HCTF2018-admin-复现

最新推荐文章于 2021-12-14 15:36:50 发布
最新推荐文章于 2021-12-14 15:36:50 发布
阅读量750 收藏
点赞数 1
分类专栏: buuoj web 刷题记录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43189757/article/details/105434595
版权

session 详细了解

学习的博客:https://blog.csdn.net/h19910518/article/details/79348051 写的真是好

session_start()
这是个无任何返回值的函数,既不会报错,也不会成功。它的作用是开启session,并随机生成一个唯一的32位的session_id,类似于这样:
4c83638b3b0dbf65583181c2f89168ec

每次我们访问一个页面,如果有开启session,也就是有session_start() 时,就会自动生成一个session_id 来标注是这次会话的唯一ID,同时也会自动往cookie里写入一个名字为PHPSESSID的变量,它的值正是session_id,当这次会话没结束,再次访问的时候,服务器会去读取这个PHPSESSID的cookie是否有值有没过期,如果能够读取到,则继续用这个session_id,如果没有,就会新生成一个session_id,同时生成PHPSESSID这个cookie。由于默认生成的这个PHPSESSID cookie是会话,也就是说关闭浏览器就会过期掉,所以,下次重新浏览时,会重新生成一个session_id。

session 一般存贮在服务器端的\tmp目录下,同样也是用到session_id。session_id是32位的,服务器会用 sess_前缀 + session_id 的形式存在这个临时目录下
每一次生成的session_id都会生成一个这样的文件,用来保存这次会话的session信息。
例如
sess_bjvlo4p38cfqkr1hr7pe924ts3 这样的文件名

往session文件中写数据:

例如
$_SESSION[‘hello’] = 123;
$_SESSION[‘word’] = 456;

数据存放形式为:hello|i:123;word|i:456;
是序列化的数据,我们肉眼也能读出来。当我们往$_SESSION全局变量里写数据时,它会自动往这个文件里写入。读取session的时候,也会根据session_id 找到这个文件,然后读取需要的session变量。

大致总结:
HTTP请求一个页面后,如果用到开启session,会去读cookie中的PHPSESSID是否有,如果没有,则会新生成一个session_id,先存入cookie中的PHPSESSID中,再生成一个sess_前缀文件。当有写入$_SESSION的时候,就会往sess_文件里序列化写入数据。当读取的session变量的时候,先会读取cookie中的PHPSESSID,获得session_id,然后再去找这个sess_sessionid文件,来获取对应的数据。由于默认的PHPSESSID是临时的会话,在浏览器关闭后,会消失,所以,我们重新访问的时候,会新生成session_id和sess_这个文件。

有关session的几个变量 SID,session_id(),$_COOKIE[“PHPSESSID”]

SID 是一个系统常量,SID包含着会话名以及会话 ID 的常量,格式为 “name=ID”,或者如果会话 ID 已经在适cookie 中设定时则为空字符串,第一次显示的时候输出的是SID的值,当你刷新的时候,因为已经在cookie中存在,所以显示的是一个空字符串。
session_id() 函数用来返回当前会话的session_id,它会去读取cookie中的name,也就是PHPSESSID值。

session的相关配置

[Session]
session.save_handler = files
session.save_path = “d:/wamp/tmp”
session.use_cookies = 1
session.name = PHPSESSID
session.auto_start = 0
session.cookie_lifetime = 0
session.serialize_handler = php
session.gc_divisor = 1000
session.gc_probability = 1
session.gc_maxlifetime = 1440

session.save_handler = files 表示的是session的存储方式,默认的是files文件的方式保存,sess_efdsw34534efsdfsfsf3r3wrresa, 保存在 session.save_path = “d:/wamp/tmp” 里,所有这2个都是可配值得。我们上面的例子就是用的这种默认的方式。

save_handler 不仅仅只能用文件files,还可以用我们常见的memcache 和 redis 来保存。

session.use_cookies 默认是1,表示会在浏览器里创建值为PHPSESSID的session_id,session.name = PHPSESSID 找个配置就是改这个名字的,你可以改成PHPSB, 那这样就再浏览器里生成名字为PHPSB的session_id 。

session.auto_start = 0 用来是否需要自动开启session,默认是不开启的,所有我们需要在代码中用到session_start();函数开启,如果设置成1,那么session_id 也会自动就生成了。

session.cookie_lifetime = 0 这个是设置在客户端生成PHPSESSID这个cookie的过期时间,默认是0,也就是关闭浏览器就过期,下次访问,会再次生成一个session_id。所以,如果想关闭浏览器会话后,希望session信息能够保持的时间长一点,可以把这个值设置大一点,单位是秒。

