hctf2018-admin

最新推荐文章于 2024-03-16 20:59:35 发布
最新推荐文章于 2024-03-16 20:59:35 发布
阅读量952 收藏
点赞数
分类专栏: CTF学习 赛题复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zz_Caleb/article/details/101480535
版权

1、问题分析

熟悉一下网站,有这些功能:注册、登录、上传文章、修改密码、登出

对源码进行观察,发现

源码中存在
<!-- you are not admin -->

可能我们要以管理员身份登录吧。

继续找线索,最后发现在修改密码的源码中有:
在这里插入图片描述https://github.com/woadsl1234/hctf_flask/
这个是网站用的flask源码,然后clone下来就可以进行代码审计了。

routes.py里面有页面所有功能的代码

#!/usr/bin/env python
# -*- coding:utf-8 -*-

from flask import Flask, render_template, url_for, flash, request, redirect, session, make_response
from flask_login import logout_user, LoginManager, current_user, login_user
from app import app, db
from config import Config
from app.models import User
from forms import RegisterForm, LoginForm, NewpasswordForm
from twisted.words.protocols.jabber.xmpp_stringprep import nodeprep
from io import BytesIO
from code import get_verify_code

@app.route('/code')
def get_code():
    image, code = get_verify_code()
    # 图片以二进制形式写入
    buf = BytesIO()
    image.save(buf, 'jpeg')
    buf_str = buf.getvalue()
    # 把buf_str作为response返回前端,并设置首部字段
    response = make_response(buf_str)
    response.headers['Content-Type'] = 'image/gif'
    # 将验证码字符串储存在session中
    session['image'] = code
    return response

@app.route('/')
@app.route('/index')
def index():
    return render_template('index.html', title = 'hctf')

@app.route('/register', methods = ['GET', 'POST'])
def register():

    if current_user.is_authenticated:
        return redirect(url_for('index'))

    form = RegisterForm()
    if request.method == 'POST':
        name = strlower(form.username.data)
        if session.get('image').lower() != form.verify_code.data.lower():
            flash('Wrong verify code.')
            return render_template('register.html', title = 'register', form=form)
        if User.query.filter_by(username = name).first():
            flash('The username has been registered')
            return redirect(url_for('register'))
        user = User(username=name)
        user.set_password(form.password.data)
        db.session.add(user)
        db.session.commit()
        flash('register successful')
        return redirect(url_for('login'))
    return render_template('register.html', title = 'register', form = form)

@app.route('/login', methods = ['GET', 'POST'])
def login():
    if current_user.is_authenticated:
        return redirect(url_for('index'))

    form = LoginForm()
    if request.method == 'POST':
        name = strlower(form.username.data)
        session['name'] = name
        user = User.query.filter_by(username=name).first()
        if user is None or not user.check_password(form.password.data):
            flash('Invalid username or password')
            return redirect(url_for('login'))
        login_user(user, remember=form.remember_me.data)
        return redirect(url_for('index'))
    return render_template('login.html', title = 'login', form = form)

@app.route('/logout')
def logout():
    logout_user()
    return redirect('/index')

@app.route('/change', methods = ['GET', 'POST'])
def change():
    if not current_user.is_authenticated:
        return redirect(url_for('login'))
    form = NewpasswordForm()
    if request.method == 'POST':
        name = strlower(session['name'])
        user = User.query.filter_by(username=name).first()
        user.set_password(form.newpassword.data)
        db.session.commit()
        flash('change successful')
        return redirect(url_for('index'))
    return render_template('change.html', title = 'change', form = form)

@app.route('/edit', methods = ['GET', 'POST'])
def edit():
    if request.method == 'POST':
        
        flash('post successful')
        return redirect(url_for('index'))
    return render_template('edit.html', title = 'edit')

@app.errorhandler(404)
def page_not_found(error):
    title = unicode(error)
    message = error.description
    return render_template('errors.html', title=title, message=message)

def strlower(username):
    username = nodeprep.prepare(username)
    return username

