一、看题
- 拿到题目,发现一个欢迎页面。有注册、登录功能。
- 首先习惯性 F12。发现提示。
- 提示不是 admin ,那我们尝试登录用户名 admin ,密码随便输入,提示密码错误。尝试注 册 admin ,提示账号已被注册,那么我们怎么才能用 admin 登录呢。
- 那先尝试随便注册一个账号登录看看有什么内容,注册用户名和密码都为1,登录。
- 发现有修改密码功能。
- 可以注册、登录、修改密码,很自然的想到二次注入。
- 事实上,预期解的确是二次注入,只不过有好几种非预期解法。
二、研究
- 这题得到flag,实际上可能有四种方式吧。
- 还有一点没想到的是,在修改密码页面还存在被注释的提示。题目有两处注释提示,没想到这点,还是 F12 没用好。
- 在这里提示发现了一个 GitHub 项目。
- 访问发现了源码
- 下载到本地,发现是 python 写的,因为还没学 python 。这题超纲了。
- 不过看wp还是能看懂。
解法一__Unicode欺骗(预期解法)
- 既然有源码,重点肯定是在注册登录的验证处理和对数据库操作。
- 在
index.html发现 当登录用户名为admin时 输出 flag
- 但之前用 admin 登录注册都报错。
- 所以想到二次注入,也就是先注册一个账号和
admin不同,成功注册后,登录在修改密码时,能修改admin的密码。 - 在
routes.py中发现了登录注册修改密码的验证代码。 - 注册模块
@app.route('/register', methods = ['GET', 'POST'])
def register():
if current_user.is_authenticated:
return redirect(url_for('index'))
form = RegisterForm()
if request.method == 'POST':
name = strlower(form.username.data)
if session.get('image').lower() != form.verify_code.data.lower():
flash('Wrong verify code.')
return render_template('register.html', title = 'register', form=form)
if User.query.filter_by(username = name).first():
flash('The username has been registered')
return redirect(url_for('register'))
user = User(username=name)
user.set_password(form.password.data)
db.session.add(user)
db.session.commit()
flash('register successful')
return redirect(url_for('login'))
return render_template('register.html',
- 登录模块
@app.route('/login', methods = ['GET', 'POST'])
def login():
if current_user.is_authenticated:
return redirect(url_for('index'))
form = LoginForm()
if request.method == 'POST':
name = strlower(form.username.data)
session['name'] = name
user = User.query.filter_by(username=name).first()
if user is None or not user.check_password(form.password.data):
flash('Invalid username or password')
return redirect(url_for('login'))
login_user(user, remember=form.remember_me.data)
return redirect(url_for('index'))
return render_template('login.html', title = 'login', form = form)
- 修改密码模块
@app.route('/change', methods = ['GET', 'POST'])
def change():
if not current_user.is_authenticated:
return redirect(url_for('login'))
form = NewpasswordForm()
if request.method == 'POST':
name = strlower(session['name'])
user = User.query.filter_by(username=name).first()
user.set_password(form.newpassword.data)
db.session.commit()
flash('change successful')
return redirect(url_for('index'))
return render_template('change.html', title = 'change', form = form)
- 在登录后,发现有
session储存在本地,而且修改密码也是取的session验证用户名。 - 但本来储存在本地的应该是
cookie,session应该是存储在服务器的,而这里为什么session在本地??? - 这里引用解释
根据p神的文章 https://www.leavesongs.com/PENETRATION/client-session-security.html
可以知道,flask的session是存在客户端的
-
那么问题就出在这里。它取
session还经过了一下处理,而不是直接session解密后的内容name = strlower(session['name']) -
而在代码末可以找到这个函数。
def strlower(username):
username = nodeprep.prepare(username)
return username
- 这个函数的解释是(百度没找到相关文档),在别人的wp里看到的。
nodeprep.prepare函数会将unicode字符ᴬ转换成A,而A在调用一次nodeprep.prepare函数会把A转换成a
-
这个字符可以在后面网站找到,https://unicode-table.com/en/1D2E/
-
知道这个结合源码就能理解一下,看到注册、登录、修改密码都经过了处理。
name = strlower(session['name']) -
那么如果用
ᴬᴰᴹᴵᴺ注册,注册经过处理,储存在数据库就变成了ADMIN, -
登录后,加密储存在
session的也是ADMIN, -
那么修改密码时,取出
session解密后的用户名也是ADMIN, -
再一次调用
strlower函数处理就变成了admin所以修改密码就是修改admin的密码,所以实际上修改了数据库中的admin。 -
这时
admin的密码就变成了自定义修改后的密码。登录后就得到 flag 。 -
只能说看wp不难理解,但还是不简单。
解法二__弱密码(最大非预期)
- 直接 admin 的密码就是 123 。登录直接出 flag 。
- 跑一下字典或者随便输入都能出 flag。
解法三__flask session 伪造(非预期)
- 这个对我来说,是很大的知识盲区。
- 首先我知道
session可以用来身份验证,就是你在浏览器打开网页登录后,可能关闭后再打开不需要重新登录,这就是 cookie 和 session 的作用。其次,修改 session 绕过验证的操作接触过,之前看着大佬的教程,绕过一个钓鱼网站进入后台。但是我不会利用,我只是知道有这个东西。 - 主要的知识盲区是这里用了签名,而且我不会解密 session
- 但知道这个方法后,百度可以找到 flask session 加解密的脚本。
- 理论上可以做出来。解密 session 修改后替换原 session 再访问即可。
- 这里不详细介绍,因为没复现成功,详细了解可以看其他师傅的wp。
解法四__条件竞争 (非预期)
- 这种解法原理更深层,完全的知识盲区。
- 涉及到了多进程和多线程在共享数据时的逻辑顺序问题。
- 暂时无法理解。说一下有这种方法。
三、最后
-
很多知识点和做题技巧,有点难懂。
-
web真的太多知识点了。很难灵活运用。
-
附上原题链接 https://buuoj.cn/challenges#[HCTF%202018]admin
-
持续更新BUUCTF题解,写的不是很好,欢迎指正。
-
最后欢迎来访个人博客 http://ctf-web.zm996.cloud/
467
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
