buuctf-web-homebrew event loop

最新推荐文章于 2022-04-22 18:45:56 发布
最新推荐文章于 2022-04-22 18:45:56 发布
阅读量382 收藏
点赞数 2
分类专栏: buuctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43345082/article/details/100080045
版权

源码太多就不贴了

在这里插入图片描述
四个按钮
一个是看源码
一个是进商店买
一个是重置
一个是返回index
然后url的格式都是这样的
?action:index;True%23False
?action:view;shop
?action:view;reset
?action:view;index

分析一下流程

首先登陆的时候
http://url_prefix/d5afe1f66147e857/
会先进入这个路由 执行entry_point()

@app.route(url_prefix+'/')
def entry_point():
    querystring = urllib.unquote(request.query_string)
    request.event_queue = []
    if querystring == '' or (not querystring.startswith('action:')) or len(querystring) > 100:
        querystring = 'action:index;False#False'
    if 'num_items' not in session:
        session['num_items'] = 0
        session['points'] = 3
        session['log'] = []
    request.prev_session = dict(session)
    trigger_event(querystring)
    return execute_event_loop()

大概就是先url解码得querystring
之后对querystring有个判断
然后设置session
session有三项分别为num_items(购买数量),points(点数),log(访问记录)
之后执行
trigger_event(querystring)
return execute_event_loop()

先看trigger_event()

def trigger_event(event):
    session['log'].append(event)
    if len(session['log']) > 5:
        session['log'] = session['log'][-5:]
    if type(event) == type([]):
        request.event_queue += event
    else:
        request.event_queue.append(event)

这里面执行的操作就是将event添加到session[‘log’]中并保留最后的五个
并将这些event添加到request.event_queue中

之后看execute_event_loop()

def execute_event_loop():
    valid_event_chars = set(
        'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ_0123456789:;#')
    resp = None
    while len(request.event_queue) > 0:
        # `event` is something like "action:ACTION;ARGS0#ARGS1#ARGS2......"
        event = request.event_queue[0]
        request.event_queue = request.event_queue[1:]
        if not event.startswith(('action:', 'func:')):
            continue
        for c in event:
            if c not in valid_event_chars:
                break
        else:
            is_action = event[0] == 'a'
            action = get_mid_str(event, ':', ';')
            args = get_mid_str(event, action+';').split('#')
            try:
                event_handler = eval(
                    action + ('_handler' if is_action else '_function'))
                ret_val = event_handler(args)
            except RollBackException:
                if resp is None:
                    resp = ''
                resp += 'ERROR! All transactions have been cancelled. <br />'
                resp += '<a href="./?action:view;index">Go back to index.html</a><br />'
                session['num_items'] = request.prev_session['num_items']
                session['points'] = request.prev_session['points']
                break
            except Exception, e:
                if resp is None:
                    resp = ''
                # resp += str(e) # only for debugging
                continue
            if ret_val is not None:
                if resp is None:
                    resp = ret_val
                else:
                    resp += ret_val
    if resp is None or resp == '':
        resp = ('404 NOT FOUND', 404)
    session.modified = True
    return resp

大概操作就是从request.event_queue中逐个取出event检测格式,并执行
重点在else里面

else:
            is_action = event[0] == 'a'
            action = get_mid_str(event, ':', ';')
            args = get_mid_str(event, action+';').split('#')
            try:
                event_handler = eval(
                    action + ('_handler' if is_action else '_function'))
                ret_val = event_handler(args)

首先判断event第一个字符是不是a
之后调用了一个函数

def get_mid_str(haystack, prefix, postfix=None):
    haystack = haystack[haystack.find(prefix)+len(prefix):]
    if postfix is not None:
        haystack = haystack[:haystack.find(postfix)]
    return haystack

就是对haystack以prefix, postfix进行分割
但是里面用的是find,也就是说只会查找第一次出现的位置

action是对event分割,取第一个:和;中间的部分
args是先对event分割,取第一个action+:之后的部分,然后再以#分割
之后用了eval执行(如果is_action,添加_handler在后面,否则添加_function在后面)
event_handler = eval( action + (’_ handler’ if is_action else '_ function '))
最后将参数传进去ret_val = event_handler(args)