开头看到

app.route('/')
@app.route('/index')
def index():
    return render_template('index.html', title = 'hctf')

说明用了模板渲染,用的是index.html,查看index.html的代码:

{% include('header.html') %}
{% if current_user.is_authenticated %}
<h1 class="nav">Hello {{ session['name'] }}</h1>
{% endif %}
{% if current_user.is_authenticated and session['name'] == 'admin' %}
<h1 class="nav">hctf{xxxxxxxxx}</h1>
{% endif %}
<!-- you are not admin -->
<h1 class="nav">Welcome to hctf</h1>

{% include('footer.html') %}

显示flag的条件是:
current_user.is_authenticated and session[‘name’] == ‘admin’
session的那么需要修改,当前的用户还需要得到授权,当然admin用户是有授权的。

2、flask session伪造

关于flask,我们知道flask 的session是存在于客户端(浏览器)的cookie中的,我们在请求头中可以看到,而在安全方面,flask对数据仅仅是进行了签名,防止数据被篡改,但是数据仍然可以被读取。

而用户的身份信息在也存在于session中,可以对session进行修改来达到伪造身份的目的。

我们需要的是对session进行加解密来进行session修改。
拿到session:

.eJw9UE2LwkAM_StLzh7aai8FDy61RSFTWkZK5iLdWrWZGReqUjvif9_BBQ8hHy95vJcn7I9Ddz1Dchvu3Qz2_QGSJ3z9QAIqVRplG2IuWMhTKPJ1QFFmyZUPJTNDvBlVWjE51WMquEg3C5GXC-F0hLyKKSpjvxsTn-YojcY60ySFRda-1zFamitJI6Y4Vz78zVjk1ZlYGcVrz91Ofh4p1hNFgol3EzpfOQqFax_E31qkqxHrzRJeM2ivw3F_-9Xd5WMB2ZxJZqzs1svDgNzW-ByRPFgvpfcWAuI2RlcGoq50IZWhcvmm621z6j5McndbVOM_cmmsB6BpYAb3aze8nwZhAK8_y-pr_w.XYzBwA.8riiXn6Rgx5ONsRDxM5CJMp_9r8

然后进行解密:
在这里插入图片描述解密之后的session结构就是:

{’_fresh’: True, ‘_id’: b’d6d1750cc5854a4cafc41e1eb20d4cc6b03c8284d8796209cd9c49b8719d1ada3f2971992f7e60037d372008dab6ef10d72d36f92cccb52366765771b0d4001b’, ‘csrf_token’: b’29aa1cfbc834c2e836a7fa3bb24b793445dd96ea’, ‘image’: b’MKxG’, ‘name’: ‘aa’, ‘user_id’: ‘10’}

