0 Jan 5 14:48 cpuinfo
-r--r--r-- 1 root root 0 Jan 5 14:48 crypto
-r--r--r-- 1 root root 0 Jan 5 14:48 devices
-r--r--r-- 1 root root 0 Jan 5 14:48 diskstats
-r--r--r-- 1 root root 0 Jan 5 14:48 dma
dr-xr-xr-x 2 root root 0 Jan 5 14:48 driver
-r--r--r-- 1 root root 0 Jan 5 14:48 execdomains
-r--r--r-- 1 root root 0 Jan 5 14:48 fb
-r--r--r-- 1 root root 0 Jan 5 14:47 filesystems
dr-xr-xr-x 6 root root 0 Jan 5 10:05 fs
-r--r--r-- 1 root root 0 Jan 5 14:48 interrupts
-r--r--r-- 1 root root 0 Jan 5 14:48 iomem
-r--r--r-- 1 root root 0 Jan 5 14:48 ioports
dr-xr-xr-x 25 root root 0 Jan 5 10:05 irq
-r--r--r-- 1 root root 0 Jan 5 14:48 kallsyms
crw-rw-rw- 1 root root 1, 3 Jan 5 10:05 kcore
-r--r--r-- 1 root root 0 Jan 5 14:48 key-users
crw-rw-rw- 1 root root 1, 3 Jan 5 10:05 keys
-r-------- 1 root root 0 Jan 5 14:48 kmsg
-r-------- 1 root root 0 Jan 5 14:48 kpagecgroup
-r-------- 1 root root 0 Jan 5 14:48 kpagecount
-r-------- 1 root root 0 Jan 5 14:48 kpageflags
-r--r--r-- 1 root root 0 Jan 5 14:48 loadavg
-r--r--r-- 1 root root 0 Jan 5 14:48 locks
-r--r--r-- 1 root root 0 Jan 5 14:48 mdstat
-r--r--r-- 1 root root 0 Jan 5 14:48 meminfo
-r--r--r-- 1 root root 0 Jan 5 14:48 misc
-r--r--r-- 1 root root 0 Jan 5 14:48 modules
lrwxrwxrwx 1 root root 11 Jan 5 14:48 mounts -> self/mounts
-rw-r--r-- 1 root root 0 Jan 5 14:48 mtrr
lrwxrwxrwx 1 root root 8 Jan 5 14:48 net -> self/net
-r-------- 1 root root 0 Jan 5 14:48 pagetypeinfo
-r--r--r-- 1 root root 0 Jan 5 14:48 partitions
dr-xr-xr-x 2 root root 0 Jan 5 14:48 pressure
crw-rw-rw- 1 root root 1, 3 Jan 5 10:05 sched_debug
-r--r--r-- 1 root root 0 Jan 5 14:48 schedstat
drwxrwxrwt 2 root root 40 Jan 5 10:05 scsi
lrwxrwxrwx 1 root root 0 Jan 5 10:05 self -> 4932
-r-------- 1 root root 0 Jan 5 14:48 slabinfo
-r--r--r-- 1 root root 0 Jan 5 14:48 softirqs
-r--r--r-- 1 root root 0 Jan 5 14:48 stat
-r--r--r-- 1 root root 0 Jan 5 14:48 swaps
dr-xr-xr-x 1 root root 0 Jan 5 10:05 sys
--w------- 1 root root 0 Jan 5 10:05 sysrq-trigger
dr-xr-xr-x 2 root root 0 Jan 5 14:48 sysvipc
lrwxrwxrwx 1 root root 0 Jan 5 10:05 thread-self -> 4932/task/4932
crw-rw-rw- 1 root root 1, 3 Jan 5 10:05 timer_list
dr-xr-xr-x 4 root root 0 Jan 5 14:48 tty
-r--r--r-- 1 root root 0 Jan 5 14:48 uptime
-r--r--r-- 1 root root 0 Jan 5 14:48 version
-r--r--r-- 1 root root 0 Jan 5 14:48 version_signature
-r-------- 1 root root 0 Jan 5 14:48 vmallocinfo
-r--r--r-- 1 root root 0 Jan 5 14:48 vmstat
