DDCTF2019-Web-homebrew event loop(python flask代码审计)

最新推荐文章于 2022-10-31 14:15:08 发布
最新推荐文章于 2022-10-31 14:15:08 发布
阅读量993 收藏 1
点赞数
分类专栏: python代码审计 赛题复现 CTF学习 文章标签: DDCTF2019-Web flask python代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zz_Caleb/article/details/92170270
版权

进入网站,有以下几个功能:
1、查看源码
2、商店购买diamonds
3、重置Session
4、回到主页

刚开始是有3 points ,一个point可以买一个diamond,下面进行源码审计:

from flask import Flask, session, request, Response
import urllib

app = Flask(__name__)
app.secret_key = '*********************'  # censored
url_prefix = '/d5afe1f66147e857'


def FLAG():
    return 'flag{************************}'  # censored


def trigger_event(event):
    session['log'].append(event)
    if len(session['log']) > 5:
        session['log'] = session['log'][-5:]
    if type(event) == type([]):
        request.event_queue += event
    else:
        request.event_queue.append(event)


def get_mid_str(haystack, prefix, postfix=None):
    haystack = haystack[haystack.find(prefix)+len(prefix):]
    if postfix is not None:
        haystack = haystack[:haystack.find(postfix)]
    return haystack


class RollBackException:
    pass


def execute_event_loop():
    valid_event_chars = set(
        'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ_0123456789:;#')
    resp = None
    while len(request.event_queue) > 0:
        # `event` is something like "action:ACTION;ARGS0#ARGS1#ARGS2......"
        event = request.event_queue[0]
        request.event_queue = request.event_queue[1:]
        if not event.startswith(('action:', 'func:')):
            continue
        for c in event:
            if c not in valid_event_chars:
                break
        else:
            is_action = event[0] == 'a'
            action = get_mid_str(event, ':', ';')
            args = get_mid_str(event, action+';').split('#')
            try:
                event_handler = eval(
                    action + ('_handler' if is_action else '_function'))
                ret_val = event_handler(args)
            except RollBackException:
                if resp is None:
                    resp = ''
                resp += 'ERROR! All transactions have been cancelled. <br />'
                resp += '<a href="./?action:view;index">Go back to index.html</a><br />'
                session['num_items'] = request.prev_session['num_items']
                session['points'] = request.prev_session['points']
                break
            except Exception, e:
                if resp is None:
                    resp = ''
                # resp += str(e) # only for debugging
                continue
            if ret_val is not None:
                if resp is None:
                    resp = ret_val
                else:
                    resp += ret_val
    if resp is None or resp == '':
        resp = ('404 NOT FOUND', 404)
    session.modified = True
    return resp


@app.route(url_prefix+'/')
def entry_point():
    querystring = urllib.unquote(request.query_string)
    request.event_queue = []
    if querystring == '' or (not querystring.startswith('action:')) or len(querystring) > 100:
        querystring = 'action:index;False#False'
    if 'num_items' not in session:
        session['num_items'] = 0
        session['points'] = 3
        session['log'] = []
    request.prev_session = dict(session)
    trigger_event(querystring)
    return execute_event_loop()

# handlers/functions below --------------------------------------


def view_handler(args):
    page = args[0]
    html = ''
    html += '[INFO] you have {} diamonds, {} points now.<br />'.format(
        session['num_items'], session['points'])
    if page == 'index':
        html += '<a href="./?action:index;True%23False">View source code</a><br />'
        html += '<a href="./?action:view;shop">Go to e-shop</a><br />'
        html += '<a href="./?action:view;reset">Reset</a><br />'
    elif page == 'shop':
        html += '<a href="./?action:buy;1">Buy a diamond (1 point)</a><br />'
    elif page == 'reset':
        del session['num_items']
        html += 'Session reset.<br />'
    html += '<a href="./?action:view;index">Go back to index.html</a><br />'
    return html


def index_handler(args):
    bool_show_source = str(args[0])
    bool_download_source = str(args[1])
    if bool_show_source == 'True':

        source = open('app1.py', 'r')
        html = ''
        if bool_download_source != 'True':
            html += '<a href="./?action:index;True%23True">Download this .py file</a><br />'
            html += '<a href="./?action:view;index">Go back to index.html</a><br />'

        for line in source:
            if bool_download_source != 'True':
                html += line.replace('&', '&amp;').replace('\t', '&nbsp;'*4).replace(
                    ' ', '&nbsp;').replace('<', '&lt;').replace('>', '&gt;').replace('\n', '<br />')
            else:
                html += line
        source.close()

        if bool_download_source == 'True':
            headers = {}
            headers['Content-Type'] = 'text/plain'
            headers['Content-Disposition'] = 'attachment; filename=serve.py'
            return Response(html, headers=headers)
        else:
            return html
    else:
        trigger_event('action:view;index')