复现学习的博客:https://www.jianshu.com/p/f92311564ad0

解法一 flask session伪造

说是复现,其实对flask一点都不了解,好像以buuok上的题来当web入门好像有点拉跨,不过看都看了,硬学下去吧

什么是flask

学习的博客:https://www.cnblogs.com/mrchige/p/6387674.html

Flask 是一个 web 框架。也就是说 Flask 为你提供工具,库和技术来允许你构建一个 web 应用程序。这个 wdb 应用程序可以使一些 web 页面、博客、wiki、基于 web 的日历应用或商业网站。
Flask 属于微框架(micro-framework)这一类别,微架构通常是很小的不依赖于外部库的框架。这既有优点也有缺点,优点是框架很轻量,更新时依赖少,并且专注安全方面的 bug,缺点是,你不得不自己做更多的工作,或通过添加插件增加自己的依赖列表。

实际操作flask

  1. 安装flask
    kali上输入:
    sudo pip install flask
    在这里插入图片描述
    显示已存在

  2. 创建项目结构
    输入sudo mkdir -p hello_flask/{templates,static}

kali上不自带tree,输入sudo apt install tree 安装tree这个命令
在这里插入图片描述
templates 文件夹是存放模板的地方,static 文件夹存放 web 应用所需的静态文件(images, css, javascript)。

  1. 创建应用文件
    $ cd hello_flask
    $ sudo vim hello_flask.py

hello_flask.py 文件里编写如下代码:

#!/usr/bin/env python

import flask

# Create the application.
APP = flask.Flask(__name__)

@APP.route('/')
def index():
    """ 显示可在 '/' 访问的 index 页面
    """
    return flask.render_template('index.html')

if __name__ == '__main__':
    APP.debug=True
    APP.run()
  1. 创建模板文件 index.html
    sudo vim templates/index.html

输入内容:

<!DOCTYPE html>
<html lang='en'>
<head>
  <meta charset="utf-8" />
  <title>Hello world!</title>
  <link type="text/css" rel="stylesheet"
        href="{{ url_for('static',
              filename='hello.css')}}" />
</head>
<body>

It works!

</body>
</html>

在输入python3 hello_flask.py
进入网址http://127.0.0.1:5000/ 访问

  1. flask中使用参数
    为此我们更新 hello_flask.py 文件。

    在 hello_flask.py 文件中添加以下条目

@APP.route('/hello/<name>/')
def hello(name):
    """ Displays the page greats who ever comes to visit it.
    """
    return flask.render_template('hello.html', name=name)

创建下面这个模板 hello.html

<!DOCTYPE html>
<html lang='en'>
<head>
    <meta charset="utf-8" />
    <title>Hello</title>
    <link type="text/css" rel="stylesheet"
          href="{{ url_for('static',
               filename='hello.css')}}" />
</head>
<body>

      How are you ? {{name}}

</body>
</html>

$ python3 hello_flask.py

访问 http://127.0.0.1:5000/ ,这应该只是显示黑字白底的 “It works!” 文本。
访问http://127.0.0.1:5000/hello/you,这应该返回文本 “How are you ?”

  1. 使用模板

创建模板文件 master.html。

<!DOCTYPE html>
<html lang='en'>
<head>
  <meta charset="utf-8" />
  <title>{% block title %}{% endblock %} - Hello Flask!</title>
  <link type="text/css" rel="stylesheet"
       href="{{ url_for('static',
                        filename='hello.css')}}" />
</head>
<body>

{% block body %}{% endblock %}

</body>
</html>

调整模板 index.html。

{% extends "master.html" %}

{% block title %}Home{% endblock %}

{% block body %}
It works!
{% endblock %}

hello.html也可以调整为:
在这里插入图片描述

简单的跟着写了下代码,感觉flask就是个模板,{{}}里面的是标量,{% %}里面类似逻辑语句吧

以后碰到flask先看@APP.route()的路径,找到重要的文件

解法一 伪造flask session

学习的博客:https://www.jianshu.com/p/f92311564ad0

进入页面右上角可以login和register,先随便注册一个然后登录
登录之后可以change password,转到那个页面查看页面源码可以发现泄露了源码
之后去查看源码
先进去APP文件夹 -> 查看route.py 看app.route()主要的文件有哪些 先查看index.html的内容
在这里插入图片描述