-r--r--r-- 1 root root 0 Jan 5 14:48 zoneinfo
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
-r--r--r--   1 root root 0 Jan  5 14:48 arch_status
dr-xr-xr-x 2 root root 0 Jan 5 14:48 attr
-rw-r--r-- 1 root root 0 Jan 5 14:48 autogroup
-r-------- 1 root root 0 Jan 5 14:48 auxv
-r--r--r-- 1 root root 0 Jan 5 14:48 cgroup
--w------- 1 root root 0 Jan 5 14:48 clear_refs
-r--r--r-- 1 root root 0 Jan 5 14:48 cmdline
-rw-r--r-- 1 root root 0 Jan 5 14:48 comm
-rw-r--r-- 1 root root 0 Jan 5 14:48 coredump_filter
-r--r--r-- 1 root root 0 Jan 5 14:48 cpuset
lrwxrwxrwx 1 root root 0 Jan 5 14:48 cwd -> /
-r-------- 1 root root 0 Jan 5 14:48 environ
lrwxrwxrwx 1 root root 0 Jan 5 14:48 exe -> /usr/bin/python3.10
dr-x------ 2 root root 0 Jan 5 14:48 fd
dr-x------ 2 root root 0 Jan 5 14:48 fdinfo
-rw-r--r-- 1 root root 0 Jan 5 14:48 gid_map
-r-------- 1 root root 0 Jan 5 14:48 io
-r--r--r-- 1 root root 0 Jan 5 14:48 limits
-rw-r--r-- 1 root root 0 Jan 5 14:48 loginuid
dr-x------ 2 root root 0 Jan 5 14:48 map_files
-r--r--r-- 1 root root 0 Jan 5 14:48 maps
-rw------- 1 root root 0 Jan 5 14:48 mem
-r--r--r-- 1 root root 0 Jan 5 14:48 mountinfo
-r--r--r-- 1 root root 0 Jan 5 14:48 mounts
-r-------- 1 root root 0 Jan 5 14:48 mountstats
dr-xr-xr-x 6 root root 0 Jan 5 14:48 net
dr-x--x--x 2 root root 0 Jan 5 14:48 ns
-r--r--r-- 1 root root 0 Jan 5 14:48 numa_maps
-rw-r--r-- 1 root root 0 Jan 5 14:48 oom_adj
-r--r--r-- 1 root root 0 Jan 5 14:48 oom_score
-rw-r--r-- 1 root root 0 Jan 5 14:48 oom_score_adj
-r-------- 1 root root 0 Jan 5 14:48 pagemap
-r-------- 1 root root 0 Jan 5 14:48 patch_state
-r-------- 1 root root 0 Jan 5 14:48 personality
-rw-r--r-- 1 root root 0 Jan 5 14:48 projid_map
lrwxrwxrwx 1 root root 0 Jan 5 14:47 root -> /
-rw-r--r-- 1 root root 0 Jan 5 14:48 sched
-r--r--r-- 1 root root 0 Jan 5 14:48 schedstat
-r--r--r-- 1 root root 0 Jan 5 14:48 sessionid
-rw-r--r-- 1 root root 0 Jan 5 14:48 setgroups
-r--r--r-- 1 root root 0 Jan 5 14:48 smaps
-r--r--r-- 1 root root 0 Jan 5 14:48 smaps_rollup
-r-------- 1 root root 0 Jan 5 14:48 stack
-r--r--r-- 1 root root 0 Jan 5 14:48 stat
-r--r--r-- 1 root root 0 Jan 5 14:48 statm
-r--r--r-- 1 root root 0 Jan 5 14:48 status
-r-------- 1 root root 0 Jan 5 14:48 syscall
dr-xr-xr-x 3 root root 0 Jan 5 14:48 task
-r--r--r-- 1 root root 0 Jan 5 14:48 timers
-rw-rw-rw- 1 root root 0 Jan 5 14:48 timerslack_ns
-rw-r--r-- 1 root root 0 Jan 5 14:48 uid_map
-r--r--r-- 1 root root 0 Jan 5 14:48 wchan

