刷题记录:[DDCTF 2019]homebrew event loop
刷题记录:[DDCTF 2019]homebrew event loop
题目复现链接:https://buuoj.cn/challenges
参考链接:DDCTF2019-WRITEUP
知识点
1、逻辑漏洞
def trigger_event(event):session[\'log\'].append(event)if len(session[\'log\']) > 5:session[\'log\'] = session[\'log\'][-5:]if type(event) == type([]):request.event_queue += eventelse:request.event_queue.append(event)
首先路由异步处理请求,使用了一个队列
def buy_handler(args):num_items = int(args[0])if num_items <= 0:return \'invalid number({}) of diamonds to buy<br />\'.format(args[0])session[\'num_items\'] += num_itemstrigger_event([\'func:consume_point;{}\'.format(num_items), \'action:view;index\'])
主要的问题是这里的购买函数是改变余额再判断是否合法,也就是说在调用buy_handler时同时传入get_flag,处理队列中的顺序就是余额+n -> get_flag -> 判断不合法,这时我们已经成功把flag写进session了。
2、flask session解密
总结
购买类的题很有可能是逻辑漏洞或者溢出
版权声明:本文为20175211lyz原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。