发现只要以admin身份登录就可以拿到flag,回到注册页面注册admin会发现用户已被注册
而flask的session是存放在cookie中的,也就是存放在浏览器上,那么就有了可能伪造session的思路

要伪造session还需要知道签名,去github的源码导出看看有没有签名,最后在config.py中发现了签名
在这里插入图片描述

拿到签名后还需要解密加密flask脚本,在google中可以搜索到
https://github.com/noraj/flask-session-cookie-manager

下载后开始伪造session:

  1. 先解密,得到解密之前的数据,将当前用户名改成admin
    这里有python2和python3两个脚本,用python3失败了,用python2成功了
    python2 flask_session_cookie_manager2.py decode -s “ckj123” -c ".eJw9kEGLwjAQhf_KkrOH2tKL4GEltSjMQJdoyVzEbWvTSeNCq2gj_vfNuuBhYOA9Pt57D3E4Dc1oxOIyXJuZOHS1WDzEx7dYCM2m176Kwa86lNkEsu8g3zLKdiKVeV0WKZa7iGR7I7nviHsDvPNawQ0cWSg3HrhKw2_Qf1nMswl9EaPPElDgQZIjXhmtqonyXaq5CEzqQYVzm0h7iFFtmeTakCzuwXcHvzZQ6gS5D5n-_GtLarMUz5moxuF0uPzY5vyuALJmUm2qfRYhk4N875CrBD11wPauYx2TyxJSK4sqxGI7x8_lC9e5Y9u8SftzKHr7V85HFwRxHOuTmInr2Ayv2cQ8Es9f9Y5uyQ.Xo82lg.zGqI1MszM160rzt9fWR5-0DFJDU"

-s 后跟签名
-c 后跟当前cookie的value
解密后的数据:
在这里插入图片描述

  1. 将修改后的数据再进行加密伪造session

python2 flask_session_cookie_manager2.py encode -s “ckj123” -t “ckj123” -t “{u’csrf_token’: ‘07ce89c1466f0ef67776b291cf6fa7e0d5172954’, u’user_id’: u’10’, u’name’: u’admin’, u’image’: ‘Vu4g’, u’_fresh’: True, u’_id’: ‘b8ec7630b41209b0bc482e13ad95e4d80d5bf9a253a302fd1b32792fa74d4a274671713306ff0aa72de9b43afe16e2b4c3652cd1ad41a7131a1f769b443aade2’}”