我们以访问商店event为例:
event=action:view;shop
is_action=true
action=view
args=[‘shop’]
event_handler=eval(view_ handler)
ret_val=view_ handler(shop)

验证一下
在这里插入图片描述在这里插入图片描述
好了现在我们大概了解了后端执行的流程
那么怎么获得flag呢
发现了这三个函数

def FLAG():
    return '*********************'  # censored
    
def show_flag_function(args):
    flag = args[0]
    # return flag # GOTCHA! We noticed that here is a backdoor planted by a hacker which will print the flag, so we disabled it.
    return 'You naughty boy! ;) <br />'


def get_flag_handler(args):
    if session['num_items'] >= 5:
        # show_flag_function has been disabled, no worries
        trigger_event('func:show_flag;' + FLAG())
    trigger_event('action:view;index')

第一,三个能返回flag
但第一个return了flag却没有输出,只是return回来了
而第三个会调用前两个,触发trigger_event将flag写入log记录项中,而log的内容可以通过破解session获得
但是条件是session[‘num_items’] >= 5:

接下来的目标就是如何让get_flag_handler执行,同时num_items>=5

也就是需要先让num_items>=5,之后让get_flag_handler执行,最后解密session得flag
先看看怎么能让num_items>=5

def buy_handler(args):
    num_items = int(args[0])
    if num_items <= 0:
        return 'invalid number({}) of diamonds to buy<br />'.format(args[0])
    session['num_items'] += num_items
    trigger_event(['func:consume_point;{}'.format(
        num_items), 'action:view;index'])


def consume_point_function(args):
    point_to_consume = int(args[0])
    if session['points'] < point_to_consume:
        raise RollBackException()
    session['points'] -= point_to_consume

发现buy_handler和consume_point_function是分开的
也就是我们先提交自己的购买个数给buy_handler
buy_handler通过trigger_event将事件consume_point_function加入了事件的列表
所以如果要买一个log里应该是这样:
[‘action:buy;1’,[[‘func:consume_point;1’.‘action:view;index’]]]
于是我们买一个
在这里插入图片描述
抓包
在这里插入图片描述
破解一下session
破解session工具
在这里插入图片描述注意一点
'action:buy;1’是我们购买时添加进事件中的
[‘func:consume_point;1’.‘action:view;index’]这个是buy_handler执行到
trigger_event([‘func:consume_point;{}’.format(num_items), ‘action:view;index’])添加进log中的
于是有了漏洞
因为trigger_event() 先将事件添加到log
之后真正执行是execute_event_loop()
也就是说如果只要在将buy_handler添加到记录的同时加入get_flag_handler
执行的log就会变成
[‘action:buy;5’,‘action:get_flag’]
之后buy_handler执行,添加事件consume_point
[‘action:buy;5’,‘action:get_flag’,[[‘func:consume_point;5’.‘action:view;index’]]]
由于get_flag在consume_point前执行
这时候num_items可以等于5
绕过了
那么如何将get_flag添加进log
正好可以参考这里
在这里插入图片描述
用trigger_event([‘action:buy;5’,‘action:get_flag;’])

然后就是怎么让trigger_event执行的问题了

整个代码中能根据输入的url调用函数的地方只有刚刚的eval
于是我们回到else

else:
            is_action = event[0] == 'a'
            action = get_mid_str(event, ':', ';')
            args = get_mid_str(event, action+';').split('#')
            try:
                event_handler = eval(
                    action + ('_handler' if is_action else '_function'))
                ret_val = event_handler(args)

我们现在已经知道
action是函数
args是函数的参数
所以只要想办法让
args=[‘action:buy;5’,‘action:get_flag;’]
action=trigger_event
就可以了
我们知道#可以分割args
在这里插入图片描述
但会这时的action=trigger_event_handler
args也多出了第一个空元素
最后经过尝试发现这样可以
在这里插入图片描述
这时的action=trigger_event#_handler,执行时#将后边的注释了
最后的payload是

