我的博客:https://tothemoon2019.github.io
工作室“改革” 为了加强我们这一届的知识技能 每周3个ctfhub 的 write up。
都到周三了,一道题没做,不是这有事,就是那忙,我是菜鸡,今天晚上赶紧肝一道出来。
先百度了下题目名shrine
打开后有一堆乱码,不过隐约看见了app.py应该是python网站框架里的文件,然后看到了flask。
应该和flask模板漏洞有关
结果刷新页面的时候突然发现页面没有乱码了,
import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/') def shrine(shrine): def safe_jinja(s): s = s.replace('(', '').replace(')', '') #替换 blacklist = ['config', 'self'] # 黑名单 return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s return flask.render_template_string(safe_jinja(shrine)) if __name__ == '__main__': app.run(debug=True, port=80)突然想起来有个脚本sqlmap可以跑ssti模板注入的洞,开kali跑!
成功接下来就是找能调用的类了。
不过源码里有写过滤,去掉了( ) ; config 和 self也加入了黑名单。不然直接查看app.config应该就能看见flag。
溜了,明天再肝
imback
虽然之前学过django不过只是些皮毛,跟别提jingjia了(虽然相似),看了下其他师傅的write up。
过滤了config,self这种模板注入常用的类,为了绕过,可以用current_app之类的全局函数。
有两个函数包含了current_app ( url_for 和 get_flashed_messages )
注入 url_for
然后利用 current_app 调用 config
全局变量 get_flashed_messages
同理
图集
https://www.freebuf.com/column/148886.html
random随机
url栏里可以有num,说明是get传参。
刷新一次数字变化一次,写个python脚本跑跑都有哪些数字,是否有规律。(好久没有编程了。。。)
一直只有一个数字
用burp suite暴力破解试试
于是随便输入个100以下的数一直提交就有了。
老样子百度了下weakphp的中文意思(虽然知道不可能有,结果有意外收获)
但还没有看题目,不知道有没有用
页面就一句nonono,可以看到能对user和pass传参。
写爬虫遍历了一遍
一直是nonono!
佛了,我还以为是sql呢,看到user和pass,看了师傅的提示: git泄露
跑出来的源码:
<?php require_once "flag.php"; if (!isset($_GET['user']) && !isset($_GET['pass'])) { header("Location: index.php?user=1&pass=2"); } $user = $_GET['user']; $pass = $_GET['pass']; if ((md5($user) == md5($pass)) and ($user != $pass)){ echo $flag; } else { echo "nonono!"; } ?>看了半天不就是一个md5绕过吗。
用数组绕过md5的比较。
结果weakphp与反序列化无关就是单纯嘲讽php咯。
