0x00 知识点

逻辑漏洞:

异步处理导致可以先调用增加钻石,再调用计算价钱的。也就是先货后款。

eval函数存在注入,可以通过#注释,我们可以传入路由action:eval#;arg1#arg2#arg3这样注释后面语句并可以调用任意函数,分号后面的#为传入参数,参数通过#被分割为参数列表.

flask session解密

网上有脚本

0x01解题

题目给了我们源码了

from flask import Flask, session, request, Response

import urllib

app = Flask(__name__)

app.secret_key = '*********************'  # censored

url_prefix = '/d5afe1f66147e857'

def FLAG():

    return '*********************'  # censored

def trigger_event(event):

    session['log'].append(event)

    if len(session['log']) > 5:

        session['log'] = session['log'][-5:]

    if type(event) == type([]):

        request.event_queue += event

    else:

        request.event_queue.append(event)

def get_mid_str(haystack, prefix, postfix=None):

    haystack = haystack[haystack.find(prefix)+len(prefix):]

    if postfix is not None:

        haystack = haystack[:haystack.find(postfix)]

    return haystack

class RollBackException:

    pass

def execute_event_loop():

    valid_event_chars = set(

        'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ_0123456789:;#')

    resp = None

    while len(request.event_queue) > 0:

        # `event` is something like "action:ACTION;ARGS0#ARGS1#ARGS2......"

        event = request.event_queue[0]

        request.event_queue = request.event_queue[1:]

        if not event.startswith(('action:', 'func:')):

            continue

        for c in event:

            if c not in valid_event_chars:

                break

        else:

            is_action = event[0] == 'a'

            action = get_mid_str(event, ':', ';')

            args = get_mid_str(event, action+';').split('#')

            try:

                event_handler = eval(

                    action + ('_handler' if is_action else '_function'))

                ret_val = event_handler(args)

            except RollBackException:

                if resp is None:

                    resp = ''

                resp += 'ERROR! All transactions have been cancelled. <br />'

                resp += '<a href="./?action:view;index">Go back to index.html</a><br />'

                session['num_items'] = request.prev_session['num_items']

                session['points'] = request.prev_session['points']

                break

            except Exception, e:

                if resp is None:

                    resp = ''

                # resp += str(e) # only for debugging

                continue

            if ret_val is not None:

                if resp is None:

                    resp = ret_val

                else:

                    resp += ret_val

    if resp is None or resp == '':

        resp = ('404 NOT FOUND', 404)

    session.modified = True

    return resp

@app.route(url_prefix+'/')

def entry_point():

    querystring = urllib.unquote(request.query_string)

    request.event_queue = []

    if querystring == '' or (not querystring.startswith('action:')) or len(querystring) > 100:

        querystring = 'action:index;False#False'

    if 'num_items' not in session:

        session['num_items'] = 0

        session['points'] = 3

        session['log'] = []

    request.prev_session = dict(session)

    trigger_event(querystring)

    return execute_event_loop()

# handlers/functions below --------------------------------------

def view_handler(args):

    page = args[0]

    html = ''

    html += '[INFO] you have {} diamonds, {} points now.<br />'.format(

        session['num_items'], session['points'])

    if page == 'index':

        html += '<a href="./?action:index;True%23False">View source code</a><br />'

        html += '<a href="./?action:view;shop">Go to e-shop</a><br />'

        html += '<a href="./?action:view;reset">Reset</a><br />'

    elif page == 'shop':

        html += '<a href="./?action:buy;1">Buy a diamond (1 point)</a><br />'

    elif page == 'reset':

        del session['num_items']

        html += 'Session reset.<br />'

    html += '<a href="./?action:view;index">Go back to index.html</a><br />'

    return html

def index_handler(args):

    bool_show_source = str(args[0])

    bool_download_source = str(args[1])

    if bool_show_source == 'True':

        source = open('eventLoop.py', 'r')

        html = ''

        if bool_download_source != 'True':

            html += '<a href="./?action:index;True%23True">Download this .py file</a><br />'

            html += '<a href="./?action:view;index">Go back to index.html</a><br />'

        for line in source:

            if bool_download_source != 'True':

                html += line.replace('&', '&amp;').replace('\t', '&nbsp;'*4).replace(

                    ' ', '&nbsp;').replace('<', '&lt;').replace('>', '&gt;').replace('\n', '<br />')

            else:

                html += line

        source.close()

        if bool_download_source == 'True':

            headers = {}

            headers['Content-Type'] = 'text/plain'

            headers['Content-Disposition'] = 'attachment; filename=serve.py'

            return Response(html, headers=headers)

        else:

            return html

    else:

        trigger_event('action:view;index')

def buy_handler(args):

    num_items = int(args[0])

    if num_items <= 0:

        return 'invalid number({}) of diamonds to buy<br />'.format(args[0])

    session['num_items'] += num_items

    trigger_event(['func:consume_point;{}'.format(

        num_items), 'action:view;index'])

def consume_point_function(args):

    point_to_consume = int(args[0])

    if session['points'] < point_to_consume:

        raise RollBackException()

    session['points'] -= point_to_consume

def show_flag_function(args):

    flag = args[0]