0x02 如果python open了一个文件,/proc 发生了什么?

运行如下代码:

1
2
3
4
5
6
7
8
import os

print(os.getpid())
flag = open('./flag','r')
os.remove('./flag')

b = input() #阻止Python运行结束

来到pid目录下的/fd目录

1
2
3
4
5
6
7
8
root@VM-8-17-ubuntu:/proc/59428/fd# ls -la
total 0
dr-x------ 2 root root 0 Jan 5 23:04 .
dr-xr-xr-x 9 root root 0 Jan 5 23:03 ..
lrwx------ 1 root root 64 Jan 5 23:06 0 -> /dev/pts/0
lrwx------ 1 root root 64 Jan 5 23:06 1 -> /dev/pts/0
lrwx------ 1 root root 64 Jan 5 23:06 2 -> /dev/pts/0
lr-x------ 1 root root 64 Jan 5 23:06 3 -> /home/ubuntu/python/flag

这个时候,使用rm -rf ./flag命令删除,再回到这个目录

1
2
3
4
5
6
7
8
root@VM-8-17-ubuntu:/proc/59428/fd# ls -la
total 0
dr-x------ 2 root root 0 Jan 5 23:04 .
dr-xr-xr-x 9 root root 0 Jan 5 23:03 ..
lrwx------ 1 root root 64 Jan 5 23:06 0 -> /dev/pts/0
lrwx------ 1 root root 64 Jan 5 23:06 1 -> /dev/pts/0
lrwx------ 1 root root 64 Jan 5 23:06 2 -> /dev/pts/0
lr-x------ 1 root root 64 Jan 5 23:06 3 -> '/home/ubuntu/python/flag (deleted)'

如果尝试cat /proc/{pid}/fd/3就可以发现,被删除的flag能被cat出来。

1
2
3
4
5
6
7
8
9
10
11
12
root@VM-8-17-ubuntu:/proc/59428/fd# ls
0 1 2 3
root@VM-8-17-ubuntu:/proc/59428/fd# ls -la
total 0
dr-x------ 2 root root 0 Jan 5 23:04 .
dr-xr-xr-x 9 root root 0 Jan 5 23:03 ..
lrwx------ 1 root root 64 Jan 5 23:06 0 -> /dev/pts/0
lrwx------ 1 root root 64 Jan 5 23:06 1 -> /dev/pts/0
lrwx------ 1 root root 64 Jan 5 23:06 2 -> /dev/pts/0
lr-x------ 1 root root 64 Jan 5 23:06 3 -> '/home/ubuntu/python/flag (deleted)'
root@VM-8-17-ubuntu:/proc/59428/fd# cat 3
testtest

0x03 再进一步?

首先,看一下/proc/$pid/maps
显示$ pid的内存内容以与过程中相同的方式映射,即,伪文件中偏移量x处的字节与过程中地址x处的字节相同。如果在此过程中未映射地址,则从文件中的相应偏移量读取将返回EIO(输入/输出错误)。例如,由于进程中的第一页从未映射过(因此,对NULL指针的引用完全失败,而不是意外访问实际内存),因此读取/proc/$pid/mem的第一个字节总是会产生I / O错误。
找出/proc/$pid/maps映射出了过程存储器的哪些部分。该文件每个映射的区域包含一行,如下所示:

1
2
08048000-08054000 r-xp 00000000 08:01 828061     /bin/cat
08c9b000-08cbc000 rw-p 00000000 00:00 0 [heap]

前两个数字是区域的边界(第一个字节的地址和最后一个字节的地址,以六进制表示)。下一列包含权限,如果这是文件映射,则包含有关文件的一些信息(偏移量,设备,索引节点和名称)。

/proc/{pid}/mem是一个特殊的文件,可以访问这个进程的内存,不过在一般的情况下,这东西我们是没法直接拖出来的,内存是一片庞大的沙漠,在这里我们需要地址给予方向。

1
2
要从/proc/$pid/mem读取的进程必须使用带有r--------标志的/proc/$pid/mem附加到该进程。这是调试器在开始调试进程时所做的工作。这也是ptrace对进程的系统调用所做的。读取器完成对PTRACE_ATTACH的读取后,应通过使用strace标志调用/proc/$pid/mem来断开连接。
观察到的进程一定不能运行。通常,调用ptrace将停止目标进程(它发送PTRACE_DETACH信号),但是存在竞争状态(信号传递是异步的),因此跟踪程序应调用ptrace(PTRACE_ATTACH, …)(如STOP中所述)。以root用户身份运行的进程可以读取任何进程的内存,而无需调用wait,但是必须停止观察到的进程,否则读取仍将返回ptrace(2)。

这一坨鸟语应该都没看懂吧,没错,我也没看懂,所以我拜访了一下chatGPT,不得不说,chatGPT真的比google好用

You can read from and write to this file to access and modify the memory of the process. This can be useful for debugging and troubleshooting purposes.

