2023 r00t 奶茶题
python
-
cls代表类本身,self代表类实例;
@classmethod def func(cls, ...): ... ret前要带着
@classmethod指定下一个函数为类方法,首参数为cls而非self,其目的就是为了调用当前的类(例如用于新建和初始化)而非调用一个已经初始化完毕的实例(只能获得参数) -
a==None表示a被定义了,但为空 -
__setitem__ :
__setitem__(self, key:int, value:bool)函数在更改键值时自动先调用,key与value表示键、值,冒号标记参数类型,在常规python中只做标记,不严格遵守,在fastapi中做数据类型校验,不同时会报错 -
instance(a, b):判断A是否继承自B -
assert expression, "errText":在表达式"expression"为false时会抛出错误AssertionError(errText),为True时则正常运行 -
str.rjust(width[, fillchar])字符串右对齐处理 -
def funcs() -> int:箭头表示Type Hint,用于表示函数期待的输入与输出类型
解题
思路1
Cookie中的game可以反复使用,它标记了剩余的尝试次数与对应答案,但通过爆破发现,hard难度无解(多线程测试时测试数量总和5040差了几个,不知道为什么)。
扫一扫会发现host/docs可以访问,这是FastApi的自述文档,可以查看该网站的路由配置(貌似使用了路由可以防止一些敏感文件泄露,除了设定好的docs)
根据提示,项目基于"amis_helper",结构相似,"amis_helper/src/app/amis_router.py"展示了项目的路由设置,其中部分路由需要amis_admin权限,该权限需要在Cookie中设置一个"amis_pass"密码,密码存放在"amis_helper/src/conf/amis.json5"中,若没有该权限,访问部分页面会404。出题人提示flag存放在"1a2b/flag"下,访问时出现404,推测需要获取正确的"amis_pass"才能访问,因此目标是:获取"src/conf/amis.json5"的内容
"src/conf/funcs.py"内提供了读取conf文件的函数"read_conf",寻找调用该函数的方法进而获得amis_pass
废话了这么多,这条思路8行(233)
思路2
经过出题人不厌其烦的主动被社工,又摸又菜的内鬼终于找到了题目的入口(?)
题目首页的图片提示有一个"/photo/file"入口可以访问file文件,在基项目中路径的传入与获取通常有path与str两者,前者可以直接写URI,可以写 http://xxx/xxx ,也可以直接传 /etc/passwd (获取源码后会发现基项目中的pages/path写法和题目源码其实不一样,因此尽管基项目的path传入看起来没洞,但题目的photo入口是有洞的),尝试传入 /photo//etc/passwd 能成功访问(传入的路径不对会回显500,后台服务器在执行时抛出了错误),尝试相对路径,在基项目的最顶层目录中有一个"run.py",尝试目录穿越获取该文件:pages/../../run.py ,成功获取该文件后按照基项目结构下载源文件,已知文件夹,可以通过python中的相对引用来获得文件夹下的源码名称。
在python中文件夹要想被识别为包(可相对引用并导入)需要包含文件"__init__.py",该文件用于导入该包内各模块的函数,上级目录导入该模块时可以直接通过包访问到这些函数(跳过了模块)。除此之外包内模块也会引用一些没导入识别文件(__init__.py)的模块,不断从已知的模块获取新模块就能得到完整的模块列表(如果一个模块是被上层间接调用的,一定要包含在这条链中;直接调用也能在上层模块中直接找到;若是单独运行的脚本就没办法了)。
模块分析
"app/game_router.py"是1a2b游戏的路由源码,"conf/amis.json5"存放着之前想要得到的amis_pass,但该密码只能用于修改前端页面,无法用于获取flag(path/all_pages无效,flag惨遭过滤也不能访问)
"app/photo_router.py"是photo路由的源码,里面可以看到函数 os.path.join("./static/photo/", path) 直接将路径进行拼接用于搜索文件,因此可以目录穿越(但不知道为什么可以直接从"/"目录开始传递路径,可能是path类型识别参数时考虑到了这种情况)
