HFCTF-2021-Final-easyflask

最新推荐文章于 2023-12-11 21:33:18 发布
最新推荐文章于 2023-12-11 21:33:18 发布
阅读量724 收藏
点赞数 1
分类专栏: BUUCTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/snowlyzz/article/details/126683978
版权

考点:

环境变量信息泄露

pickle 反序列化RCE

Flask_seesion 伪造

__ruduce__魔术方法利用

思路:

反序列化肯定包含 创建新对象的操作,如果__reduce__里包含攻击代码就可以实现RCE,但是被反序列化的输出储存在session里,需要知道密钥进行伪造。

密钥获得途径:一般都可以在 代码里、配置文件里(app.config)、环境变量里(/proc/self/environ)获得。这题属于第三者。

 首先拿到secret_key=glzjin22948575858jfjfjufirijidjitg3uiiuuhOLDPWD

/app/source源码信息:

#!/usr/bin/python3.6
import os
import pickle

from base64 import b64decode
from flask import Flask, request, render_template, session

app = Flask(__name__)
app.config["SECRET_KEY"] = "*******"

User = type('User', (object,), {
    'uname': 'test',
    'is_admin': 0,
    '__repr__': lambda o: o.uname,
})


@app.route('/', methods=('GET',))
def index_handler():
    if not session.get('u'):
        u = pickle.dumps(User())
        session['u'] = u
    return "/file?file=index.js"


@app.route('/file', methods=('GET',))
def file_handler():
    path = request.args.get('file')
    path = os.path.join('static', path)
    if not os.path.exists(path) or os.path.isdir(path) \
            or '.py' in path or '.sh' in path or '..' in path or "flag" in path:
        return 'disallowed'

    with open(path, 'r') as fp:
        content = fp.read()
    return content


@app.route('/admin', methods=('GET',))
def admin_handler():
    try:
        u = session.get('u')
        if isinstance(u, dict):#如果u对应的值是字典,会读取  u.b
            u = b64decode(u.get('b'))
        u = pickle.loads(u)#pickle反序列化
    except Exception:
        return 'uhh?'

    if u.is_admin == 1:
        return 'welcome, admin'
    else:
        return 'who are you?'


if __name__ == '__main__':
app.run('0.0.0.0', port=80, debug=False)

因为需要伪造 session  但是我在kali 用 flask-session-cookie-manager  加密后的session 没有 反弹shell 成功。 在 window 用的脚本 也没成功。

看到别的师傅用这个脚本,试一下:

""" Flask Session Cookie Decoder/Encoder """
__author__ = 'Wilson Sumanang, Alexandre ZANNI'
 
# standard imports
import sys
import zlib
from itsdangerous import base64_decode
import ast
 
# Abstract Base Classes (PEP 3119)
if sys.version_info[0] < 3: # < 3.0
    raise Exception('Must be using at least Python 3')
elif sys.version_info[0] == 3 and sys.version_info[1] < 4: # >= 3.0 && < 3.4
    from abc import ABCMeta, abstractmethod
else: # > 3.4
    from abc import ABC, abstractmethod
 
# Lib for argument parsing
import argparse
 
# external Imports
from flask.sessions import SecureCookieSessionInterface
 
class MockApp(object):
 
    def __init__(self, secret_key):
        self.secret_key = secret_key
 
 
if sys.version_info[0] == 3 and sys.version_info[1] < 4: # >= 3.0 && < 3.4
    class FSCM(metaclass=ABCMeta):
        def encode(secret_key, session_cookie_structure):
            """ Encode a Flask session cookie """
            try:
                app = MockApp(secret_key)
 
                session_cookie_structure = dict(ast.literal_eval(session_cookie_structure))
                si = SecureCookieSessionInterface()
                s = si.get_signing_serializer(app)
 
                return s.dumps(session_cookie_structure)
            except Exception as e:
                return "[Encoding error] {}".format(e)
                raise e
 
 
        def decode(session_cookie_value, secret_key=None):
            """ Decode a Flask cookie  """
            try:
                if(secret_key==None):
                    compressed = False
                    payload = session_cookie_value
 
