NO.20

最新推荐文章于 2022-08-04 17:15:43 发布
最新推荐文章于 2022-08-04 17:15:43 发布
阅读量193 收藏
点赞数
分类专栏: BUUCTF pythpn安全 其他
原文链接:https://blog.csdn.net/weixin_44677409/article/details/100733581
版权
BUUCTF 同时被 3 个专栏收录
60 篇文章 0 订阅
订阅专栏
其他
8 篇文章 0 订阅
订阅专栏
pythpn安全
4 篇文章 0 订阅
订阅专栏

前言

在BUUCTF上看到这题存在三种解法,感觉比较经典,就想着来复现一下顺便学习一波。存在以下三种解法:

  1. flask session 伪造
  2. unicode欺骗
  3. 条件竞争

审题

拿到题目发现一共就登录注册两个功能,随便注册一个test/test用户
在这里插入图片描述
登录之后查看源码发现提示<!-- you are not admin -->,根据提示和题目名估计要让我们登录admin用户就可以得到flag。


在这里插入图片描述
在change password页面查看源码,发现提供了题目的源码地址

<!-- https://github.com/woadsl1234/hctf_flask/ -->

发现是用flask写的,我们就直接去看一下路由

@app.route('/code')
def get_code():

@app.route('/index')
def index():

@app.route('/register', methods = ['GET', 'POST'])
def register():

@app.route('/login', methods = ['GET', 'POST'])
def login():

@app.route('/logout')
def logout():

@app.route('/change', methods = ['GET', 'POST'])
def change():

@app.route('/edit', methods = ['GET', 'POST'])
def edit():

发现就存在登录、注册、改密码、退出、edit这几个功能,下面我就来具体分析一下这几种解法:
解法一:flask session伪造

想要伪造session,需要先了解一下flask中session是怎么构造的。
flask中session是存储在客户端cookie中的,也就是存储在本地。flask仅仅对数据进行了签名。众所周知的是,签名的作用是防篡改,而无法防止被读取。而flask并没有提供加密操作,所以其session的全部内容都是可以在客户端读取的,这就可能造成一些安全问题。
具体可参考:
https://xz.aliyun.com/t/3569
https://www.leavesongs.com/PENETRATION/client-session-security.html#

我们可以通过脚本将session解密一下:
 

#!/usr/bin/env python3
import sys
import zlib
from base64 import b64decode
from flask.sessions import session_json_serializer
from itsdangerous import base64_decode

def decryption(payload):
    payload, sig = payload.rsplit(b'.', 1)
    payload, timestamp = payload.rsplit(b'.', 1)

    decompress = False
    if payload.startswith(b'.'):
        payload = payload[1:]
        decompress = True

    try:
        payload = base64_decode(payload)
    except Exception as e:
        raise Exception('Could not base64 decode the payload because of '
                         'an exception')

    if decompress:
        try:
            payload = zlib.decompress(payload)
        except Exception as e:
            raise Exception('Could not zlib decompress the payload before '
                             'decoding the payload')

    return session_json_serializer.loads(payload)

if __name__ == '__main__':
    print(decryption(sys.argv[1].encode()))

 利用脚本将session解密如下

但是如果我们想要加密伪造生成自己想要的session还需要知道SECRET_KEY,然后我们在config.py里发现了SECRET_KEY

SECRET_KEY = os.environ.get('SECRET_KEY') or 'ckj123'

 然后在index.html页面发现只要session[‘name’] == 'admin’即可以得到flag

于是我们找了一个flask session加密的脚本 https://github.com/noraj/flask-session-cookie-manager
利用刚刚得到的SECRET_KEY,在将解密出来的name改为admin,最后用脚本生成我们想要的session即可

 {'_fresh': True, '_id': b'121de14bca66edf6cc98e254ab460d68f9122c75e64747a997410a84049d9295b53192aebf5c2b93641e5c58cc1596ed3850da7a17a5f3f6415ac0743afe3dc4', 'csrf_token': b'd2495789467d55d9e38c2ffd63e9c578ee1b267a', 'image': b'BUXE', 'name': 'admin', 'user_id': '10'}

在这里插入图片描述

虽然python3和python2的flask session生成机制不同,可是利用上述脚本生成的session都可以得到flag


在这里插入图片描述

解法二:Unicode欺骗

仔细观察路由发现在修改密码的时候先将name转成小写,难道是登陆注册的时候没有转吗?
在这里插入图片描述
跟进一下register、login



发现都用strlower()来转小写,但是python中已经自带转小写函数lower(),看看有什么不一样的,跟进一下strlower函数

def strlower(username):
    username = nodeprep.prepare(username)
    return username