"utils/classes.py"中创建了一个Bitmap类,以bit位来存储特定的数据。
"model"包中,"XAXB"模块中的Choices类基于Bitmap,用于获取游戏结果,同时也给baby模式提供了baby的逻辑;"xAxB"类是游戏主类,提供了a,b的计算方式;"cookie"模块中的"GameCookie"是所有cookie类的基类,它提供了cookie状态与cookie编码相互转换的函数;三个难度各有其cookie类,继承自基类。
漏洞分析
一般模式下,Bitmap会将正确数字标记为True,只有正标记的位置会与玩家上传的guess进行比较得出"xAxB"的结果,不同的xAxB在一个字典中以键的形式,对应一个Choices,该Choices有一个True_num参数标记正确的数字位的个数,最后选取True_num最多的"xAxB"对象作为结果返回;baby模式下所有数字位都被正标记,上传的guess将与10000个数字全部比较一遍,统计出来True_num最大即情况数量最多的一个"xAxB"将被作为结果,也是guess与这10000个数字中的某一个最有可能的情况,由于"4A0B"最多就一个,因此这是不可能出现的。
漏洞主要出现在cookie的解析上,cookie是将cookie类用pickle.dumps取下来再用base64加解密来转换的,只要类型一致上传的cookie类内容怎样都行,因此我们修改cookie类下的choices的正标记为 [0] 对应"0000",上传cookie后传入guess="0000"就能通过。这里会遇到以下问题:
- 修改cookie类下choices的size不行,该size决定统计时遍历的数量,若只遍历1次也能取到4A,但该参数用于比较变量长度,上传给服务器后能解析,但在运行时会出错,因此会回显500状态码:"Internet Server Error"
- 为了伪造cookie,我们需要获取完全一致类结构,通过直接运行来获取cookie;
pickle在序列化对象时会加入其路径信息,包括调用模块的导入情况,因此必须遵守源文件的源码结构直接调用才能获得完全一致的cookie信息;为了逐层调用到"model/cookie.py"文件,可以在"amis_pyy"下写一个"getCookie.py"直接调用cookie中的相关函数来获得,也必须在这一层编写该函数,理由见后文关于python相对引用的分析 pickle在序列化时不考虑类的函数,而是考虑对象的参数与继承关系所带来的附加参数,同时也会把类对象的路径也打包进去,记录下它是根据那个目录下的哪个类进行封装的,同样解析时也要找到对应目录下的对应类进行解析还原(不清楚绝对引用与相对引用是否有影响),因此需要保证文件结构的一致
参考:[
]
Python相对引用
为了逐层调用到"cookie.py",我被python的相对引用折磨了好久。这不是个复杂的问题,但研究起来让人很不解:这么聪明的python怎么引用的时候像个笨蛋。
例如"test_parent"有如下文件结构:
test_parent
│ main.py
│
└─test
│ src.py
│ __init__.py
│
├─subPac
│ │ src1.py
│ │ src2.py
│ │ src4.py
│ │ __init__.py
│ │
│ └─__pycache__
│ src1.cpython-310.pyc
│ src2.cpython-310.pyc
│ src4.cpython-310.pyc
│ __init__.cpython-310.pyc
│
├─subPac1
│ │ src3.py
│ │ __init__.py
│ │
│ └─__pycache__
│ src3.cpython-310.pyc
│ __init__.cpython-310.pyc
│
└─__pycache__
__init__.cpython-310.pyc
绝对引用:
# src.py
import subPac
from subPac1 import src3.py
相对引用:
# src1.py
import .src2
# from . import src2
from .src4 import fun4
from ..subPac1 import src3 # <?-1
用"."来表示导入位置的成为相对引用,表示相对于源码文件其他包和模块所在位置;绝对引用则是引入包时不用".",直接导入称为绝对引用,绝对引用后被引用的包下会出现 __pycache__ 文件夹。