?action:trigger_event%23;action:buy;5%23action:get_flag;

#要编码为%23
在这里插入图片描述
访问用bp抓包
在这里插入图片描述
解密响应包的session

在这里插入图片描述
flag到手

b

掘地三尺有神明
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DDCTF2019-Web-homebrew event loop(python flask代码审计)
Sea_Sand息禅
06-15 1000
进入网站,有以下几个功能: 1、查看源码 2、商店购买diamonds 3、重置Session 4、回到主页 刚开始是有3 points ,一个point可以买一个diamond,下面进行源码审计: from flask import Flask, session, request, Response import urllib app = Flask(__name__) app.secret_...
BUUCTF--[DDCTF 2019]homebrew event loop
qq_46263951的博客
07-20 353
先来补充知识点: session in python append in python _str in python flask的常用接收参数的方法 python路由 首先了解一下各个页面的作用: View source code 查看网页源代码 Go to e-shop 一个积分可以买一个钻石 Reset 重置 Go back to index.html 返...
[DDCTF 2019]homebrew event loop
wuyaowangchuan的博客
12-02 1213
https://buuoj.cn/challenges#[DDCTF%202019]homebrew%20event%20loop 进入环境 每隔页面浏览一下 最上面就是说明我现在有多少个钻石,多少积分 点击进GO-to e-shop,就可以使用一个积分买一个钻石 买完了之后主页会显示 积分花完的时候点击 就可以重置了 以前做过类似购买的题目 我做到的都是逻辑漏洞,抓包改余额,抓包改价格这些 接下来看看View source code这个页面 进入是py的代码 from flask import
BUUCTF--[FBCTF2019]Event
qq_46263951的博客
08-14 235
进入页面,注册登录 访问flag 查看Cookie,这里很容易就猜到是要伪造Cookie 这里有三个参数,上传内容并用Burp抓包可以发现三个参数所对应的变量名. 看大佬的wp知道 在event_important参数存在模版注入,输入__dict__,发现成功回显接着查找配置文件:__class__.__init__.__globals__[app].config 发现加密所需的密钥,伪造session from flask import Flask from flask.sessio...
homebrew-formulae:个人Homebrew公式
02-14
自制配方 个人配方 用法 $ brew install azdavis/formulae/ 其中是此存储库中.rb文件之一的名称,减去.rb扩展名。
Homebrew-4.1.4
最新发布
01-04
macos版Homebrew-4.1.4
homebrew-packages:个人Homebrew软件包!
02-04
自制程序包 个人程序包。配套 在终端2048! Spotify的真正随机![ gridt ] [4] 在终端中将内容显示为网格!执照该项目代码在公共领域。 请参阅。贡献除非您明确声明,否则您有意提交的任何包含在作品中的贡献均应...
homebrew-tap-rug:使用Homebrew安装Atomist工具
02-04
原子家酿水龙头 通过使用我们的 存储库安装rug命令行界面,开始使用进行开发。 用法 $ brew tap atomist/tap $ brew install rug-cli
homebrew-apple-fonts:使用homebrew轻松安装Apples字体
02-04
家酿水龙头–苹果字体Homebrew Casks for Apples字体,易于安装。 所有的Casks都只是链接到上的下载内容。安装水龙头$ brew tap moritzsternemann/apple-fonts安装字体$ brew cask install font-sf-pro$ brew cask ...
BUUCTF [FBCTF2019] Event
Senimo
01-13 424
BUUCTF [FBCTF2019] Event 考点: Flask模版注入 伪造Session登陆 非常规格式SECRET_KEY加密 启动环境: 一个登陆注册页面,若点击Admin panel,提示: 使用Username:test,Password:test登陆后: 并没有限制登陆,可能是成功注册用户test 可以向数据库中添加新的事件,尝试添加: Name:hahaha Address:8.8.8.8 得到回显: 其选项框可以选择显示添加的事件名或事件地址 此时再次点击Admin p
