[CISCN 2023 初赛]go_session 解题思路&过程

已于 2023-07-23 22:13:21 修改
阅读量1k 收藏 1
点赞数 1
分类专栏: CTF刷题 文章标签: golang 开发语言 网络安全
于 2023-07-23 22:05:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46246804/article/details/131881941
版权

过程

下载题目的附件,是用go的gin框架写的后端,cookie-session是由gorilla/sessions来实现,而sessions库使用了另一个库:gorilla/securecookie来实现对cookie的安全传输。这里所谓的安全传输,是指保证cookie中的值不能被看出来(通过加密实现,可选)、保证传输的cookie不会被篡改。

securecookie的编码函数一共有四个主要步骤来实现这一目的:

  1. 序列化,cookie的值可以有多种形式,首先将其序列化为字节切片,方便后续操作。
  2. 加密(这一步是可选的),使用指定的对称加密方法、加密密钥,进行对value进行加密。
  3. 计算MAC值,以保证不被篡改,这里的MAC是Message Authentication Code的缩写。如何计算呢,通过指定的哈希函数来计算,对上述的加密后的value求一个摘要。
  4. base64编码。
    当解密时,反过来即可,因为上述用于加密的方法与加密密钥、用于认证的哈希方法与哈希密钥,都是在服务器端设置的。准确来说就是由这个securecookie库的SecureCookie接口所规定的,通过加密密钥与认证密钥,保证了cookie不会被解密、不会被篡改的两个目的。
// main.go
func main() {
   
	r := gin.Default()
	r.GET("/", route.Index)
	r.GET("/admin", route.Admin)
	r.GET("/flask", route.Flask)
	r.Run("0.0.0.0:8000")
}

可以看到存在三个路由。根路由、/admin路路由、/flask路由。以下是根路由对应的处理函数。

// route.go
package route

var store = sessions.NewCookieStore([]byte(os.Getenv("SESSION_KEY")))
func Index(c *gin.Context) {
   
