2021虎符CTF决赛 EasyFlask Writeup

2021-07-05 阅读量

Buuoj刷题记录 2021/07/05

首次打开题目页面，页面显示

1	/file?file=index.js

根据题目显示访问这个页面，得到如下信息

1	Here is a js file. Source at /app/source

这里给了进一步的提示，我们可以访问/app/source获得题目源码，右键显示源代码查看

#!/usr/bin/python3.6
import os
import pickle

from base64 import b64decode
from flask import Flask, request, render_template, session

app = Flask(__name__)
app.config["SECRET_KEY"] = "*******"

User = type('User', (object,), {
    'uname': 'test',
    'is_admin': 0,
    '__repr__': lambda o: o.uname,
})


@app.route('/', methods=('GET',))
def index_handler():
    if not session.get('u'):
        u = pickle.dumps(User())
        session['u'] = u
    return "/file?file=index.js"


@app.route('/file', methods=('GET',))
def file_handler():
    path = request.args.get('file')
    path = os.path.join('static', path)
    if not os.path.exists(path) or os.path.isdir(path) \
            or '.py' in path or '.sh' in path or '..' in path or "flag" in path:
        return 'disallowed'

    with open(path, 'r') as fp:
        content = fp.read()
    return content


@app.route('/admin', methods=('GET',))
def admin_handler():
    try:
        u = session.get('u')
        if isinstance(u, dict):
            u = b64decode(u.get('b'))
        u = pickle.loads(u)
    except Exception:
        return 'uhh?'

    if u.is_admin == 1:
        return 'welcome, admin'
    else:
        return 'who are you?'


if __name__ == '__main__':
    app.run('0.0.0.0', port=80, debug=False)

通过审计源码，我们可以发现在/admin那个页面下，存在着对于session参数的反序列化，在/file存在着任意文件读，不过做了适当的过滤。

所以我们首先需要获取加密这个session的key，然后进行session伪造