    # return flag # GOTCHA! We noticed that here is a backdoor planted by a hacker which will print the flag, so we disabled it.

    return 'You naughty boy! ;) <br />'

def get_flag_handler(args):

    if session['num_items'] >= 5:

        # show_flag_function has been disabled, no worries

        trigger_event('func:show_flag;' + FLAG())

    trigger_event('action:view;index')

if __name__ == '__main__':

    app.run(debug=False, host='0.0.0.0')

先贴上师傅博客:

https://blog.cindemor.com/post/ctf-web-16.html

分析一下:

# flag获取函数def FLAG()

# 以下三个函数负责对参数进行解析。

# 1. 添加log,并将参数加入队列def trigger_event(event)

# 2. 工具函数,获取prefix与postfix之间的值

def get_mid_str(haystack, prefix, postfix=None):

# 3. 从队列中取出函数,并分析后,进行执行。(稍后进行详细分析)

def execute_event_loop()

# 网站入口点

def entry_point()

# 页面渲染,三个页面:

index/shop/resetdef view_handler()

# 下载源码

def index_handler(args)

# 增加钻石

def buy_handler(args)

# 计算价钱,进行减钱

def consume_point_function(args)

# 输出flagdef show_flag_function(args)

def get_flag_handler(args)

有这么两个跟 flag 有关的函数:

def show_flag_function(args):

    flag = args[0]

    #return flag # GOTCHA! We noticed that here is a backdoor planted by a hacker which will print the flag, so we disabled it.

    return 'You naughty boy! ;) <br />'

def get_flag_handler(args):

    if session['num_items'] >= 5:

        trigger_event('func:show_flag;' + FLAG())

    trigger_event('action:view;index')

可以看到show_flag_function()无法直接展示出 flag,先看看get_flag_handler()中用到的trigger_event()函数:

def trigger_event(event):

    session['log'].append(event)

    if len(session['log']) > 5: session['log'] = session['log'][-5:]

    if type(event) == type([]):

        request.event_queue += event

    else:

这个函数往 session 里写了日志,而这个日志里就有 flag,并且 flask 的 session 是可以被解密的。只要后台成功设置了这个 session 我们就有机会获得 flag。

但若想正确调用show_flag_function(),必须满足session['num_items'] >= 5。

购买num_items需要花费points,而我们只有 3 个points,如何获得 5 个num_items?

先看看购买的机制:

def buy_handler(args):

    num_items = int(args[0])

    if num_items <= 0: return 'invalid number({}) of diamonds to buy<br />'.format(args[0])

    session['num_items'] += num_items

    trigger_event(['func:consume_point;{}'.format(num_items), 'action:view;index'])

def consume_point_function(args):

    point_to_consume = int(args[0])

    if session['points'] < point_to_consume: raise RollBackException()

    session['points'] -= point_to_consume

buy_handler()这个函数会先把num_items的数目给你加上去,然后再执行consume_point_function(),若points不够consume_point_function()会把num_items的数目再扣回去。

其实就是先给了货后,无法扣款,然后货被拿跑了

那么我们只要赶在货被抢回来之前,先执行get_flag_handler()即可。

函数trigger_event()维护了一个命令执行的队列,只要让get_flag_handler()赶在consume_point_function()之前进入队列即可。看看最关键的执行函数:

仔细分析execute_event_loop,会发现里面有一个eval函数,而且是可控的!

利用eval()可以导致任意命令执行,使用注释符可以 bypass 掉后面的拼接部分。

若让eval()去执行trigger_event(),并且在后面跟两个命令作为参数,分别是buy和get_flag,那么buy和get_flag便先后进入队列。

根据顺序会先执行buy_handler(),此时consume_point进入队列,排在get_flag之后,我们的目标达成。

所以最终 Payload 如下:

action:trigger_event%23;action:buy;5%23action:get_flag;

要注意执行buy_handler函数后事件列表末尾会加入consume_point_function函数,在最后执行此函数时校验会失败,抛出RollBackException()异常,但是不会影响session的返回

参考链接:

https://blog.cindemor.com/post/ctf-web-16.html

[DDCTF 2019]homebrew event loop的更多相关文章

  1. 刷题记录:[DDCTF 2019]homebrew event loop

    目录 刷题记录:[DDCTF 2019]homebrew event loop 知识点 1.逻辑漏洞 2.flask session解密 总结 刷题记录:[DDCTF 2019]homebrew ev ...

