[SWPU2019]Web3

最新推荐文章于 2024-03-10 18:00:15 发布
最新推荐文章于 2024-03-10 18:00:15 发布
阅读量324 收藏
点赞数
分类专栏: BUUCTF 文章标签: web3 flask
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/snowlyzz/article/details/126665796
版权

目录

考点:

解题:

知识点:

总结:

考点:

又是 Flask_session 

ln -s 软链接

代码审计

解题:

进入页面随便输入点东西

 不是ssti

访问upload 显示没有权限。

抓包看

 经典的 flask_session .

放到kali 里解密

python3 flask_session_cookie_manager3.py decode -c ".eJyrVspMUbKqVlJIUrJS8g1xLFeq1VHKLI7PyU_PzFOyKikqTdVRKkgsLi7PL0IojHIPy42MCCtOcbS1BWkoLU4tykvMTcWhoBYAbr4gMA.YxGslA.wMQVZ9zVUrMJ6O7VU73clHc6wfY"

b'{"id":{" b":"MTAw"},"is_login":true,"password":{" b":"ZGVmYXVsdA=="},"username":{" b":"ZGVmYXVsdA=="}}'

改成我们想要的 信息 再进行加密,但是我们没有密钥key

源码中有提示:

随便访问个不存在的url 地址, key就在返回包头中

 

 解密:

U0VDUkVUX0tFWTprZXlxcXF3d3dlZWUhQCMkJV4mKg==
         
keyqqqwwweee!@#$%^&*

进行session 加密成这样:

{'id': b'1', 'is_login': True, 'password': 'admin', 'username': 'admin'}

python3 flask_session_cookie_manager3.py encode -s 'keyqqqwwweee!@#$%^&*' -t "{'id': b'1', 'is_login': True, 'password': 'admin', 'username': 'admin'}"

 加密后抓包 改成session,成功进入到页面:

 F12查看源码。

@app.route('/upload',methods=['GET','POST'])
def upload():
    if session['id'] != b'1':
        return render_template_string(temp)
    if request.method=='POST':
        m = hashlib.md5()
        name = session['password']
        name = name+'qweqweqwe'
        name = name.encode(encoding='utf-8')
        m.update(name)
        md5_one= m.hexdigest()
        n = hashlib.md5()
        ip = request.remote_addr
        ip = ip.encode(encoding='utf-8')
        n.update(ip)
        md5_ip = n.hexdigest()
        f=request.files['file']
        basepath=os.path.dirname(os.path.realpath(__file__))
        path = basepath+'/upload/'+md5_ip+'/'+md5_one+'/'+session['username']+"/"
        path_base = basepath+'/upload/'+md5_ip+'/'
        filename = f.filename
        pathname = path+filename
        if "zip" != filename.split('.')[-1]:
            return 'zip only allowed'
        if not os.path.exists(path_base):
            try:
                os.makedirs(path_base)
            except Exception as e:
                return 'error'
        if not os.path.exists(path):
            try:
                os.makedirs(path)
            except Exception as e:
                return 'error'
        if not os.path.exists(pathname):
            try:
                f.save(pathname)
            except Exception as e:
                return 'error'
        try:
            cmd = "unzip -n -d "+path+" "+ pathname
            if cmd.find('|') != -1 or cmd.find(';') != -1:
				waf()
                return 'error'
            os.system(cmd)
        except Exception as e:
            return 'error'
        unzip_file = zipfile.ZipFile(pathname,'r')
        unzip_filename = unzip_file.namelist()[0]
        if session['is_login'] != True:
            return 'not login'
        try:
            if unzip_filename.find('/') != -1:
                shutil.rmtree(path_base)
                os.mkdir(path_base)
                return 'error'
            image = open(path+unzip_filename, "rb").read()
            resp = make_response(image)
            resp.headers['Content-Type'] = 'image/png'
            return resp
        except Exception as e:
            shutil.rmtree(path_base)
            os.mkdir(path_base)
            return 'error'
    return render_template('upload.html')


@app.route('/showflag')
def showflag():
    if True == False:
        image = open(os.path.join('./flag/flag.jpg'), "rb").read()
        resp = make_response(image)
        resp.headers['Content-Type'] = 'image/png'
        return resp
    else:
        return "can't give you"

定义了 两个路由  一个是 /upload   一个是 /showflag 。 上传的路由就是上传一个压缩的图片,然后上传上去之后会解压,然后再显示图片。  

还有一点就是 /show/flag 路由中,显示了 flag 的相对路径, /flag/flag.jpg

知识点:

我们这里可上传一个软连接压缩包,来读取其他文件,showflag路由告诉我们flag.jpg放在flask根目录的flag目录下,但是不知道其绝对路径。

1.在 linux 中,/proc/self/cwd/会指向进程的当前目录,在不知道 flask 工作目录时,我们可以用/proc/self/cwd/flag/flag.jpg来访问 flag.jpg。
2.ln -s是Linux的软连接命令,其类似与windows的快捷方式。比如ln -s /etc/passwd shawroot 这会出现一个名为shawroot的文件,其内容为/etc/passwd的内容。

如:

 

 看到snowy软链接已经被创建出来了。

访问 snowy  正是 /etc/passwd的内容。

 所以 整理下思路:

upload 源码 会将 我们上传的压缩图片进行解压,并解析到前端,我们上传一个/proc/self/cwd/flag/flag.jpg压缩过的软连接,这样  他就会解压我们软连接,并返回给我们看

 其中zip命令的参数含义如下:

-r:将指定的目录下的所有子目录以及文件一起处理

-y:直接保存符号连接,而非该连接所指向的文件,本参数仅在UNIX之类的系统下有效。

抓包上传压缩包即可。

总结:

 ln  -s   确实想不到,考点涉猎很广

snowlyzz
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
-------已搬运--BUUCTF:[SWPU2019]Web3 --- jwt 的secret的获取 --- unzip的软练级攻击
Zero_Adam的博客
04-20 1150
目录:000、知识点1.os.path.dirname2. unzip 和下面这个zip一块的,没必要看,遇到题目的时候现搜就行。3. zipfile一、自己做:2.看一看WP二、学到的:三、 学习WP 重点,我感觉是 jwt 的 那块是个点, 有乱码之后要寻找secret,然后可用404来获取jwt的secret, 再是unzip的软连接攻击这个东西,以前没见过的。 学习一下Linux的软连接,然后再来修改修改 000、知识点 1.os.path.dirname python3 获取当前路径及os.pat
2016 SWPU CTF web1题目源码
10-31
2016 SWPU CTF web1题目源码
BUUCTF:[SWPU2019]Web3
末初的CSDN博客
04-21 1541
参考:https://www.leavesongs.com/PENETRATION/client-session-security.html http://forever404.cn/2019/12/14/SWPU2019web%E5%A4%8D%E7%8E%B0/ 点击upload有权限设置,猜测cookie伪造 权限不够,查看session 使用P师傅的脚本可以解这个session...
2016 SWPU CTF web4
10-31
2016 SWPU CTF web4 题目的源码压缩包,压缩包地址是:http://web4.08067.me/web/web.zip,如果服务器关了就只有这里有了
SWPU大数据概论课程报告
01-31
仅作备份
swpu前端实验4的实验
04-23
swpu
swpu考试系统
07-01
swpu考试系统,内部的系统
BUUCTF [SWPU2019] Web3
Senimo
12-20 797
BUUCTF [SWPU2019] Web3 考点: 启动环境: 首先是一个登陆页面,标题为:CTF-Flask-Demo,推测其应为Flask所编写,尝试使用admin用户登陆: 用户名:admin、密码:admin,登陆成功: 又尝试了几个登陆密码,应该是没有验证,随便登陆 其中有文件上传功能,点击upload: 提示权限不足,考虑其为session判断权限,使用BurpSuite查看页面Cookie信息: 注:在Flask中,session是保存在Cookie中,也就是本地,所以可以直接读取其内
BUUCTF--[SWPU2019]Web3
qq_46263951的博客
08-07 326
进入后是一个登录页面,本以为要秀一番操作,这里直接随便输入即可登录进去 登录进去后只有一个upload按钮,点击后给出提示Permission denied!,这里猜测是要伪造Session 找到session,将session的值进行分析 使用大佬的脚本可以解这个session #!/usr/bin/env python3 import sys import zlib from base64 import b64decode from flask.sessions import sess.
BUUCTF web3
qq_61768489的博客
05-16 951
[WUSTCTF2020]朴实无华 这题主要就是绕过php特性 , 访问假flag页面 ,响应头里有文件提示 访问后得到源码,这里怎么乱码了 逐个击破 if(intval($num)<2020&&intval($num+1)>2021) 这里使用e科学计数法, $num=123e3 intval($num)解析出来是123 满足<2020 intval($num+1) 解析出来是 123e3+1 满足...
BUU CTF web(三)
0xdawn的博客
04-30 7215
[WesternCTF2018]shrine import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shr...
SWPUCTF2019web题复现
bmth666的博客
04-05 1178
[SWPU2019]easy_web 有一个登录框,试了试万能密码失败,那就注册吧 登录后发现有一个申请广告,在标题处输入11111111’,发现报错,应该是sql注入 禁用了or,空格等等,先使用union发现有22列 -1'/**/union/**/select/**/1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'22 后面发现还可以用-1'/**/group/**/by/**/22,'1,一样可以爆出为22列 查看数据库:-1'
2019swpuj2ee作业3
weixin_30415801的博客
03-12 93
静态页面:   在网站设计中,纯粹html格式的网页通常被称为“静态网页”,早期的网站一般都是由静态网页制作的。静态网页是相对于动态网页而言,是指没有后台数据库、不含程序和不可交互的网页。你编的是什么它显示的就是什么、不会有任何改变。静态网页相对更新起来比较麻烦,适用于一般更新较少的展示型网站。但是静态页面也可以出现动态的效果。只是它是不进行交互的。 动态页面:   动态网页是指网页文件...
[SWPU2019]Web1
as you know, nlp is fantasitc!
04-16 689
写在前面:这道题练习的是无列名注入,一步一步进行构造即可 1、通过测试(这个要自己找,不断的测试),广告名有sql二次注入(存入特殊广告名,查询的时候会报错) 2、闭合语句 因为过滤 -- # or 空格,尝试去闭合语句,构造语句 '/**/||/**/'1'='1 3、尝试联合注入,先要找到多少列 1、#order by 中的or被过滤了,因此不能用 2、'/**/group/**/by/**/22,' #group by根据一个或多个列对结果集进行分组 '/**/union/**/select/
[SWPU2019]Web3 ----不会编程的崽
最新发布
不会编程的崽的博客
03-10 1199
flask框架的session问题 文件上传 软链接读取
[SWPU2019]伟大的侦探
07-27
回答: \[SWPU2019\]伟大的侦探是一个BUUCTF比赛中的题目。根据引用\[1\]和引用\[2\]的内容,我们可以得知在解密过程中得到了一个密码"comEON_YOuAreSOSoS0great",而在解密过程中还发现了一个密码"wllm_is_the_best_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值