def buy_handler(args):
    num_items = int(args[0])
    if num_items <= 0:
        return 'invalid number({}) of diamonds to buy<br />'.format(args[0])
    session['num_items'] += num_items
    trigger_event(['func:consume_point;{}'.format(
        num_items), 'action:view;index'])


def consume_point_function(args):
    point_to_consume = int(args[0])
    if session['points'] < point_to_consume:
        raise RollBackException()
    session['points'] -= point_to_consume


def show_flag_function(args):
    flag = args[0]
    # return flag # GOTCHA! We noticed that here is a backdoor planted by a hacker which will print the flag, so we disabled it.
    return 'You naughty boy! ;) <br />'


def get_flag_handler(args):
    if session['num_items'] >= 5:
        # show_flag_function has been disabled, no worries
        trigger_event('func:show_flag;' + FLAG())
    trigger_event('action:view;index')


if __name__ == '__main__':
    app.run(debug=False, host='0.0.0.0')

拿flag的点就在get_flag_handler函数这,这个函数会通过trigger_event来调用FLAG(),这样会把flag的信息写到session中,而flask session是加密的,我们最后还需要对其进行解密。

那么怎么调用这个函数呢,大致浏览代码,entry_point()函数为入口,querystring是我们的传参:
在这里插入图片描述

然后记性trigger_event(querystring),再调用execute_event_loop()函数。

trigger_event函数的功能就是把传参加入到event_queue[]中,然后再execute_event_loop中进行利用。

再看看execute_event_loop()函数。

		event = request.event_queue[0]
        request.event_queue = request.event_queue[1:]

取出event_queue中的值(也就是我们存放进去的参数),然后去除第一个元素,相当于把首个元素弹出并进行利用。
然后看这一段

			is_action = event[0] == 'a'
            action = get_mid_str(event, ':', ';')
            args = get_mid_str(event, action+';').split('#')
            try:
                event_handler = eval(
                    action + ('_handler' if is_action else '_function'))
                ret_val = event_handler(args)

get_mid_str函数的作用就是在第一个参数的字符串中截取第二个参数和第三个参数中间的字符串,如果第三个参数为空,则截取出字符串中第二个参数之后的所有字符。
以#为分隔符分隔event中的action,然后和_handler进行拼接,eval的作用是执行语句并返回结果,因为可以随意传递参数,所以我们可以利用这个拼接buy_handler函数和get_flag_handler函数,然后执行这些函数拿到flag。

构造?action:trigger_event%23;action:buy;7%23action:get_flag;

%23为#的urlencode,有注释作用,该payload传递之后,entry_point函数中的trigger_event(querystring)其实就是trigger_event(trigger_event),然后trigger_event被传入event_queue,接下来在execute_event_loop中eventaction:trigger_event#;action:buy;7#action:get_flag;,到下面action为trigger_event#,args[‘action:buy;7’, ‘action:get_flag;’],在eval中由于action中的#,所以trigger_event不会被拼接,所以event_handler==trigger_event,然后下面的event_handler(args)也就是trigger_event(args),然后action:buy;7和action:get_flag;被append到event_queue中,然后就会在while循环中被eval拼接并先后执行buy_handler和get_flag_handler,而且买的是7个diamonds。

