[CISCN2019 华东南赛区]Web4

最新推荐文章于 2023-05-24 19:17:56 发布
最新推荐文章于 2023-05-24 19:17:56 发布
阅读量450 收藏
点赞数 2
分类专栏: 文件读取 SSRF session 文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fmyyy1/article/details/116488342
版权
SSRF 同时被 3 个专栏收录
7 篇文章 0 订阅
订阅专栏
文件读取
6 篇文章 0 订阅
订阅专栏
session
2 篇文章 0 订阅
订阅专栏

在这里插入图片描述
点击readsomething后链接到了百度,同时url里多了url参数,猜测存在任意文件读取。
在这里插入图片描述
尝试/etc/passwd
在这里插入图片描述
成功读取,读取/proc/self/cmdline查看当前进程
在这里插入图片描述

知道是python的后台,源码在/api/app.py下,读源码

# encoding:utf-8
import re, random, uuid, urllib
from flask import Flask, session, request

app = Flask(__name__)
random.seed(uuid.getnode())
app.config['SECRET_KEY'] = str(random.random()*233)
app.debug = True

@app.route('/')
def index():
    session['username'] = 'www-data'
    return 'Hello World! <a href="/read?url=https://baidu.com">Read somethings</a>'

@app.route('/read')
def read():
    try:
        url = request.args.get('url')
        m = re.findall('^file.*', url, re.IGNORECASE)
        n = re.findall('flag', url, re.IGNORECASE)
        if m or n:
            return 'No Hack'
        res = urllib.urlopen(url)
        return res.read()
    except Exception as ex:
        print str(ex)
    return 'no response'

@app.route('/flag')
def flag():
    if session and session['username'] == 'fuck':
        return open('/flag.txt').read()
    else:
        return 'Access denied'

if __name__=='__main__':
    app.run(
        debug=True,
        host="0.0.0.0"
    )

很明显是一道flask-session题,在/flag路由 能得到flag,现在的问题是要找到secret_key

app = Flask(__name__)
random.seed(uuid.getnode())
app.config['SECRET_KEY'] = str(random.random()*233)
app.debug = True

random指定了seed那么生成的随机数是固定的,查看uuid.getnode()
在这里插入图片描述
会获取当前的mac地址。我们读取/sys/class/net/eth0/address得到了mac地址02:42:ac:10:a9:060x0242ac10a906
用python2获得key
在这里插入图片描述
先用脚本解码我们原来的session

import sys
import zlib
from base64 import b64decode
from flask.sessions import session_json_serializer
from itsdangerous import base64_decode

def decryption(payload):
    payload, sig = payload.rsplit(b'.', 1)
    payload, timestamp = payload.rsplit(b'.', 1)

    decompress = False
    if payload.startswith(b'.'):
        payload = payload[1:]
        decompress = True

    try:
        payload = base64_decode(payload)
    except Exception as e:
        raise Exception('Could not base64 decode the payload because of '
                         'an exception')

    if decompress:
        try:
            payload = zlib.decompress(payload)
        except Exception as e:
            raise Exception('Could not zlib decompress the payload before '
                             'decoding the payload')

    return session_json_serializer.loads(payload)

if __name__ == '__main__':
    s = "eyJ1c2VybmFtZSI6eyIgYiI6ImQzZDNMV1JoZEdFPSJ9fQ.YJS5GQ.c-7rnz5YVqHA2e3GxPboKPlXDlU"
    print(decryption(s.encode()))

得到{'username': b'www-data'},改为{'username': b'fuck'},用flask-session插件配合秘钥加密。
在这里插入图片描述
配合我们得到的session访问/flag页面拿到flag
在这里插入图片描述