For example, you can use the dd command to read a block of memory from the /proc/pid/mem file, like this:

1
dd if=/proc/pid/mem bs=1 count=1024 skip=0x1234000

This will read 1024 bytes of memory from the process starting at the address 0x1234000.

Keep in mind that accessing the memory of a process can be dangerous, as it can potentially cause the process to crash or behave unexpectedly. It is generally best to use caution when using the /proc/pid/mem file.

我英语水平不行,我就不翻译了,师傅们应该能看懂

CATCTF CatCat

info路由任意文件读取,读到python源代码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
import os 
import uuid
from flask import Flask, request, session, render_template, Markup
from cat import cat

flag = ""
app = Flask( __name__, static_url_path='/', static_folder='static' )
app.config['SECRET_KEY'] = str(uuid.uuid4()).replace("-", "") + "*abcdefgh"

if os.path.isfile("/flag"):
flag = cat("/flag")
os.remove("/flag")

@app.route('/', methods=['GET'])
def index():
detailtxt = os.listdir('./details/')
cats_list = []
for i in detailtxt:
cats_list.append(i[:i.index('.')])
return render_template("index.html", cats_list=cats_list, cat=cat)

@app.route('/info', methods=["GET", 'POST'])
def info():
filename = "./details/" + request.args.get('file', "")
start = request.args.get('start', "0")
end = request.args.get('end', "0")
name = request.args.get('file', "")[:request.args.get('file', "").index('.')]
return render_template("detail.html", catname=name, info=cat(filename, start, end))

@app.route('/admin', methods=["GET"])
def admin_can_list_root():
if session.get('admin') == 1:
return flag
else:
session['admin'] = 0
return "NoNoNo"

if __name__ == '__main__':
app.run(host='0.0.0.0', debug=False, port=5637)

尝试proc/self/fd读环境变量不行,看样子也不是SSTI,想了想,应该是session下手了。

问题来了,uuid4()无法破解

峰回路转,看到cat,尝试读取一下cat.py

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
import os, sys, getopt

def cat(filename, start=0, end=0)->bytes:
data = b''
try:
start = int(start)
end = int(end)
except:
start=0
end=0
if filename != "" and os.access(filename, os.R_OK):
f = open(filename, "rb")
if start >= 0:
f.seek(start)
if end >= start and end != 0:
data = f.read(end-start)
else:
data = f.read()
else:
data = f.read()
f.close()
else:
data = ("File `%s` not exist or can not be read" % filename).encode()
return data

if __name__ == '__main__':
opts,args = getopt.getopt(sys.argv[1:],'-h-f:-s:-e:',['help','file=','start=','end='])
fileName = ""
start = 0
end = 0
for opt_name, opt_value in opts:
if opt_name == '-h' or opt_name == '--help':
print("[*] Help")
print("-f --file File name")
print("-s --start Start position")
print("-e --end End position")
print("[*] Example of reading /etc/passwd")
print("python3 cat.py -f /etc/passwd")
print("python3 cat.py --file /etc/passwd")
print("python3 cat.py -f /etc/passwd -s 1")
print("python3 cat.py -f /etc/passwd -e 5")
print("python3 cat.py -f /etc/passwd -s 1 -e 5")
exit()
elif opt_name == '-f' or opt_name == '--file':
fileName = opt_value
elif opt_name == '-s' or opt_name == '--start':
start = opt_value
elif opt_name == '-e' or opt_name == '--end': end = opt_value
if fileName != "":
print(cat(fileName, start, end))
else:
print("No file to read")

