[HCTF 2018]admin

于 2022-11-30 22:39:59 发布
阅读量1k 收藏 1
点赞数 1
分类专栏: CTF题解 文章标签: flask web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56691564/article/details/128123920
版权

[HCTF 2018]admin

进入页面可以看见左边有选项,发现一共有两个选项:

image-20221128012124906

根据常识,没注册肯定不能登录,因此我们随便注册一个账号:123456789,

然后注册,跟着提示继续登录,页面发生变化:

image-20221128012225910

看左边选项框,这次变成了四个选项:index、post、change password、logout,意思分别是索引、发送、改密码、注销。

点击发送看看:

image-20221128024405331

这里啥也没有,因此卡住了。

开始抄大佬作业了。

第一种解法

flask session伪造。

首先介绍一些什么是flask session伪造:

​ flask的session是存储在客户端cookie中的,而且flask仅仅对数据进行了签名。众所周知的是,签名的作用是防篡改,而无法防止被读取。而flask并没有提供加密操作,所以其session的全部内容都是可以在客户端读取的,将session存储在cookie中,这就可能造成一些安全问题。

利用方式:

我们可以用python脚本把flask的session解密出来,但是如果想要加密伪造生成我们自己的session的话,还需要知道flask用来签名的SECRET_KEY

点开改密码的页面,看看源码,发现了:

image-20221128172829323

这是这个题的源代码因此下载下来看一看,看 网上大佬说的用pycharm或其他打开,审计代码,先看路由(route),每一个.py文件一个一个审计。最后在templates中找到index.html里有线索:

image-20221128173053314

image-20221129111747091

current_user.is_authenticated函数:在模板渲染时,会先判断当前用户的登录状态( current_user.is_authenticated )。 如果用户没有登录( current_user.is_authenticated 返回 False ),就不会渲染表单部分的 HTML 代码,即上面代码块中 {% if… %} 和 {% endif %} 之间的代码。

因此这里需要让session[‘name’] == ‘admin’

而通过对flask的了解,我们可以得知,在知道secret_key的情况下,我们可以对签名进行伪造。

此处参考文章:https://www.leavesongs.com/PENETRATION/client-session-security.html

而通过f12可以得知session的值:
image-20221129112521337

这里找到网上大佬的解密脚本:

#!/usr/bin/env python3
import sys
import zlib
from base64 import b64decode
from flask.sessions import session_json_serializer
from itsdangerous import base64_decode

def decryption(payload):
    payload, sig = payload.rsplit(b'.', 1)
    payload, timestamp = payload.rsplit(b'.', 1)

    decompress = False
    if payload.startswith(b'.'):
        payload = payload[1:]
        decompress = True

    try:
        payload = base64_decode(payload)
    except Exception as e:
        raise Exception('Could not base64 decode the payload because of '
                         'an exception')

    if decompress:
        try:
            payload = zlib.decompress(payload)
        except Exception as e:
            raise Exception('Could not zlib decompress the payload before '
                             'decoding the payload')

    return session_json_serializer.loads(payload)

if __name__ == '__main__':
    print(decryption(sys.argv[1].encode()))
//注意要自己装好flask模块才能运行,又卡里一会儿

终于调试好可以运行了:

image-20221129135029587

把name改成admin进行加密,加密脚本获取网上大佬的:mirrors / noraj / flask-session-cookie-manager · GitCode

使用格式如下:

image-20221129135633115

得到加密后的session,修改session的值即可完成登录:

image-20221129135921348

得到了最终答案:

flag{0f75975b-f96c-487f-87a9-6b48e3dfa2b3}

后两种解法太高级了看不懂先不看(bushi

参考文章:

https://www.cnblogs.com/chrysanthemum/p/11722351.html

今天小白努力学习了吗
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HCTF2018-admin
迷风小白
09-11 1万+
前言 在BUUCTF上看到这题存在三种解法,感觉比较经典,就想着来复现一下顺便学习一波。存在以下三种解法: flask session 伪造 unicode欺骗 条件竞争 审题 拿到题目发现一共就登录注册两个功能,随便注册一个test/test用户 登录之后查看源码发现提示<!-- you are not admin -->,根据提示和题目名估计要让我们登录admin用户就可以得...
flask session安全问题(转载)
weixin_44140395的博客
10-04 1370
摘自I春秋 yanzm 师傅的文章。原文链接:https://bbs.ichunqiu.com/thread-53404-1-1.html 侵删 本篇文章主要以一个ctf选手的视角来讲一下flask session所可能存在的问题,既然提到了session,那么首先普及一下session这个知识点,简单来说session是浏览器与服务器交互的会话,这个session可以来验证访问者的身份,大多数的session都是保存在服务器的,但是也有少部分是客户端session,就比如我们今天所要将的flask框架
Flask-session用法
qq_53142368的博客
06-07 1638
首先还是先从概念入手,最近学习越学越来越觉得自己菜 Flask-session: 概念: session咱们都知道是基于cookjie实现的,保存在服务器的键值对,同时在浏览器的cookie中也会保存相同的随机字符串,用来再次请求时拿出来,进行验证。 注意:Flask中的session是保存在浏览器中的,默认的key是session(加密的cookie),当然也可以将其保存在数据库中 flask中有一个session对象,它允许你在不同请求间存储特定用户的信息。它是在cookie的基础上实现的,并且对c
HCTF admin
weixin_45751765的博客
08-11 558
index0x00 初试0x01 复现a.unicode 欺骗b.flask session伪造c.条件竞争0x02 tips 0x00 初试 讲道理一开始摸到题以为是注入,目的也说了 以admin身份进入 然后尝试了手注和sqlmap结果啥都没有… 实在无奈开始观摩dl wp了 0x01 复现 a.unicode 欺骗 这也是最ez的一种吧… register->login->change_password 该界面在源码看到hint (所以说还是要养成看源码的好习惯呐)T^T down下
HCTF2018逆向LuckyStar分析
11-12
HCTF2018逆向LuckyStar分析HCTF2018逆向LuckyStar分析
Ace Admin 前端框架
05-30
Ace Admin 前端框架
2018手工更新FlatLab Admin Template
09-15
原来下载那个30分的,不是最新版的,浪费了时间,实在没办法就自己手工从官网下载,遂分享给大家
Ace Admin 2018.4最新版
04-17
Ace Admin 官网最新资源。比较好用的后台框架,推荐使用
canal-admin
最新发布
02-28
canal-admin
flasksession、cookie解加密脚本
10-13
flasksession、cookie解加密脚本
1.14 Flask websocket,加密 解密 Flask_session
aamoy06888的博客
01-14 343
Flask DBpool import pymysql from DBUtils.PooledDB import PooledDB POOL = PooledDB( creator=pymysql, # 使用链接数据库的模块 maxconnections=6, # 连接池允许的最大连接数,0和None表示不限制连接数 mincached=2, # 初始化时,...
BUUCTF-[HCTF 2018]admin1
Monica的博客
11-15 6941
题目 分析 打开环境,页面啥也没有,日常查看源代码 提示说你不是admin,所以这题可能是我们为admin才可以得到flag 在login页面找到登录框 刚开始以为是sql注入,直接万能密码;结果试了几种方法发现不是报错就是提示用户名密码错误 ...
Flask session详细用法
热门推荐
zhangyukun555的博客
03-06 1万+
Flask session概念解释 session是基于cookie实现的,保存在服务端的键值对,形式为{随机字符串:‘xxxxxx’},同时在浏览器中的cookie中也会保存相同的随机字符串,用来再次请求时验证 注意:Flask中的session是保存在浏览器中的,默认的key是session(加密的cookie),当然也可以将其保存在数据库中 flask中有一个session对象,它允许你...
flask session cookie
JackLiu16的博客
09-09 827
  flask session和cookie信息是存储在客服端的,减少了服务端的压力。验证:(或者直接用curl不带参数请求) 1、请求/set    当服务端设置session通过cookie返回给浏览器后,浏览器保存cookies,并在下次/get请求带上cookie,服务器拿到浏览器传来的cookie,解析出之前设置在session中的信息。得到k1这个key的值v1,返回给浏览器 ...
flask session 生成一个安全混淆秘钥
qq_33421080的博客
11-08 654
import uuid import base64 base64.bs64encode(uuid.uuid4().bytes)
通过SECRET_KEY绕过flasksession认证
笑笑生的博客
07-24 4235
转载:https://www.secpulse.com/archives/97707.html 前言 最近读到一篇英文文章,甚是有趣,所以想把关键内容提取并翻译出来,记录自己学习的同时也方便他人阅读,原文地址。 0x00 漏洞细节 一般来说,安全session存储,客户端的cookie应该是不可读的,但flask的cookie却不完全是这样,这里直接贴原作者的图。 通过.隔开的3段内容,第一段其实就是base64 encode后的内容,但去掉了填充用的等号,若decode失败,自己需..
flask 源码解析:session
小白裸奔
04-02 347
转载于:http://cizixs.com/2017/03/08/flask-insight-session session 简介 在解析 session 的实现之前,我们先介绍一下 session 怎么使用。session 可以看做是在不同的请求之间保存数据的方法,因为 HTTP 是无状态的协议,但是在业务应用上我们希望知道不同请求是否是同一个人发起的。比如购物网站在用户点击
HCTF2018-admin-复现
qq_43189757的博客
04-10 744
session 详细了解 学习的博客:https://blog.csdn.net/h19910518/article/details/79348051 写的真是好 session_start() 这是个无任何返回值的函数,既不会报错,也不会成功。它的作用是开启session,并随机生成一个唯一的32位的session_id,类似于这样: 4c83638b3b0dbf65583181c2f89168...
admin
06-02
在 Django 中,`admin` 是一个应用程序,用于创建后台管理界面,方便管理员对网站的内容进行管理和维护。 在 Django 的后台管理界面中,管理员可以对网站的数据进行增删改查等操作,例如添加新的用户、编辑文章内容、上传图片等。这些操作都是通过 Django 的 `admin` 应用程序来实现的。 使用 `admin` 应用程序非常简单,只需要在应用程序的 `admin.py` 文件中定义数据模型的管理类,然后将其注册到 `admin` 中即可。例如,下面是一个简单的 `admin.py` 文件: ```python from django.contrib import admin from .models import Post @admin.register(Post) class PostAdmin(admin.ModelAdmin): list_display = ('title', 'pub_date', 'author') list_filter = ('pub_date', 'author') search_fields = ('title', 'content') ``` 在这个文件中,我们定义了一个名为 `PostAdmin` 的管理类,并将其注册到 `admin` 中。这个管理类用于管理名为 `Post` 的数据模型。我们还定义了一些属性,例如 `list_display`、`list_filter` 和 `search_fields`,用于控制在后台管理界面中显示哪些字段、哪些过滤器和哪些搜索框。 在执行 `python manage.py runserver` 命令启动开发服务器后,可以在浏览器中访问 `http://localhost:8000/admin/`,进入 Django 的后台管理界面。在这个界面中,我们可以看到所有已注册的数据模型,并可以对它们进行增删改查等操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值