                    if payload.startswith('.'):
                        compressed = True
                        payload = payload[1:]
 
                    data = payload.split(".")[0]
 
                    data = base64_decode(data)
                    if compressed:
                        data = zlib.decompress(data)
 
                    return data
                else:
                    app = MockApp(secret_key)
 
                    si = SecureCookieSessionInterface()
                    s = si.get_signing_serializer(app)
 
                    return s.loads(session_cookie_value)
            except Exception as e:
                return "[Decoding error] {}".format(e)
                raise e
else: # > 3.4
    class FSCM(ABC):
        def encode(secret_key, session_cookie_structure):
            """ Encode a Flask session cookie """
            try:
                app = MockApp(secret_key)
 
                session_cookie_structure = dict(ast.literal_eval(session_cookie_structure))
                si = SecureCookieSessionInterface()
                s = si.get_signing_serializer(app)
 
                return s.dumps(session_cookie_structure)
            except Exception as e:
                return "[Encoding error] {}".format(e)
                raise e
 
 
        def decode(session_cookie_value, secret_key=None):
            """ Decode a Flask cookie  """
            try:
                if(secret_key==None):
                    compressed = False
                    payload = session_cookie_value
 
                    if payload.startswith('.'):
                        compressed = True
                        payload = payload[1:]
 
                    data = payload.split(".")[0]
 
                    data = base64_decode(data)
                    if compressed:
                        data = zlib.decompress(data)
 
                    return data
                else:
                    app = MockApp(secret_key)
 
                    si = SecureCookieSessionInterface()
                    s = si.get_signing_serializer(app)
 
                    return s.loads(session_cookie_value)
            except Exception as e:
                return "[Decoding error] {}".format(e)
                raise e
 
 
if __name__ == "__main__":
    # Args are only relevant for __main__ usage
    
    ## Description for help
    parser = argparse.ArgumentParser(
                description='Flask Session Cookie Decoder/Encoder',
                epilog="Author : Wilson Sumanang, Alexandre ZANNI")
 
    ## prepare sub commands
    subparsers = parser.add_subparsers(help='sub-command help', dest='subcommand')
 
    ## create the parser for the encode command
    parser_encode = subparsers.add_parser('encode', help='encode')
    parser_encode.add_argument('-s', '--secret-key', metavar='<string>',
                                help='Secret key', required=True)
    parser_encode.add_argument('-t', '--cookie-structure', metavar='<string>',
                                help='Session cookie structure', required=True)
 
    ## create the parser for the decode command
    parser_decode = subparsers.add_parser('decode', help='decode')
    parser_decode.add_argument('-s', '--secret-key', metavar='<string>',
                                help='Secret key', required=False)
    parser_decode.add_argument('-c', '--cookie-value', metavar='<string>',
                                help='Session cookie value', required=True)
 
    ## get args
    args = parser.parse_args()
 
    ## find the option chosen
    if(args.subcommand == 'encode'):
        if(args.secret_key is not None and args.cookie_structure is not None):
            print(FSCM.encode(args.secret_key, args.cookie_structure))
    elif(args.subcommand == 'decode'):
        if(args.secret_key is not None and args.cookie_value is not None):
            print(FSCM.decode(args.cookie_value,args.secret_key))
        elif(args.cookie_value is not None):
            print(FSCM.decode(args.cookie_value))

同样是在linux 下使用

连上了之后就再也连不上了。 不搞了 这题真的浪费时间 

 