加密后的数据:
在这里插入图片描述

之后再把这个伪造的session覆盖点当前的session的value就可以拿到flag了

苍崎青子
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HCTF2018-admin
迷风小白
09-11 1万+
前言 在BUUCTF上看到这题存在三种解法,感觉比较经典,就想着来一下顺便学习一波。存在以下三种解法: flask session 伪造 unicode欺骗 条件竞争 审题 拿到题目发一共就登录注册两个功能,随便注册一个test/test用户 登录之后查看源码发提示<!-- you are not admin -->,根据提示和题目名估计要让我们登录admin用户就可以得...
dubbo-admin部署亲测
11-25
最近学习dubbo下载了好多都不靠谱,自己下载源码后打包的一个比较好用,希望大家可以有用,访问地址:http://localhost:8080/dubbo-admin-2.5.8
[HCTF 2018]admin
怪味巧克力的博客
07-11 537
前言: 最近在BUUCTF刷题,参照师傅们wp后一下 0x01 拿到题目后进去如下界面 发有登录和注册界面,相比是要登录后才能查看想要的信息。 查看页面源代码,看看有没有上面提示,界面如下 提示你不是admin,到这里基本上主要的方向已经有了,就是要以admin用户登录进去,才能查看到flag 0x02 一,弱密码 首先尝试了一下弱密码爆破,结果成功进入,密码是123,然后成功看到flag 二,Unicode欺骗 假设我们不知道admin密码,或者是比较杂的密码,然后我们注册一个用户,登录进去
[HCTF 2018]admin 1
feng的博客
10-20 6951
前言 这题的三种方法都是姿势盲区。。。。第三种方法只给个介绍。。因为好像的话不能成功,但是学习学习这种方法的思想。 姿势总结 flask session伪造 unicode欺骗 条件竞争 方法一:flask session伪造 我做题目的时候一直以为这题应该是SQL注入。。。在登录那里被卡了好久。。最后发屁用都没有。。 首先!我们先注册一个再登录,在change password那里查看源码,可以看到有提示: 但是我并没有看到。。。这题也深深的教会了我,虽然页面可能有点多,源码还是要好好看看。。
[HCTF 2018]admin三种解法
u011250160的博客
12-14 5739
打开题目有两个选项以及一个提示信息 判断我们是要以admin的身份登录 这样的话肯定是对login页面进行一番鼓捣 先弱口令爆破一波,因为是个弱口令(123),爆破也能爆破出来 然后这个题就结束了(太tm出乎意料了)… 弱口令不行的话就试试sql注入以及ssti注入 尝试抓包修改自己的角色(实战中真碰到过) 以上就是常规思路 当然这个题不该设个弱口令在那 看下其他的解法 解法一:session伪造 随便注册个账号登录发新大陆 在change password页面源码发源码 去github下载源码
ctf wed login.php,HCTF2018-WEB-详细Write up
weixin_39943926的博客
03-27 645
良心比赛,这次的web题质量很高,做的很爽,跟着Delta的师傅们也学到了不少东西,发自己还是tcl跟大佬们差得很远。Warmup参考:https://blog.vulnspy.com/2018/06/21/phpMyAdmin-4-8-x-Authorited-CLI-to-RCE/ 根据提示找到source.phpclass emmm{public static function check...
hctf2018wp
weixin_30274627的博客
11-12 256
1、bottle 登陆网站后存在提交url的地方 测试发生存在如下paload,知识点:1、crlf 2、写一个网站开发的端口小于80,浏览器就不会跳转能执行js(payload只能在火狐浏览器执行): 验证码部分可以生成1-10000的Md5值 ,构造如下payload: 下面这个图就是打到自己的cookie。如果将这个payload提交到url那里,也就是...
BUUCTF__[HCTF 2018]admin_题解
风过江南乱的博客
05-18 1553
一、看题 拿到题目,发一个欢迎页面。有注册、登录功能。 首先习惯性 F12。发提示。 提示不是 admin ,那我们尝试登录用户名 admin ,密码随便输入,提示密码错误。尝试注 册 admin ,提示账号已被注册,那么我们怎么才能用 admin 登录呢。 那先尝试随便注册一个账号登录看看有什么内容,注册用户名和密码都为1,登录。 发有修改密码功能。 可以注册、登录、修改密码,很自然的想到二次注入。 事实上,预期解的确是二次注入,只不过有好几种非预期解法。 二、研究 这题得到flag,实
CTF [HCTF 2018]admin writeup Flask-session unicode
baynk的博客
04-02 1645
虽然弄出来的,但是感觉不是预期解,所以直接去看的wirteup,之前没弄过python框架的站,学习一波,学习之路途漫长。。。 0x01 瞎弄 一打开就看到这个,可能是爆破的,因为名字都告诉你了,但是还点了几下,发有登陆和注册功能。 在登陆处,尝试了下万能密码啥的,除了括号也不能用起来的特殊字符,不然就直接返回错误 然后看到了注册页,第一次反应莫不是二次注入?注入学疯了,然后注册了个...
[HCTF 2018] web题-admin
BROTHERYY的博客
06-30 443
//地址:https://buuoj.cn/challenges 打开环境以后,旁边有个菜单 登录和注册 在登录页面尝试弱密码,账户名根据题目的意思就用admin 猝不及防 卒! 看网上介绍说还有其他的解法,这里就不说了。怎么省事怎么来吧! ...