终于露出只因脚了。

把模板拖出来看一看

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
<!DOCTYPE HTML>
<html class="no-js">
<head>
<!-- Basic Page Needs
================================================== -->
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>Cat cat</title>
<meta name="description" content="">
<meta name="keywords" content="">
<meta name="author" content="">
<!-- Mobile Specific Metas
================================================== -->
<meta name="viewport" content="width=device-width, user-scalable=no, initial-scale=1.0, minimum-scale=1.0, maximum-scale=1.0">
<link rel="icon" type="image/x-icon" href="images/favicon.ico">
<!-- CSS
================================================== -->
<link href="css/bootstrap.css" rel="stylesheet" type="text/css">
<link href="css/bootstrap-theme.css" rel="stylesheet" type="text/css">
<link href="css/style.css" rel="stylesheet" type="text/css">
<link href="vendor/magnific/magnific-popup.css" rel="stylesheet" type="text/css">
<link href="vendor/owl-carousel/css/owl.carousel.css" rel="stylesheet" type="text/css">
<link href="vendor/owl-carousel/css/owl.theme.css" rel="stylesheet" type="text/css">
<!--[if lte IE 9]><link rel="stylesheet" type="text/css" href="css/ie.css" media="screen" /><![endif]-->
<link href="css/custom.css" rel="stylesheet" type="text/css"><!-- CUSTOM STYLESHEET FOR STYLING -->
<!-- Color Style -->
<link href="colors/color1.css" rel="stylesheet" type="text/css">
<!-- SCRIPTS
================================================== -->
<script src="js/modernizr.js"></script><!-- Modernizr -->
</head>
<body class="home">
<!--[if lt IE 7]>
<p class="chromeframe">You are using an outdated browser. <a href="http://browsehappy.com/">Upgrade your browser today</a> or <a href="http://www.google.com/chromeframe/?redirect=true">install Google Chrome Frame</a> to better experience this site.</p>
<![endif]-->
<div class="body">
<!-- Start Header -->
<div class="header-wrapper" style="height: 60px">
<header class="site-header">
<div class="container">
<div class="site-tagline">Cat &amp; Many kinds of cats</div>
<a href="#" class="btn btn-default btn-sm" id="contact-info"><i class="fa fa-bars"></i></a>

</div>
</header>

</div>
<!-- End Header -->

<div class="lgray-bg" style="background-image:url(images/leaves3.png); background-repeat:repeat">
<div class="container">
<h4 class="stacked-title" style="background-color:black"><a href="/">Cats</a></h4>

<div class="row">

<div class="col-md-10 col-sm-12">
<div class="feature-block" style="float: left">
<img src="cats/{{catname}}.jpg" alt="{{catname}}">
<h5>{{catname}}</h5>
<p>{{info}}</p>
</div>
</div>

</div>
<div class="spacer-50"></div>
</div>
</div>

<!-- Site Footer -->
<div class="site-footer-bottom">
<div class="container">
<div class="row">
<div class="col-md-6 col-sm-6">
<div class="copyrights-col-left">
<p>&copy; 2022 Cat cat by [email protected]. All Rights Reserved</p>
</div>
</div>
<div class="col-md-6 col-sm-6">
<div class="copyrights-col-right">

</div>
</div>
</div>
</div>
</div>
<a id="back-to-top"><i class="fa fa-angle-double-up"></i></a>
</div>
<script src="js/jquery-2.2.3.min.js"></script> <!-- Jquery Library Call -->
<script src="vendor/magnific/jquery.magnific-popup.min.js"></script> <!-- PrettyPhoto Plugin -->
<script src="js/ui-plugins.js"></script> <!-- UI Plugins -->
<script src="js/helper-plugins.js"></script> <!-- Helper Plugins -->
<script src="vendor/owl-carousel/js/owl.carousel.min.js"></script> <!-- Owl Carousel -->
<script src="js/bootstrap.js"></script> <!-- UI -->
<script src="js/init.js"></script> <!-- All Scripts -->
<script src="vendor/flexslider/js/jquery.flexslider.js"></script> <!-- FlexSlider -->
</body>
</html>