这里用的nodeprep.prepare函数,而nodeprep是从Twisted模块导入的,在requirements.txt文件中发现Twisted==10.2.0,而官网最新已经到了19.7.0(2019/9),版本差距很大,应该会存在漏洞。

关于Unicode问题可以参考一下:https://panda1g1.github.io/2018/11/15/HCTF%20admin/

关于具体编码可查 https://unicode-table.com/en/search/?q=small+capital ,当然你也可以复制过后用站长工具转换成Unicode编码。

在这里插入图片描述
然后我们发现在使用nodeprep.prepare函数转换时过程如下:

ᴬᴰᴹᴵᴺ -> ADMIN -> admin

假如我们注册ᴬᴰᴹᴵᴺ用户,然后在用ᴬᴰᴹᴵᴺ用户登录,因为在login函数里使用了一次nodeprep.prepare函数,因此我们登录上去看到的用户名为ADMIN,此时我们再修改密码,又调用了一次nodeprep.prepare函数将name转换为admin,然后我们就可以改掉admin的密码,最后利用admin账号登录即可拿到flag。


在这里插入图片描述
[外链图片转存失败(img-NGqrZ1DK-1568178828387)(/images/HCTF2018-admin/11.png)]

转自:https://blog.csdn.net/weixin_44677409/article/details/100733581

nigo134
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[HCTF 2018]admin (三种解法详细详解)
记录学习,一起进步
01-17 2398
[HCTF 2018]admin
[HCTF 2018]admin
Yb_140的博客
09-06 437
假如我们注册ᴬᴰᴹᴵᴺ用户,然后在用ᴬᴰᴹᴵᴺ用户登录,因为在login函数里使用了一次nodeprep.prepare函数,因此我们登录上去看到的用户名为ADMIN,此时我们再修改密码,又调用了一次nodeprep.prepare函数将name转换为admin,然后我们就可以改掉admin的密码,最后利用admin账号登录即可拿到flag。flask仅仅对数据进行了签名。用的是 flask 框架,flask 是一个轻量型的web框架,其session存储在客户端上并对存储的session进行了签名处理。
BUUCTF:[HCTF 2018]admin
末初的CSDN博客
10-28 784
题目地址:https://buuoj.cn/challenges#[HCTF%202018]admin 第一种解法:弱密码 根据提示,尝试弱密码登录admin用户,当admin的密码为123时,登陆成功 第二种解法:Unicode欺骗 随便注册个用户mochu7,在Change Password 给出来题目源码,/hctf_flask/app/rotus.py register和login对用户名使用了自定义函数strlower() nodeprep.prepare()来自 from tw.
[HCTF 2018]admin之unicode欺骗
weixin_52116519的博客
04-22 633
前言 今天这道题完全没接触过,算是学到两种新的解题方法,挺开心的。没有思路,只能按照大佬的wp来记录了。 1、注册admin,但是显示已注册,不能注册,感觉这里应该有大作用。 2、那就随便注册一个。看源码,说不是管理员。 3、又找了其他功能,没发现有啥。4、但是改密码的时候,发现一个链接。 5、访问 6、发现admin,但是密码加密了,没得用。 7、不会了,看wp吧。 解法一:unicode欺骗 1、参考文章 Unicode欺骗 2、nodeprep.prepare()漏洞原理 使用nodeprep.p
buuctf(探险1)
qq_62046696的博客
08-04 603
此时,为了更加方便进行反序列化Payload的传输与显示,我们可以在序列化内容中用大写S表示字符串,此时这个字符串就支持将后面的字符串用16进制表示。file里面肯定是useless.php,看见下面有反序列化,所以我觉得这应该是用文件包含然后出源码的擦做,然后password里存的是序列化指向一个获得flag的。} 这是三个等号,强比较,会核对值是否相当,以及类型是否一样,我们可以让2为数值型就都可以实现。可是这里的属性都是protected构成的,需要加 \00*\00保护起来,所以我们就需要绕过。.
Meta分析简明教程:No.20 结果的解读.pptx
06-18
Meta分析简明教程:No.20 结果的解读.pptx
2021-2022计算机二级等级考试试题及答案No.20.docx
10-31
2021-2022计算机二级等级考试试题及答案No.20.docx
2021版山东省建筑施工企业主要负责人(A类)考核题库100题含答案No.20.docx
10-23
2021版山东省建筑施工企业主要负责人(A类)考核题库100题含答案No.20.docx
SS7.rar_no.7_ss7_信令
09-24
