国赛正好结束,随手写一下比赛中发现的后门
天枢的题 一共两个框架利用级漏洞,上传+RCE,一开始简单看了下就把RCE修了,上传基本上是要利用RCE来获取持续shell的,因此没管它。但是分一直掉,流量里也没有特别可疑的,猜测是留了后门。
流量一开始不是我做的,我就去要求把最早的流量拿出来,发现存在一个可疑RCE的利用
后来分析以后,猜测大概是出题人出题的时候没有把后门完善就上线了,然后为了更好隐藏选择早上题目上线就把后门修改完善。
后门是写在tornado的源码里
/usr/local/lib/python2.7/dist-packages/tornado/web.py
第673-699行
写在redirect的方法里,也就是只有跳转的时候才能成功调用后门
后门直接读取了flag并在HTTP头的Etag里输出hex后的flag
因为没有完整看过这个题的代码,就没仔细研究利用方式,直接从流量中抓到天枢的利用url,直接重放
此处评论已关闭