	session, err := store.Get(c.Request, "session-name")
	if err != nil {
   
		http.Error(c.Writer, err.Error(), http.StatusInternalServerError)
		return
	}
最低0.47元/天 解锁文章
iamblackcat
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Go操纵Session
太阳上的雨天
03-19 427
如果你使用的是框架,在框架中很好的支持了session的实现。 但如果你没有使用框架,使用的Go原生,那么是不支持Session的实现的。 在 Go 的标准库中并没有提供对 Sessoin 的实现。可以自己实现创建管理器存到内存、数据库或者文件当中。当然前提你会写或者有时间去写。小编自己去github上找了一个别人写好的包,拿来直接用 安装 在自己的项目中,执行以下命令安装go-session包 go get github.com/kataras/go-sessions/v3 实现 package mai
[CISCN 2023 初赛]go_session
rev1ve的博客
11-07 413
Index函数用于处理根路径下的请求,它的参数是一个指向gin.Context的指针,而gin.Context是Gin框架中的一种上下文对象类型。对表单提交,浏览器会自动设置合适的 Content-Type 请求,同时 生成一个唯一的边界字符串,并在请求体中使用这个边界字符串将不的表单字段和文件进行分隔。首先是接收session的参数name,然后判断会话中的name值是否为空,如果为空,就会将name的值设置为guest,然后将会话保存到请求中,最后使用String方法返回一个状态码和一个字符串。
2023全国大学生信息安全竞赛(ciscn)初赛题解
返璞归真的博客
05-28 1万+
2023全国大学生信息安全竞赛(ciscn)部分题解
2023CISCN初赛
这个人很懒,什么都懒得写
06-04 941
随便写写
Go Session
JunChow
04-04 640
https://www.kancloud.cn/kancloud/web-application-with-golang/44177 Golang官方没有提供Session标准库,但net/http包存在函数可以方便地使用。 实现Session功能 服务端可通过内存、Redis、数据库等存储Seesion数据 可以通过Cookie将唯一SessionID发送给客户端 Session支持常用的...
NOIP提高组初赛复习3_栈.pdf
08-26
系统栈从被调用过程返回调用过程之前,系统也应完成三件工作:保存被调过程的计算结果、释放被调过程的数据区、依照被调过程或函数保存的返回地址将控制转移到调用过程或函数。 在栈的顺序存储中,栈的实现可以使用...
华为软件精英挑战赛初赛解题思路1
08-04
【华为软件精英挑战赛初赛解题思路】主要围绕着一个NP-hard问题展开,即如何在给定的流网络中,以最小的总成本满足所有消费节点的流量需求。问题的核心在于选择服务节点进行服务器部署,并优化线路流量,使得成本...
2023初赛模拟 J 组(带答案).pdf
03-30
2023初赛模拟 J 组(带答案).pdf
2008_初赛_答案_C++.pdf
最新发布
05-08
2008_初赛_答案_C++.pdf
2008_初赛_试题_C++.pdf
05-08
2008_初赛_试题_C++.pdf
【Go语言】go_session(超级详细)
qq_62068476的博客
08-15 1113
[CISCN 2023 初赛]go_session
2023ciscn初赛 Unzip
2202_75317918的博客
06-16 1072
2023ciscn初赛 Unzip
Go实现Session
lzy_zhi_yuan的博客
06-12 5708
在GO语言中,标准包中并不支持session,以下为我本人后台管理系统实现的Session
Go 如何使用session
热门推荐
无风的雨
12-07 1万+
Go 语言实现操作session不像cookie那样,net/http包里有现成函数可以很方便的使用,一些web服务用到session的话,没办法地自己敲代码实现。 Go具体实现session: 服务端可以通过内存、redis、数据库等存储session数据(本例只有内存)。 通过cookie将唯一SessionID发送到客户端 session.go package session impo...
CTF—Go题目复现
Sentiment的博客
06-23 2882
一道Go的模板注入由于没了解过Go的SSTI所以先简单看下:go语言快速入门:template模板 · Golang语言社区 · 看云 (kancloud.cn)Go SSTI初探 | tyskillのBloggo的SSTI漏洞成因与模板语法和jinja2差不多,都用到了,通过{{.}}我们可以获得到作用域Demo 当使用{{.}}时,会获取person结构体中的所有属性,所以在经过Execute渲染后,便会输出: 除此外若想获取单个属性也可以用 结果 复现 主要有几个路由 先看的flagHandler 中
2022CISCN初赛 WP
Lum1n0us's Blog
05-29 1208
文章目录Crypto签到电台 Crypto 签到电台 在公众号找到提示 在“标准电码表”找“弼时安全到达了”所对应的7个电码,再跟“密码本”的前7*4个数字分别逐位进行“模十算法”(加不进位、减不借位),所得到的就是要发送的电码。 发送电码前先发送“s”启动,即按3个“.”,这个发送电报的过程可以使用抓包软件进行抓取,可方便输入电报。 “弼时安全到达了”所对应的7个电码: 1732 2514 1344 0356 0451 6671 0055 模十算法示例:1732与6378得到7000 发包示例:/sen
CTFweb篇-反序列化和SESSION(一)
weixin_44597701的博客
08-09 1055
前面讲到过一点SESSION,这里要继续说一点 SESSION的几种形式 这里是binary session的形成方法可以在php.ini中设置。默认是php(可能是php_serialize) 例子: php形式: php_serialize形式: php_binary: ini_set() ini_set ( string $varname , string $newvalue ) 在配置文件中设置配置的值 ini_set('session.serialize_handles','php')
CTF从入门到提升(十三)文件包含session及例题详解
anquanniu的博客
09-12 2735
具体场景——session 我们可以查一下手册,看看这个参数是默认开启: 举栗子 ​ 通过上传一个orange作为key传一个值传给这个变量,放到file函数中,再去比对file函数读取结果文件中的第一行0前面六个字符串是否匹配,如果是orange就会作为包含,否则就会显示源代码。 这道题的难点在于包含一个文件要控制里面的内容,file函数的作用是把一个整一个文件读到一个数据中去,file...
6.2 Go如何使用session
Kaitiren的专栏
02-01 480
通过上一小节的介绍,我们知道session是在服务器端实现的一种用户和服务器之间认证的解决方案,目前Go标准包没有为session提供任何支持,这小节我们将会自己动手来实现go版本的session管理和创建。 session创建过程 session的基本原理是由服务器为每个会话维护一份信息数据,客户端和服务端依靠一个全局唯一的标识来访问这份数据,以达到交互的目的。当用户访问Web应用时,服务端程序会随需要创建session,这个过程可以概括为三个步骤: 生成全局唯一标识符(sessionid); 开
OSError: [WinError 123] 文件名、目录名或卷标语法不正确。: 'D:\\[CISCN 2023 初赛]\\img_5e1b8d1b1db258f45d1059dbafc10f11\tmp4'
05-29
这个错误提示是在Windows系统下发生的,意思是文件名、目录名或卷标语法不正确。具体而言,是在路径名中有不合法的字符或格式。 根据错误提示信息,路径是'D:\\[CISCN 2023 初赛]\\img_5e1b8d1b1db258f45d1059dbafc10f11\tmp4',可以看出可能是路径名中包含了中括号"[]"这样的特殊字符,而这些字符在Windows系统中是不允许出现在路径名中的。因此,需要修改路径名中的这些特殊字符,或者将文件复制到不包含这些特殊字符的路径下。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值