这样就达到我们的目的了,接下来对session解密就可拿到flag:
在这里插入图片描述

大千SS
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Wii-U-Homebrew-Installer:Python脚本可将SD卡准备用于自制
02-11
Wii-U-Homebrew安装程序 Python脚本,可为WiiU自酿软件准备好您的SD卡。 用法: py -3 main.py 贡献:请参阅 。 注意:请在贡献之前查看期。 从,建议您下载由于使用外部模块而提供的exe。
[DDCTF 2019]homebrew event loop
m0_64348326的博客
05-30 147
9.经过上面的审计,已经有了基本思路,那就是先在buy_handler中购买5个物品,同时访问get_flag_handler,这个时候就满足条件,将flag读取后传入trigger_event中了,而且trigger_event还会把数据保存在日志当中,这时侯再经过consume_point_function判断积分不足然后pass已经不行了,因为可以直接在session[‘log’]中就能读取到flag数据。,该功能就是session以及querystring语句的初始化,并保存到。
BUUCTF--[DDCTF 2019]homebrew event loop
qq_46263951的博客
07-20 342
先来补充知识点: session in python append in python _str in python flask的常用接收参数的方法 python路由 首先了解一下各个页面的作用: View source code 查看网页源代码 Go to e-shop 一个积分可以买一个钻石 Reset 重置 Go back to index.html 返...
攻防世界 web进阶区 shrine
m0_51395584的博客
06-22 351
攻防世界 web进阶区 shrine pythonflask框架代码审计,以及相关漏洞利用
buuctf-web-homebrew event loop
weixin_43345082的博客
08-26 379
源码太多就不贴了 四个按钮 一个是看源码 一个是进商店买 一个是重置 一个是返回index 然后url的格式都是这样的 ?action:index;True%23False ?action:view;shop ?action:view;reset ?action:view;index 分析一下流程 首先登陆的时候 http://url_prefix/d5afe1f66147e857/ 会先进入这...
homebrew-vue-cli:使用Homebrew安装Vue CLI
02-04
homebrew-vue-cli:使用Homebrew安装Vue CLI
homebrew-apple-fonts:使用homebrew轻松安装Apples字体
02-04
家酿水龙头–苹果字体Homebrew Casks for Apples字体,易于安装。 所有的Casks都只是链接到上的下载内容。安装水龙头$ brew tap moritzsternemann/apple-fonts安装字体$ brew cask install font-sf-pro$ brew cask ...
homebrew-packages:个人Homebrew软件包!
02-04
自制程序包 个人程序包。配套 在终端2048! Spotify的真正随机!...执照该项目代码在公共领域。 请参阅。贡献除非您明确声明,否则您有意提交的任何包含在作品中的贡献均应属于公共领域,没有任何其他条款或条件。
homebrew-tap-rug:使用Homebrew安装Atomist工具
02-04
原子家酿水龙头 通过使用我们的 存储库安装rug命令行界面,开始使用进行开发。 用法 $ brew tap atomist/tap $ brew install rug-cli
Python-Pylava是一个用于Python和JavaScript的代码审计工具
08-11
Pylava是一个用于Python和JavaScript的代码审计工具
CTF中Web各种题目的解题姿势
05-25
Web题型是CTF中常考题型之一,它将实际渗透过程中的技术技巧转化为CTF赛题,主要考察选手在Web渗透技术方面的能力,由于Web渗透涉及的知识点较多,知识面比较广泛,因此系统的总结和练习Web类题,是快速掌握出题人思路的一种有效的方法。
ssrfme(flask代码审计)
weixin_52780973的博客
10-31 597
简单的flask框架代码审计
python动态代码审计
一个码农的笔记
08-30 4324
动态代码审计的用处 大型项目代码结构复杂 有些危险的功能隐藏较深(危险的定时计划任务、sqlite数据库任意创建导致任意文件覆盖……) 提高效率,希望通过一些黑盒的方法比较快速的找到漏洞。 常见漏洞分类 数据库操作 敏感函数的调用和传参 文件读写操作 网络访问操作 正文目录 数据库general log 日志 hook关键函数 结合au...
python自动化审计及实现
weixin_34217711的博客
03-08 2997
xxlegend · 2015/08/03 17:010x00 摘要Python由于其简单,快速,库丰富的特点在国内使用的越来越广泛,但是一些不好的用法却带来了严重的安全问题,本文从Python源码入手,分析其语法树,跟踪数据流来判断是否存在注入点。关键词: Python 注入 源码 语法树0x01 引言Python注入问题是说用户可以控制输入,导致系统执行一些危险的操作。它是Python中比较常...
[De1CTF 2019]SSRF Me(Flask框架的代码审计
qq_44111753的博客
02-04 596
参考文章:Flask框架快速入门学习 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefaultencoding('latin1') app = Flask(__name__) sec
async 和 promise 的区别
weixin_40918145的博客
12-21 5024
Promise,我们了解到promise是ES6为解决异步回调而生,避免出现这种回调地狱,那么为何又需要Async/Await呢?你是不是和我一样对Async/Await感兴趣以及想知道如何使用,下面一起来看看这篇文章:Async/Await替代Promise的6个理由。 什么是Async/Await async/await是写异步代码的新方式,使用的方式看起来像同步,以前的方法有回调函
缺项目经验?这 61 个实战项目让你的简历闪闪发光!
实验楼
11-10 8321
面试找工作时,最常被问到的问题就是:有什么项目经验?对于毕业生来说,我们刚走出校园,还没有工作和项目经验,只能拿学校里练习做的“小游戏”或者“命令行程序”出来。但是,这些...
homebrew安装python
最新发布
06-08
可以通过Homebrew安装Python,步骤如下: 1. 打开终端,运行以下命令安装Homebrew: ``` /bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)" ``` 2. 安装完Homebrew后,运行以下命令安装Python: ``` brew install python ``` 3. 安装完成后,可以运行以下命令查看Python版本: ``` python --version ``` 注意:如果你的电脑上同时存在多个Python版本,可以使用`python3`命令来调用Homebrew安装的Python版本。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值