snowlyzz
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctf赛题secret.php,记一场纯JS赛——DiceCTF2021 Web题解
weixin_42509398的博客
03-12 745
// remake the `users` tabledb.exec( `DROP TABLE IF EXISTS users;`);db.exec( `CREATE TABLE users(id INTEGER PRIMARY KEY AUTOINCREMENT,username TEXT,password TEXT);`);// add an admin user with a random ...
AFCTF校赛
Huamang的博客
06-05 975
fake 留了一个.git文件,我们看一下日志 是有两次提交的,有一次是真的flag git log git show 版本号 我们再使用git show命令来查看内容 stolen 打开数据包,追踪tcp流 首先看到上传了一个一句话木马 然后是一个python文件 这个python文件把flag的每一位都转化成ascii码再*16*16+1 然后发送流给192.168.159.138 再往下看,他执行了这个python文件 那么就看他的包的内容,全部提取出来在转换成flag 第一个果然是26
flask-session-cookie-manager
01-29
使用python脚本更改或生成cookie
2021-AFCTF
unexpectedthing的博客
04-17 2910
AFCTF search 考点 就是一个对find的命令了解,参数exec可以实现命令 wp payload /search.php?search=flag -exec cat {} \; google authenticator 考点 sql注入,拿到secret的密钥 google身份验证码的实现 蚁剑连接,无权限,进行信息收集 蚁剑反弹shell到vps 非交互式shell变为交互式shell的两种方式 写定时任务redis提权 wp 看到登录界面,扫一波,没有东西 尝试进行sql注入 先来个万
Flask存储在内存中的密钥被读取
最新发布
黑日里不灭的light
12-11 798
局限性:查找的密钥具有特征码。
hibernate-release-5.3.7.Final
11-27
hibernate-release-5.3.7.Final
hibernate jar包:hibernate-commons-annotations-4.0.1.Final.jar等
03-31
hibernate-commons-annotations-4.0.1.Final.jar hibernate-core-4.1.12.Final.jar hibernate-ehcache-4.1.12.Final.jar hibernate-entitymanager-4.1.12.Final.jar hibernate-jpa-2.0-api-1.0.1.Final.jar ...
MIDS-251-2021-Final-Project
03-29
MIDS-251-2021-最终项目S3水桶s3://w251-covidx-ctAWS EC2实例以下步骤将用于启动EC2实例以进行模型训练。 (注意:必须预先设置awscli) Deep Learning AMI (Ubuntu 18.04) Version 32.0 - ami-0dc2264cd927ca9eb...
hibernate-commons-annotations-5.1.0.Final.jar
12-10
hibernate-commons-annotations-5.1.0.Final.jar
netty-all-4.1.28.Final.jar
08-29
netty-all-4.1.28.Final.jar是Netty的基本包,提供了非阻塞式网络通信的基本功能。
惠州学院红帽协会CTF招新赛WP
Aiwin的博客
05-07 1310
Crypto、Misc、Reverse、Web方向WP
2021 FDUCTF解题报告
qq_47903865的博客
10-16 2627
比赛链接 crypto BabyRSA 小Z学习了RSA算法,但他认为n只需要够大就行了,这合理吗? from Crypto.Util.number import * from secret import flag n=2**1024 e=65537 m=bytes_to_long(flag) c=pow(m,e,n) print(c) #987101149352846962667271870999743049151973302592726882767520095444948907940118459472
RACTF 2021 Web复现
feng的博客
08-19 1476
前言 最近向Y4师傅学习,慢慢开始打国外的比赛。13号-16号的RACTF当时看了一下做出来人数最多的Web题,发现一点头绪都没有,就直接爬了,感觉这个比赛可能难度挺大的。还是有些畏难了。今天早上看到Y4师傅发了这个比赛的WP,我又去官网上看了一下,部分的Web的WP也发了,而且题目环境也都没关,所以就又去做了一下,不会的Web题如果有wp的话也跟着wp学习了一下进行了复现。 Really Awesome Monitoring Dashboard 用的是Grafana v8.1.1,查了一下没找到这个版本的
*CTF2021部分复现
SopRomeo的博客
01-20 1412