  2. DDCTF 2019 部分WP

    WEB 滴~ http://117.51.150.246/index.php?jpg=TmpZMlF6WXhOamN5UlRaQk56QTJOdz09 观察链接可发现jpg的值是文件名转hex再bas ...

  3. 浏览器与Node的事件循环(Event Loop)有何区别?

    前言 本文我们将会介绍 JS 实现异步的原理,并且了解了在浏览器和 Node 中 Event Loop 其实是不相同的. 一.线程与进程 1. 概念 我们经常说 JS 是单线程执行的,指的是一个进程里 ...

  4. Atitit 解决Unhandled event loop exception错误的办法

    Atitit 解决Unhandled event loop exception错误的办法 查看workspace/.metadata/.log org.eclipse.swt.SWTError: No ...

  5. javascript运行模式:并发模型 与Event Loop

    看了阮一峰老师的JavaScript 运行机制详解:再谈Event Loop和[朴灵评注]的文章,查阅网上相关资料,把自己对javascript运行模式和EVENT loop的理解整理下,不一定对,日 ...

  6. [译]Node.js - Event Loop

    介绍 在读这篇博客之前,我强列建议先阅读我的前两篇文章: Getting Started With Node.js Node.js - Modules 在这篇文章中,我们将学习 Node.js 中的事 ...

  7. Eclipse经常报Unhandled event loop exception的原因

    在公司的电脑上,Eclipse经常报Unhandled event loop exception 错误,非常频繁,通过搜索发现是因为电脑上安装了百度杀毒导致的.... 无语 另外 teamviewer ...

  8. Node.js 事件循环(Event Loop)介绍

    Node.js 事件循环(Event Loop)介绍 JavaScript是一种单线程运行但又绝不会阻塞的语言,其实现非阻塞的关键是“事件循环”和“回调机制”.Node.js在JavaScript的基 ...

  9. JavaScript 运行机制详解:再谈Event Loop

    原文地址:http://www.ruanyifeng.com/blog/2014/10/event-loop.html 一年前,我写了一篇<什么是 Event Loop?>,谈了我对Eve ...

随机推荐

  1. 2.15 学习总结 之 天气预报APP volley(HTTP库)之StringRequest

    一.说在前面   昨天 学习了序列化的相关知识   今天 1.学习 volley(HTTP库)的 StringRequest请求 2.使用序列化完成相关案例 遇到问题 请求到的参数的出现中文乱码问题 ...

  2. 扩展的Sobel 算子

    Custom Extended Sobel Filters  https://arxiv.org/pdf/1910.00138.pdf sobel算子是进行边缘检测的一个重要算子.它通常是一个3x3的 ...

  3. 编程练习 将一个字符串中的空格替换为 "%20"

    重点:字符串和元组一样, 是不可变对象. 所以将创建一个新的字符串对象,将改变后的字符加入到该新的对象里. 两种方法: 1.python的 replace函数 2.判断修改 def replace(a ...

  4. ReadAsm2

    首先查看题目 下载文档之后用虚拟机打开(我用的是Kali Linux) 推测应该是对这个func函数反汇编结果应该就出来了 用c写一下算出结果 #include<bits/stdc++.h> ...

  5. MySQL 错误代码

    常见: 1005:创建表失败 1006:创建数据库失败 1007:数据库已存在,创建数据库失败 1008:数据库不存在,删除数据库失败 1009:不能删除数据库文件导致删除数据库失败 1010:不能删 ...

  6. Android Studio相关

    1.下载安装 Android Studio 2.打开已有或是新建工程,gradle编译时候会报错(被墙),可以切换阿里的源 修改build.gradle 的配置: buildscript { repo ...

  7. qq群的表设计探究

    2018年3月21日  课题组管理就如qq的群是一样的,课题组有课题组组长:qq群有群主:课题组有组员:qq群有群人员 对于一个课题组来说,组长可以对课题组进行修改,组员只能看得见,但是不能修改.所以 ...

  8. U盘启动盘空间变小

    Windows下管理员身份运行cmd,调用diskpart,约5秒进入程序 磁盘管理中新建卷. 建议使用Rufus制作U盘启动盘.

  9. 洛谷 P3205 [HNOI2010]合唱队(区间dp)

    传送门 解题思路 观察队形的组成方式可以得出,最后一名加入区间i...j的人要么是在i位置上,要么是在j位置上,所以我们可以用dp[i][j][0]表示区间i...j最后一个加入的人站在i位置上的方案 ...

  10. java 九数组分数

    九数组分数 1,2,3-9 这九个数字组成一个分数,其值恰好为1/3,如何组法? 下面的程序实现了该功能,请填写划线部分缺失的代码. public class A { public static vo ...