开发工具 sb-admin-2
05-31
开发工具 sb-admin-2开发工具 sb-admin-2开发工具 sb-admin-2开发工具 sb-admin-2开发工具 sb-admin-2开发工具 sb-admin-2开发工具 sb-admin-2开发工具 sb-admin-2开发工具 sb-admin-2开发工具 sb-admin-2开发工具 ...
vue-vben-admin.md
07-30
vue-vben-admin.md
vue-element-admin中文版本
07-20
Vue-element-admin 是基于 Vue.js 的一套全面的后台管理系统模板,它利用了 Element UI 这个流行的 UI 组件库,提供了一系列预设的页面模板、路由、权限管理等功能,极大地加速了后台管理系统的开发过程。...
wangEditor:laravel-admin的wangEditor扩展
05-01
composer require "laravel-admin-ext/wang-editor:1.*" // laravel-admin 2.x composer require laravel-admin-ext/wang-editor 然后 php artisan vendor:publish --tag=laravel-admin-wangEditor 配置 在config/...
pillow-10.4.0-pp39-pypy39_pp73-macosx_11_0_arm64.whl
07-27
基本介绍 名称与起源:Pillow,原名为PIL(Python Imaging Library),但PIL只支持Python 2版本。随着Python 3的普及,Pillow作为PIL的一个分支出,兼容Python 3并提供更多的功能和改进。 主要功能:Pillow支持多种图像格式的打开、保存、显示以及基本的图像操作和处理,如裁剪、缩放、旋转、翻转、滤镜应用等。 跨平台性:Pillow库可以在不同的操作系统上运行,包括Windows、Linux和MacOS等。 主要功能模块 Pillow库包含多个功能模块,每个模块都提供了特定的图像处理功能。以下是一些常用的模块: Image:用于处理图像文件,提供打开、保存、调整大小、旋转、裁剪、滤镜等功能。 ImageDraw:提供在图像上绘制各种形状(如线条、矩形、圆形)和文本的功能。 ImageFont:用于加载和使用TrueType字体文件,以便在图像上绘制文本时设置字体样式、大小和颜色。 ImageFilter:提供各种滤镜效果,如模糊、锐化、边缘增强等,用于图像增强、特效处理和图像识别等应用。 ImageEnhance:用于调整图像的亮度、对比度、颜色饱和度等参数,使图像更加清晰、明亮或具有特定的调色效果。 高级功能 除了基本的图像处理功能外,Pillow还支持一些高级功能,如色彩空间转换、直方图均衡化等。这些功能可以帮助用户进行更杂的图像处理和分析。
avif-0.5.0-cp35-cp35m-macosx_10_9_x86_64.whl
07-27
python库,可以直接安装使用,再也不怕自己pip下载,出等待超时的象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出等待超时的象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出等待超时的象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出等待超时的象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出等待超时的象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决!
pillow-10.4.0-cp39-cp39-musllinux_1_2_x86_64.whl
07-27
基本介绍 名称与起源:Pillow,原名为PIL(Python Imaging Library),但PIL只支持Python 2版本。随着Python 3的普及,Pillow作为PIL的一个分支出,兼容Python 3并提供更多的功能和改进。 主要功能:Pillow支持多种图像格式的打开、保存、显示以及基本的图像操作和处理,如裁剪、缩放、旋转、翻转、滤镜应用等。 跨平台性:Pillow库可以在不同的操作系统上运行,包括Windows、Linux和MacOS等。 主要功能模块 Pillow库包含多个功能模块,每个模块都提供了特定的图像处理功能。以下是一些常用的模块: Image:用于处理图像文件,提供打开、保存、调整大小、旋转、裁剪、滤镜等功能。 ImageDraw:提供在图像上绘制各种形状(如线条、矩形、圆形)和文本的功能。 ImageFont:用于加载和使用TrueType字体文件,以便在图像上绘制文本时设置字体样式、大小和颜色。 ImageFilter:提供各种滤镜效果,如模糊、锐化、边缘增强等,用于图像增强、特效处理和图像识别等应用。 ImageEnhance:用于调整图像的亮度、对比度、颜色饱和度等参数,使图像更加清晰、明亮或具有特定的调色效果。 高级功能 除了基本的图像处理功能外,Pillow还支持一些高级功能,如色彩空间转换、直方图均衡化等。这些功能可以帮助用户进行更杂的图像处理和分析。
1250KVA本体基础图11
最新发布
07-27
1250KVA本体基础图11
AG-Admin:Spring Cloud微服务框架实战指南
AG-Admin采用了前后端分离的设计,前端部分基于vue-admin-element构建,提供了丰富的功能和友好的用户体验。 1. **微服务基础** 微服务是一种将大型杂应用程序拆分为一组小型、独立的服务的方法,每个服务都可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值