web oh-my-note 从源码可以看出session 是经过两次随机进行设置,首先随机取得user_id,在通过user_id和提交的时间取得note_id 看到 view路由 可以发现我们可以通过这个公开页面获得note_id 网页中恰好也给到了admin 的note_id 而我们发现在my_notes 这个路由我们有两种方式看到提交的note 一种session,另一种是GET请求发送user_id 很明显,题目意思要求爆破user_id 创建用户和提交时间可能存在几毫秒的偏差 源码中采
NSFFCTF--CRYPTO(1~10)
m0_59022585的博客
07-12 439
4、设x=a+b=sqrt(a^2+b^2+2ab),y=a-b=sqrt(a^2+b^2-2ab),a=(x+y)/2,b=(x-y)/2。分析代码:生成p,q为400位的素数,且q前200位是p后200位,后200位是p前200位。将flag进行RSA加密输出c和n。解压后得到一串密文,密文中出现:K=,当:K=ASCII码值分别加9,对应为CTF,推测密文经过移位加密,使用脚本得到flag。注意:因为ab是400位,根据不等式a^2+b^2>=2ab,则a^2+b^2必为401位,且第一个数为1。
用python3+flask+uWSGI+supervisor部署web应用时EncodingError的解决方法
u013933247的博客
04-28 264
问题: Python3其实是默认使用unicode(UTF-8)编码的,但是当使用uWSGI来部署应用并且用supervisor作进程守护的时候,就会出现编码问题,比较典型的是用于检查的print命令报UnicodeEncodingError,内容是有字符无法用ASC II编码。 UnicodeEncodeError: ‘ascii’ codec can’t encode characters in position 2-5: ordinal not in range(128) 分析: 经过一轮google
buuctf--easyflask
qq_46263951的博客
01-04 868
根据提示访问/file?file=index.js,可以看到提示源码在/app/source #!/usr/bin/python3.6 import os import pickle from base64 import b64decode from flask import Flask, request, render_template, session app = Flask(__name__) app.config["SECRET_KEY"] = "*******" User = type
HFCTF2021复现
as you know, nlp is fantasitc!
03-16 1129
[HFCTF2021 Quals]Unsetme 1、F3框架,unset将参数a拼接进去,可以闭合 2、测试 ​ payload ?a=a%0a);%0aphpinfo( 3、读取flag ?a=a%0a);%0aecho file_get_contents(%27/flag%27 [HFCTF 2021 Final]easyflask 1、源码,很明显的pickle反序列化 pickle官方文档 #!/usr/bin/python3.6 import os import pickle fro
python isinstance方法 嵌套字典类型数据 输出最里层value
u011276369的博客
06-02 2811
转自:http://www.jb51.net/article/96469.htm isinstance方法判断一个对象是否属于某类,isinstance(object, classinfo)  例如:isinstance(1, int) 返回True isinstance(a,dict)  判断对象a是否为字典,如果为真,会打印True,如为假,打印False。 应用示例: def
jboss-threads-3.1.0.final
08-09
JBoss Threads 是一个用于应用程序多线程管理的开源框架,版本为3.1.0.final。 JBoss Threads 提供了一套丰富的API,用于在Java应用程序中创建、管理和调度线程。它的目标是提供一种可靠、高效和灵活的方式来处理线程,在多线程环境下提高应用程序的性能和稳定性。 JBoss Threads 的主要特性包括: 1. 线程池管理:JBoss Threads 提供了线程池来管理线程的创建、销毁和复用。通过线程池,可以灵活地控制线程的数量和资源的分配,避免了频繁创建和销毁线程的开销。 2. 线程调度:JBoss Threads 提供了丰富的线程调度功能,包括线程优先级、线程组、线程间通信等。可以根据业务需求灵活地控制线程的执行顺序和并发度。 3. 异步执行:JBoss Threads 支持异步执行任务,可以在任务执行期间继续处理其他任务,提高了应用程序的并发性能和响应速度。 4. 内存管理:JBoss Threads 提供了内存回收机制,可以自动释放未使用的线程资源,避免内存泄漏和资源浪费。 5. 监控和统计:JBoss Threads 提供了丰富的监控和统计功能,可以实时跟踪和分析应用程序中的线程执行情况,帮助调优和排除故障。 总之,JBoss Threads 是一个功能强大、易于使用的线程管理框架,可以帮助开发者更好地管理和调度多线程应用程序,提高应用程序的性能和稳定性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值