7号信令系统是在20世纪70年代为解决传统电话网络信令系统(如NO.5、NO.6)的局限性而设计的,它采用分层结构,将信令功能分解为多个独立的功能部分,提高了系统的灵活性和可扩展性。SS7系统主要由消息传递部分(MTP...
BUUCTF-[HCTF 2018]admin1
Monica的博客
11-15 7120
题目 分析 打开环境,页面啥也没有,日常查看源代码 提示说你不是admin,所以这题可能是我们为admin才可以得到flag 在login页面找到登录框 刚开始以为是sql注入,直接万能密码;结果试了几种方法发现不是报错就是提示用户名密码错误 ...
BUUCTF__[HCTF 2018]admin_题解
风过江南乱的博客
05-18 1547
一、看题 拿到题目,发现一个欢迎页面。有注册、登录功能。 首先习惯性 F12。发现提示。 提示不是 admin ,那我们尝试登录用户名 admin ,密码随便输入,提示密码错误。尝试注 册 admin ,提示账号已被注册,那么我们怎么才能用 admin 登录呢。 那先尝试随便注册一个账号登录看看有什么内容,注册用户名和密码都为1,登录。 发现有修改密码功能。 可以注册、登录、修改密码,很自然的想到二次注入。 事实上,预期解的确是二次注入,只不过有好几种非预期解法。 二、研究 这题得到flag,实
[HCTF 2018]admin三种解法
u011250160的博客
12-14 5707
打开题目有两个选项以及一个提示信息 判断我们是要以admin的身份登录 这样的话肯定是对login页面进行一番鼓捣 先弱口令爆破一波,因为是个弱口令(123),爆破也能爆破出来 然后这个题就结束了(太tm出乎意料了)… 弱口令不行的话就试试sql注入以及ssti注入 尝试抓包修改自己的角色(实战中真碰到过) 以上就是常规思路 当然这个题不该设个弱口令在那 看下其他的解法 解法一:session伪造 随便注册个账号登录发现新大陆 在change password页面源码发现源码 去github下载源码
HCTF2018-admin
热门推荐
迷风小白
09-11 1万+
前言 在BUUCTF上看到这题存在三种解法,感觉比较经典,就想着来复现一下顺便学习一波。存在以下三种解法: flask session 伪造 unicode欺骗 条件竞争 审题 拿到题目发现一共就登录注册两个功能,随便注册一个test/test用户 登录之后查看源码发现提示<!-- you are not admin -->,根据提示和题目名估计要让我们登录admin用户就可以得...
BUUCTF复现记录1
baochigu0818的博客
08-20 950
平台地址:https://buuoj.cn/ 里面很多之前的题目,不错的平台。另外幕后大哥博客https://www.zhaoj.in/ 以下的解题,都是参考各位大佬的WP去复现,重在记录下解题思路 以及了解一些常规姿势。 [CISCN2019 华北赛区 Day2 Web1]Hack World 题目是这样的 已经知道了表名和,列名,只需要想办法读取里面的内容...
nodejs事件循环阶段之prepare
标子 的专栏
03-09 413
prepare是nodejs事件循环中的其实其中一个阶段(phase)。属于比较简单的一个阶段。我们知道libuv中分为handle和request。而prepare阶段的任务是属于handle。我们看一下他的定义。 下面我们看看怎么使用它 void prep_cb(uv_prepare_t *handle) { printf("Prep callback\n"); } int mai...
nodejs ref操作_nodejs事件循环阶段之prepare
weixin_32824625的博客
02-01 245
prepare是nodejs事件循环中的其中一个阶段(phase)。属于比较简单的一个阶段。我们知道libuv中分为handle和request。而prepare阶段的任务是属于handle。我们看一下他的定义。下面我们看看怎么使用它void prep_cb(uv_prepare_t *handle) { printf("Prep callbackn"); } int main() { ...
CTF [HCTF 2018]admin writeup Flask-session unicode
baynk的博客
04-02 1642
虽然弄出来的,但是感觉不是预期解,所以直接去看的wirteup,之前没弄过python框架的站,学习复现一波,学习之路途漫长。。。 0x01 瞎弄 一打开就看到这个,可能是爆破的,因为名字都告诉你了,但是还点了几下,发现有登陆和注册功能。 在登陆处,尝试了下万能密码啥的,除了括号也不能用起来的特殊字符,不然就直接返回错误 然后看到了注册页,第一次反应莫不是二次注入?注入学疯了,然后注册了个...
torch.no_grad
最新发布
05-24
`torch.no_grad()` 是一个上下文管理器,它可以用来关闭 PyTorch 的自动求导机制。在这个上下文管理器中执行的操作不会被记录在计算图中,也就是说,这些操作不会影响模型的梯度和参数。这个函数通常用在测试阶段,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值