BUUCTF:[FBCTF2019]Event
末初的CSDN博客
07-29 847
题目地址:https://buuoj.cn/challenges#[FBCTF2019]Event 模版注入+Cookie伪造 Cookie:Im1vY2h1Ig.XyDM5A.RIObE23_pwucPR7ZAVNsm_cOwpU 加密方式未知,密钥未知 在提交数据的时候,有三个可控参数,经测试在event_important参数存在模版注入,输入__dict__,发现成功回显 接着查找配置文件:__class__.__init__.__globals__[app].config 发现密钥,开始
Mac homebrew安装的软件的位置
幻想之渔
11-13 3996
废话不多说  这个目录下面: /usr/local/Cellar/
合天ctf类型做题规范(下)
weixin_38131137的博客
12-03 305
七、CVE-2017-12615Tomcat远程代码执行漏洞实验 该漏洞受影响版本为7.0-7.80之间,复现实验过程过,BP抓包要实现将端口改成8090,免得与8080的猫端口冲突。 八、支付逻辑漏洞 #1支付过程中可直接修改数据包中的支付金额,bp改数据 #2没有对购买数量进行限制,将数量改成-1 #3购买商品编号篡改 例如商品积分兑换处,100个积分只能换商品编号为001的低价格商品,100...
mysql hypot_几道web题简单总结
weixin_42516104的博客
01-27 194
拖了好长时间,总结一下这一段时间做的几道值得记录一下的题目,有的没做出来,但是学习到了新的东西1.homebrew event loopddctf的一道题目,学到了python eval函数的用法,首先分析题目:#-*- encoding: utf-8 -*-#written in python 2.7__author__ = 'garzon'from flask importFlask, ses...
几道web题简单总结
weixin_30868855的博客
04-28 168
拖了好长时间,总结一下这一段时间做的几道值得记录一下的题目,有的没做出来,但是学习到了新的东西 1.homebrew event loop ddctf的一道题目,学到了python eval函数的用法,首先分析题目: # -*- encoding: utf-8 -*- # written in python 2.7 __author__ = 'garzon' from fl...
BUUCTF-WEB-[CISCN2019 华北赛区 Day1 Web2]ikun
weixin_43345082的博客
07-30 8481
当时没做出来,大佬复现了环境就做一波 题目 第一步提示我们要找到lv6 写个脚本找一下 import requests url="http://web44.buuoj.cn/shop?page=" for i in range(0,2000): r=requests.get(url+str(i)) if 'lv6.png' in r.text: print (i) break ...
event loop 详解
热门推荐
qq_61233877的博客
04-22 1万+
带你轻轻松松搞懂 event loop
【bugkuCTF】LoopAndLoop(阿里CTF)writeup
iqiqiya的博客
05-22 3022
 下载链接: https://pan.baidu.com/s/1uvsl_xusNMMnnrjOzuoffg 密码: me4j 先解压安装下看看什么情况 接着直接··载入JEB双击MainActivity 右击空白处 选择Decompilea classpackage net.bluelotus.tomorrow.easyandroid; import android.os.Bundle; im...
mac不需要Homebrew,安装pcre-devel
05-24
对于 macOS 系统,确实可以手动安装 `pcre-devel`,但是如果你需要在macOS上安装很多其他软件的话,使用 Homebrew 可以更加方便。Homebrew 是 macOS 上的软件包管理器,可以帮助你方便地安装和升级软件,同时也会自动处理软件依赖关系。 如果你还没有安装 Homebrew,可以在终端中运行以下命令进行安装: ```bash /bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)" ``` 安装完成后,你可以使用以下命令来安装 `pcre-devel`: ```bash brew install pcre ``` 这样,Homebrew 会自动安装 `pcre` 及其相关依赖,并将其添加到系统路径中,使得你可以在终端中直接使用 `pcre` 库。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值