文件都是bytes类型,SSTI没的打,emmmmm

再看看index.html,emm还是毫无用处emmmmm

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
<!DOCTYPE HTML>
<html class="no-js">
<head>
<!-- Basic Page Needs
================================================== -->
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>Cat cat</title>
<meta name="description" content="">
<meta name="keywords" content="">
<meta name="author" content="">
<!-- Mobile Specific Metas
================================================== -->
<meta name="viewport" content="width=device-width, user-scalable=no, initial-scale=1.0, minimum-scale=1.0, maximum-scale=1.0">
<link rel="icon" type="image/x-icon" href="images/favicon.ico">
<!-- CSS
================================================== -->
<link href="css/bootstrap.css" rel="stylesheet" type="text/css">
<link href="css/bootstrap-theme.css" rel="stylesheet" type="text/css">
<link href="css/style.css" rel="stylesheet" type="text/css">
<link href="vendor/magnific/magnific-popup.css" rel="stylesheet" type="text/css">
<link href="vendor/owl-carousel/css/owl.carousel.css" rel="stylesheet" type="text/css">
<link href="vendor/owl-carousel/css/owl.theme.css" rel="stylesheet" type="text/css">
<!--[if lte IE 9]><link rel="stylesheet" type="text/css" href="css/ie.css" media="screen" /><![endif]-->
<link href="css/custom.css" rel="stylesheet" type="text/css"><!-- CUSTOM STYLESHEET FOR STYLING -->
<!-- Color Style -->
<link href="colors/color1.css" rel="stylesheet" type="text/css">
<!-- SCRIPTS
================================================== -->
<script src="js/modernizr.js"></script><!-- Modernizr -->
</head>
<body class="home">
<!--[if lt IE 7]>
<p class="chromeframe">You are using an outdated browser. <a href="http://browsehappy.com/">Upgrade your browser today</a> or <a href="http://www.google.com/chromeframe/?redirect=true">install Google Chrome Frame</a> to better experience this site.</p>
<![endif]-->
<div class="body">
<!-- Start Header -->
<div class="header-wrapper" style="height: 60px">
<header class="site-header">
<div class="container">
<div class="site-tagline">Cat &amp; Many kinds of cats</div>
<a href="#" class="btn btn-default btn-sm" id="contact-info"><i class="fa fa-bars"></i></a>

</div>
</header>

</div>
<!-- End Header -->

<div class="lgray-bg" style="background-image:url(images/leaves3.png); background-repeat:repeat">
<div class="container">
<h4 class="stacked-title" style="background-color:black">Cats</h4>

<div class="row">
{% for a_cat in cats_list %}
<div class="col-md-3 col-sm-6">
<div class="feature-block">
<img src="cats/{{a_cat}}.jpg" alt="{{a_cat}}">
<h5>{{a_cat}}</h5>
<p><a href="/info?file={{a_cat}}.txt">{{cat("./details/"+a_cat+".txt", 0, 80).decode()}}...</a></p>
</div>
</div>
{% endfor %}
</div>
<div class="spacer-50"></div>
</div>
</div>

<!-- Site Footer -->
<div class="site-footer-bottom">
<div class="container">
<div class="row">
<div class="col-md-6 col-sm-6">
<div class="copyrights-col-left">
<p>&copy; 2022 Cat cat by [email protected]. All Rights Reserved</p>
</div>
</div>
<div class="col-md-6 col-sm-6">
<div class="copyrights-col-right">

</div>
</div>
</div>
</div>
</div>
<a id="back-to-top"><i class="fa fa-angle-double-up"></i></a>
</div>
<script src="js/jquery-2.2.3.min.js"></script> <!-- Jquery Library Call -->
<script src="vendor/magnific/jquery.magnific-popup.min.js"></script> <!-- PrettyPhoto Plugin -->
<script src="js/ui-plugins.js"></script> <!-- UI Plugins -->
<script src="js/helper-plugins.js"></script> <!-- Helper Plugins -->
<script src="vendor/owl-carousel/js/owl.carousel.min.js"></script> <!-- Owl Carousel -->
<script src="js/bootstrap.js"></script> <!-- UI -->
<script src="js/init.js"></script> <!-- All Scripts -->
<script src="vendor/flexslider/js/jquery.flexslider.js"></script> <!-- FlexSlider -->
</body>
</html>

典中典 只因 删flag只存在变量中

简单分析一下,本题看着好像使用了模板,但是并不能打ssti,所以说需要通过任意文件读取的路由下载特定文件。Debug模式关闭,算pinconsole肯定不行了.

众所周知,python运行的时候,会把对象存储在堆区里,因此我们可以通过读取堆区的东西来过去key然后就能伪造session从admin路由堂而皇之的获取flag了,在本题中,提供了一个cat.py,这让我们可以带偏移量的读取文件,也就是说,拥有了在内存海洋里”航行”的船桨(不会出现指向内存的空指针),还有一个问题便是偏移量,不用担心,/proc/pid/maps就全都给出来了