当python源码被直接运行时,我们称之为脚本,此时在该文件中有 __name__=__main__ 表示它是程序运行的入口文件;当python文件被导入到其他源码中调用时,它称为模块,自然有 __name__!=__main__ 。
相对引用必须放在模块中使用,若在脚本中使用会出现报错:"ImportError: attempted relative import with no known parent package";所有模块的起点都是一个脚本,这个脚本调用了这些模块,因此这个脚本必须使用绝对引用作为导入包的起始路径;绝对引用在模块中使用也是可行的,但过于僵硬。
上级目录引用
上述文件中 <?-1 是一处对上级目录的另一个包内模块的导入,要想正确运行该文件(src1.py),需要在该文件所在位置的上级至少两层创建调用脚本,例如"test/main.py"。若使用"src.py"去调用该文件,则会出现报错:"attempted relative import beyond top-level package" 。这是因此此时"src.py"脚本被视为最高级的包,它是树的根节点,不允许出现同级的"subPac1"。
当文件夹下有"__init__.py"时,该文件才会被视为包,文件夹下的源码文件才会被视为模块,能被包直接访问的函数需要导入到"__init__.py"文件中,例如:
# subPac/__init__.py
from .src1 import func1
在"main.py"中就能直接导入"subPac.func1":
# main.py
from subPac import func1
访问了subPac包就会访问"subPac/__init__.py"文件,由于其中的导入又会访问"src1.py,src2.py,src4.py"和"subPac1/src3.py"等文件
参考:[
Relative imports for the bilionth time,
解决导包报错:ModuleNotFoundError,ImportError ,
]
Json-fastApi的前端json上传
拿到了amis_pass就想加个彩蛋,没想到fastApi的json给我带来了如此大的震撼
用POST上传json时类型为:"application/json"
上传的内容:
{
"path":"string",
"title":"string",
"json":"string",
}
json的主体内容必须使用双引号!这是硬性格式要求!
打包json的代码:
import json
import os
obj={...}
with open(os.path.dirname(__file__)+"/newJson.txt", "w", encoding="utf-8") as f:
f.write(json.dumps(obj, sort_keys=True, indent=1, separators=(',', ': '), ensure_ascii=False))
f.close()
indent控制输出的缩进空格个数,得到的文件"newJson.txt"需要按如下步骤操作:
- 每次替换前在目标字符前加一个额外的字符做分隔符,替换完再删除分隔符;我用VSC的搜索替换,当两个被搜索目标相邻并被删除后再替换,则会出现光标合并,最后就会少一个字符
- 搜索所有
\字符并替换为\\ - 搜索所有
“替换为\" - 搜索所有换行替换为
\n - 将其用双引号包裹作为json的值传入
解释:json上传后被解析一次(处理一次所有的 \x 转义,并去掉最外层的引号),得到的内容直接作为json的内容(hackbar会检查双引号是否匹配,但除此之外的奇怪语法错误会被直接搬到JavaScript中,很神奇)。json作为被解析目标,其中的字符串又会被解析一次,因此对于原来就有的 \n ,替换为 \\n 是为了第二次解析,原来就有的 \" 替换为 \\\" 也是为了二次解析,它们第二次被解析后才有用。而对于原来的 " 和 换行符 分别被替换为 \" 和 \n 是为了通过前端的检查(引号匹配的基本逻辑要有,解析后直接做json因此还得是双引号而不能是单引号)并保持可读性(换行与缩进将会在第一次解析就显示出来)
例如:
{
"json":"{\"par1\":\",\" \"par2\":\"123\"}"
}
解析后得到:
json_={"par1":"," "par2":"123"}
显然这里是有语法错误的,但解析后的内容直接作为json赋值给了"json_"
标签:__,文件,r00t,py,模块,json,cookie,奶茶,2023 From: https://www.cnblogs.com/Forest-set-you/p/17062285.html