将 python 代码注入 TCP 套接字服务器
Injecting python code into TCP socket server
我被困在这个任务中,因为我正在解决一个与渗透测试有关的问题,我们得到了一个简单的 TCP Web 服务器,我们将连接到它并提供两个值,如果它们在最后,我们得到了标志,我们也得到了一段服务器代码。我已经尝试了我所知道的一切来获得旗帜。这是代码:
clientsock.send("Welcome to Maths_Server 1.0\n")
try:
clientsock.send("Enter the first number, so I can EVALuate it:\n")
firstNum = eval(clientsock.recv(1024))
firstNum = firstNum + firstNum + ord(flag[4]) + ord(flag[8]) + ord(flag[5])
clientsock.send("Enter the second number, so I can EVALuate it:\n")
secondNum = eval(clientsock.recv(1024))
if secondNum == firstNum:
clientsock.send("The flag is: " + flag + "\n")
firstNum = 0
secondNum = 0
except:
pass
clientsock.close()
请注意,数字是使用 eval 从字符串转换为 "number"。这意味着您不需要传递一个数字,只需传递一个评估为 1 的东西。由于 eval 使用局部变量,您可以为 firstNum 输入字符串 -0.5 * (ord(flag[4]) + ord(flag[8]) + ord(flag[5])),这将使下一行设置 firstNum 为零。然后你可以为 secondNum 传递文字 0 并得到 flags.
您可能需要将字符串填充到 1024 个字符。我会做类似 output.center(1024, ' ').
的事情
只需发送字符串 firstNum 作为第二条消息。那么无论您最初使用什么作为 firstNum 的值,您都会成功:
secondNum = eval(clientsock.recv(1024))
-> secondNum = eval("firstNum")
-> secondNum = ... value of firstNum
这可以通过 telnet 轻松完成
$ telnet services.cyberprotection.agency 3166
Welcome to Maths_Server 1.0
Enter the first number, so I can EVALuate it:
10
Enter the second number, so I can EVALuate it:
firstNum
The flag is: .... (try yourself)...
另一种可能性是您只需发送字符串 clientsock.send(flag) 作为第一个数字,它会立即将标志的值发回给您。请注意,这不适用于测试服务器,因此我猜想源代码略有不同并且不会简单地执行远程用户提供的任何类型的代码,但前提是它符合您所获得的任务的预期。但它适用于我对给定代码的测试安装。
这有望让您得出这样的结论:永远不应该只评估未经处理的用户输入。
我被困在这个任务中,因为我正在解决一个与渗透测试有关的问题,我们得到了一个简单的 TCP Web 服务器,我们将连接到它并提供两个值,如果它们在最后,我们得到了标志,我们也得到了一段服务器代码。我已经尝试了我所知道的一切来获得旗帜。这是代码:
clientsock.send("Welcome to Maths_Server 1.0\n")
try:
clientsock.send("Enter the first number, so I can EVALuate it:\n")
firstNum = eval(clientsock.recv(1024))
firstNum = firstNum + firstNum + ord(flag[4]) + ord(flag[8]) + ord(flag[5])
clientsock.send("Enter the second number, so I can EVALuate it:\n")
secondNum = eval(clientsock.recv(1024))
if secondNum == firstNum:
clientsock.send("The flag is: " + flag + "\n")
firstNum = 0
secondNum = 0
except:
pass
clientsock.close()
请注意,数字是使用 eval 从字符串转换为 "number"。这意味着您不需要传递一个数字,只需传递一个评估为 1 的东西。由于 eval 使用局部变量,您可以为 firstNum 输入字符串 -0.5 * (ord(flag[4]) + ord(flag[8]) + ord(flag[5])),这将使下一行设置 firstNum 为零。然后你可以为 secondNum 传递文字 0 并得到 flags.
您可能需要将字符串填充到 1024 个字符。我会做类似 output.center(1024, ' ').
只需发送字符串 firstNum 作为第二条消息。那么无论您最初使用什么作为 firstNum 的值,您都会成功:
secondNum = eval(clientsock.recv(1024))
-> secondNum = eval("firstNum")
-> secondNum = ... value of firstNum
这可以通过 telnet 轻松完成
$ telnet services.cyberprotection.agency 3166
Welcome to Maths_Server 1.0
Enter the first number, so I can EVALuate it:
10
Enter the second number, so I can EVALuate it:
firstNum
The flag is: .... (try yourself)...
另一种可能性是您只需发送字符串 clientsock.send(flag) 作为第一个数字,它会立即将标志的值发回给您。请注意,这不适用于测试服务器,因此我猜想源代码略有不同并且不会简单地执行远程用户提供的任何类型的代码,但前提是它符合您所获得的任务的预期。但它适用于我对给定代码的测试安装。
这有望让您得出这样的结论:永远不应该只评估未经处理的用户输入。