比如这样:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
root@VM-8-17-ubuntu:/proc/59428# cat maps
00400000-00423000 r--p 00000000 fc:02 130987 /usr/bin/python3.8
00423000-006b0000 r-xp 00023000 fc:02 130987 /usr/bin/python3.8
006b0000-008ec000 r--p 002b0000 fc:02 130987 /usr/bin/python3.8
008ed000-008ee000 r--p 004ec000 fc:02 130987 /usr/bin/python3.8
008ee000-00935000 rw-p 004ed000 fc:02 130987 /usr/bin/python3.8
00935000-00958000 rw-p 00000000 00:00 0
00b1b000-00bc5000 rw-p 00000000 00:00 0 [heap]
7f082cb41000-7f082cd66000 rw-p 00000000 00:00 0
7f082cd66000-7f082d04c000 r--p 00000000 fc:02 161431 /usr/lib/locale/locale-archive
7f082d04c000-7f082d04f000 rw-p 00000000 00:00 0
7f082d04f000-7f082d051000 r--p 00000000 fc:02 138114 /usr/lib/x86_64-linux-gnu/libz.so.1.2.11
7f082d051000-7f082d062000 r-xp 00002000 fc:02 138114 /usr/lib/x86_64-linux-gnu/libz.so.1.2.11
7f082d062000-7f082d068000 r--p 00013000 fc:02 138114 /usr/lib/x86_64-linux-gnu/libz.so.1.2.11
7f082d068000-7f082d069000 ---p 00019000 fc:02 138114 /usr/lib/x86_64-linux-gnu/libz.so.1.2.11
7f082d069000-7f082d06a000 r--p 00019000 fc:02 138114 /usr/lib/x86_64-linux-gnu/libz.so.1.2.11
7f082d06a000-7f082d06b000 rw-p 0001a000 fc:02 138114 /usr/lib/x86_64-linux-gnu/libz.so.1.2.11
7f082d06b000-7f082d06d000 rw-p 00000000 00:00 0
7f082d06d000-7f082d071000 r--p 00000000 fc:02 130659 /usr/lib/x86_64-linux-gnu/libexpat.so.1.6.11
7f082d071000-7f082d08d000 r-xp 00004000 fc:02 130659 /usr/lib/x86_64-linux-gnu/libexpat.so.1.6.11
7f082d08d000-7f082d097000 r--p 00020000 fc:02 130659 /usr/lib/x86_64-linux-gnu/libexpat.so.1.6.11
7f082d097000-7f082d098000 ---p 0002a000 fc:02 130659 /usr/lib/x86_64-linux-gnu/libexpat.so.1.6.11
7f082d098000-7f082d09a000 r--p 0002a000 fc:02 130659 /usr/lib/x86_64-linux-gnu/libexpat.so.1.6.11
7f082d09a000-7f082d09b000 rw-p 0002c000 fc:02 130659 /usr/lib/x86_64-linux-gnu/libexpat.so.1.6.11
7f082d09b000-7f082d0aa000 r--p 00000000 fc:02 138508 /usr/lib/x86_64-linux-gnu/libm-2.31.so
7f082d0aa000-7f082d151000 r-xp 0000f000 fc:02 138508 /usr/lib/x86_64-linux-gnu/libm-2.31.so
7f082d151000-7f082d1e8000 r--p 000b6000 fc:02 138508 /usr/lib/x86_64-linux-gnu/libm-2.31.so
7f082d1e8000-7f082d1e9000 r--p 0014c000 fc:02 138508 /usr/lib/x86_64-linux-gnu/libm-2.31.so
7f082d1e9000-7f082d1ea000 rw-p 0014d000 fc:02 138508 /usr/lib/x86_64-linux-gnu/libm-2.31.so
7f082d1ea000-7f082d1eb000 r--p 00000000 fc:02 138626 /usr/lib/x86_64-linux-gnu/libutil-2.31.so
7f082d1eb000-7f082d1ec000 r-xp 00001000 fc:02 138626 /usr/lib/x86_64-linux-gnu/libutil-2.31.so
7f082d1ec000-7f082d1ed000 r--p 00002000 fc:02 138626 /usr/lib/x86_64-linux-gnu/libutil-2.31.so
7f082d1ed000-7f082d1ee000 r--p 00002000 fc:02 138626 /usr/lib/x86_64-linux-gnu/libutil-2.31.so
7f082d1ee000-7f082d1ef000 rw-p 00003000 fc:02 138626 /usr/lib/x86_64-linux-gnu/libutil-2.31.so