fmyyy1
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Double ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
pwn赛题之Double ciscn 2019 第十二届全国大学生信息安全竞赛
华东师范大学2019 839.docx
06-25
华东师范大学计算机技术(085211)839 2019年真题回忆版以及答案
华东师范大学2019计算机考研839试卷及答案(2019年839回忆版)
01-07
华东师范大学2019计算机考研839试卷及答案
华东交通大学2013-2019年数据结构.pdf
10-25
华东交通大学2013-2019年数据结构.pdf
第九届飞思卡尔摄像头华东赛区一等奖程序
08-24
参加第九届飞思卡尔智能车竞赛,并获得华东赛区一等奖,主控芯片是K60,摄像头用的是OV7620,图像读取用的是DMA。
BUUCTF:[CISCN2019 华东赛区]Web4
末初的CSDN博客
07-29 2062
题目地址:https://buuoj.cn/challenges#[CISCN2019%20%E5%8D%8E%E4%B8%9C%E5%8D%97%E8%B5%9B%E5%8C%BA]Web4 这种路由处理方式并不像是PHP,尝试了file:///etc/passwd没有效果,猜测Flask,尝试local_file:///读取文件 读取源码: import re, random, uuid, urllib from flask import Flask, session, request app
BUUCTF--[CISCN2019 华东赛区]Web4
qq_46263951的博客
07-27 549
Jwt认识与攻击
BUUCTF-[CISCN2019 华东赛区]Web4
AndyNoel的博客
05-12 491
BUUCTF-[CISCN2019 华东赛区]Web4 看题 点击Read somethings,会跳转到 http://3fd8b1f9-614f-47ff-8e79-0f678e7bb4eb.node3.buuoj.cn/read?url=https://baidu.com 看url应该不是PHP,因为PHP几乎没有用这种路由,直接猜flask。使用read?url=local_file:///etc/passwd读取内容。 读取源码:read?url=local_file:///app/app.
BUUCTF [CISCN2019 华东赛区]Web4
SanKobe的博客
05-24 258
注意这里有个坑,目标地址设备是用python2跑的,而我这里是python3,之前我一直用这个当SECRET_KEY,然后一直跑不出flag,百度了一下,python2和python3 random出来的位数是不一样的。最近打比赛遇到了flask_session伪造相关的题目,没学过,又碰巧随机挑了道BUUCTF的题目正好考的flask_session伪造,看完各位师傅的WP后,进行一次自我总结。百度了一下linux下设备网卡地址在/sys/class/net/eth0/address下。
BUUCTF:[CISCN2019 华东赛区]Web4 ---- jwt的加密,解密 复习 ---- 一个奇怪的 jwt 的secret方法
Zero_Adam的博客
04-19 846
目录:一、自己做:1.没有思路啦,,2.没有思路啦,,二、学到的&&不足:三、学习WP 一、自己做: **注:**没有思路的地方,就是我看WP的地方。 解解jwt瞅瞅, 有加密的东西,我目前遇到过的jwt解法:弱密钥碰撞,碰撞出密钥来,就可以修改数据了,二:无密钥检测,用python重写一个无验证的jwt,有可能也成功, 再是一个进阶的方法:如果是SA256不对称加密的化,我们没办法破解,但是可以用SH256加密的方法巴拉巴拉给弄出来,没遇到过题,然后懒,,没有细细研究, 我*???,我正
[CISCN2019 华东赛区]Web4 FLASK的session伪造
qq_54929891的博客
05-24 538
进入网站后点击read something看见一个疑似远程文件泄露 尝试了一下伪协议filter没有反应,file被禁用了 到这里我就卡住了,我想不到还有什么可以远程读取文件的了 学习得知大佬们一看这个路由就不像是php的,于是盲猜是python的FLASK框架,利用load_file来读取源文件(我查不到这个读取的来源,不理解为啥是这个) 可以打开etc/passwd,从最后一行可以看到最后一个用户执行了/app目录下的一个/bin/ash命令,也就意味着我们当前在/app目录的上..
ciscn2019 华东赛区线下赛WEB第一题
CODER的博客
06-27 1245
题目过滤了union 和大量的sql函数,本意是想让人读文件,当时心太急了没做出来,现在复习一下,脚本很简单,利用的是ascii的字符串比较 如 select load_file('/flag')>='A' select load_file('/flag')>='AB' select load_file('/flag')>='ABC' select load_file('/fla...
毕业设计MATLAB_执行一维相同大小矩阵的QR分解.zip
05-27
毕业设计matlab
ipython-7.9.0.tar.gz
最新发布
05-27
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
2024华东杯数学建模
05-03
2024华东杯数学建模是一项面向大学生的数学建模竞赛活动,旨在培养学生的数学建模能力和团队合作精神。该比赛通常由华东地区的高校或研究机构主办,参赛队伍来自各个大学。 在比赛中,参赛队伍需要根据给定的实际...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值