7f082d1ef000-7f082d1f0000 r--p 00000000 fc:02 138416 /usr/lib/x86_64-linux-gnu/libdl-2.31.so
7f082d1f0000-7f082d1f2000 r-xp 00001000 fc:02 138416 /usr/lib/x86_64-linux-gnu/libdl-2.31.so
7f082d1f2000-7f082d1f3000 r--p 00003000 fc:02 138416 /usr/lib/x86_64-linux-gnu/libdl-2.31.so
7f082d1f3000-7f082d1f4000 r--p 00003000 fc:02 138416 /usr/lib/x86_64-linux-gnu/libdl-2.31.so
7f082d1f4000-7f082d1f5000 rw-p 00004000 fc:02 138416 /usr/lib/x86_64-linux-gnu/libdl-2.31.so
7f082d1f5000-7f082d1fc000 r--p 00000000 fc:02 138569 /usr/lib/x86_64-linux-gnu/libpthread-2.31.so
7f082d1fc000-7f082d20d000 r-xp 00007000 fc:02 138569 /usr/lib/x86_64-linux-gnu/libpthread-2.31.so
7f082d20d000-7f082d212000 r--p 00018000 fc:02 138569 /usr/lib/x86_64-linux-gnu/libpthread-2.31.so
7f082d212000-7f082d213000 r--p 0001c000 fc:02 138569 /usr/lib/x86_64-linux-gnu/libpthread-2.31.so
7f082d213000-7f082d214000 rw-p 0001d000 fc:02 138569 /usr/lib/x86_64-linux-gnu/libpthread-2.31.so
7f082d214000-7f082d218000 rw-p 00000000 00:00 0
7f082d218000-7f082d23d000 r--p 00000000 fc:02 138398 /usr/lib/x86_64-linux-gnu/libc-2.31.so
7f082d23d000-7f082d3b5000 r-xp 00025000 fc:02 138398 /usr/lib/x86_64-linux-gnu/libc-2.31.so
7f082d3b5000-7f082d3ff000 r--p 0019d000 fc:02 138398 /usr/lib/x86_64-linux-gnu/libc-2.31.so
7f082d3ff000-7f082d400000 ---p 001e7000 fc:02 138398 /usr/lib/x86_64-linux-gnu/libc-2.31.so
7f082d400000-7f082d403000 r--p 001e7000 fc:02 138398 /usr/lib/x86_64-linux-gnu/libc-2.31.so
7f082d403000-7f082d406000 rw-p 001ea000 fc:02 138398 /usr/lib/x86_64-linux-gnu/libc-2.31.so
7f082d406000-7f082d40c000 rw-p 00000000 00:00 0
7f082d412000-7f082d419000 r--s 00000000 fc:02 262948 /usr/lib/x86_64-linux-gnu/gconv/gconv-modules.cache
7f082d419000-7f082d41a000 r--p 00000000 fc:02 138367 /usr/lib/x86_64-linux-gnu/ld-2.31.so
7f082d41a000-7f082d43d000 r-xp 00001000 fc:02 138367 /usr/lib/x86_64-linux-gnu/ld-2.31.so
7f082d43d000-7f082d445000 r--p 00024000 fc:02 138367 /usr/lib/x86_64-linux-gnu/ld-2.31.so
7f082d446000-7f082d447000 r--p 0002c000 fc:02 138367 /usr/lib/x86_64-linux-gnu/ld-2.31.so
7f082d447000-7f082d448000 rw-p 0002d000 fc:02 138367 /usr/lib/x86_64-linux-gnu/ld-2.31.so
7f082d448000-7f082d449000 rw-p 00000000 00:00 0
7fffbbe8a000-7fffbbeab000 rw-p 00000000 00:00 0 [stack]
7fffbbf92000-7fffbbf95000 r--p 00000000 00:00 0 [vvar]
7fffbbf95000-7fffbbf96000 r-xp 00000000 00:00 0 [vdso]

前面的便是地址和偏移量,只需要读取这些,然后再根据这个地址进行内存的读取就可以把key读出来了,然后就能读取内存了。

app.py里的代码来看,key后面跟着都是*abcdefgh,只需要找到含有这个字符串的内容输出,就能直接找到key了,还可以更简单粗暴一点,格式是UUID+”*abcdefgh”,可以写个正则表达式输出。

至于key获得了,就可以直接通过flask-session-cookie-manager3.py(github有源码)搞事情了qwq

总结:

1.在有任意文件读取的地方,可以通过/proc/pid/cmdline扫描进程
2.可以通过/proc/pid/fd/3恢复python中Open但是并没有close的文件

0xFFFF Reform



  
 CTF WEB LFI


:D 一言句子获取中...