然后把name修改为admin再进行加密:
在这里插入图片描述然后把session修改为我们伪造的加密结果:
在这里插入图片描述然后就拿到flag了。

大千SS
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HCTF2018逆向LuckyStar分析
11-12
HCTF2018逆向LuckyStar分析HCTF2018逆向LuckyStar分析
[HCTF 2018]admin
weixin_47813861的博客
09-21 188
随便点点,发现存在登录、注册、修改密码等功能。注册后进入修改密码界面查看源码, 是个flask框架。flask是个非常轻量级的框架,可能会运行在没有文件系统管理和数据库的环境之下,因此会无法避免的出现客户端session的问题。 基于客户端session的解 P神关于客户端session漏洞的博客 在传统PHP开发中,$_SESSION变量的内容默认会被保存在服务端的一个文件中,通过一个叫“PHPSESSID”的Cookie来区分用户。这类session是“服务端session”,用户看到的只是se.
[HCTF 2018]admin三种解法
u011250160的博客
12-14 5707
打开题目有两个选项以及一个提示信息 判断我们是要以admin的身份登录 这样的话肯定是对login页面进行一番鼓捣 先弱口令爆破一波,因为是个弱口令(123),爆破也能爆破出来 然后这个题就结束了(太tm出乎意料了)… 弱口令不行的话就试试sql注入以及ssti注入 尝试抓包修改自己的角色(实战中真碰到过) 以上就是常规思路 当然这个题不该设个弱口令在那 看下其他的解法 解法一:session伪造 随便注册个账号登录发现新大陆 在change password页面源码发现源码 去github下载源码
HCTF2018-admin
热门推荐
迷风小白
09-11 1万+
前言 在BUUCTF上看到这题存在三种解法,感觉比较经典,就想着来复现一下顺便学习一波。存在以下三种解法: flask session 伪造 unicode欺骗 条件竞争 审题 拿到题目发现一共就登录注册两个功能,随便注册一个test/test用户 登录之后查看源码发现提示<!-- you are not admin -->,根据提示和题目名估计要让我们登录admin用户就可以得...
开发工具 sb-admin-2
05-31
开发工具 sb-admin-2开发工具 sb-admin-2开发工具 sb-admin-2开发工具 sb-admin-2开发工具 sb-admin-2开发工具 sb-admin-2开发工具 sb-admin-2开发工具 sb-admin-2开发工具 sb-admin-2开发工具 sb-admin-2开发工具 ...
dubbo-admin部署亲测
11-25
最近学习dubbo下载了好多都不靠谱,自己下载源码后打包的一个比较好用,希望大家可以有用,访问地址:http://localhost:8080/dubbo-admin-2.5.8
dubbo-admin
02-08
【标题】"dubbo-admin" 是 Dubbo 项目中的一个组件,它是一个基于 Dubbo 框架的管理控制台,用于监控和服务治理。Dubbo 是阿里巴巴开源的高性能、轻量级的服务框架,广泛应用于微服务架构中。dubbo-admin 提供了图形...
HCTF 2018]admin
cainiao17441898的博客
05-14 223
打开网址发现有这个界面,查看下源码。
BUUCTF-[HCTF 2018]admin1
Monica的博客
11-15 7120
题目 分析 打开环境,页面啥也没有,日常查看源代码 提示说你不是admin,所以这题可能是我们为admin才可以得到flag 在login页面找到登录框 刚开始以为是sql注入,直接万能密码;结果试了几种方法发现不是报错就是提示用户名密码错误 ...
[HCTF 2018]admin 1
qq_43618536的博客
07-02 540
BUUCTF的[HCTF 2018]admin 1
[HCTF 2018]admin 1(四种解法!)
m0_73734159的博客
11-13 1556
好,这就简单了,admin用户存在,但是不清楚admin用户的密码。输入admin用户-密码任意比如说1-登录-并使用burp进行抓包。不过话说回来,还是不应该投机取巧,咱们按照正常步骤走一遍。Start attack开始爆破。显示admin用户已经被注册了。光标选中1,Add添加即可。先注册一个admin用户。Intruder送去爆破。得到admin用户的密码。进去login登陆界面。有登录和注册两个按钮。
buuctf学习记录-crypto(001-010)
龟速更新的九某人
07-27 1393
buuctf学习记录-crypto:001 看我回旋踢;002 变异凯撒;003 Url编码;004 传感器;005 robomunication;006 MD5;007 Quoted-printable;008丢失的MD5;009 传统知识+古典密码;010 password
web buuctf [HCTF 2018]admin1
weixin_44214568的博客
03-13 2884
查看首页源代码,有注释 <!-- you are not admin --> 考虑这道题很有可能是用admin或者伪造admin进行登录, 用admin进行登录,随便填写密码进不去,发现页面有注册选项,用admin注册提示已经被注册 方法一:burp爆破 进入登录界面,用户名输admin,密码随便填,抓包对密码进行爆破; 爆破之后,提示429和302,可以看一下429的response,提示的是太多请求的问题, 更改options中的选项 控制数据量,我因为正.
[HCTF 2018]admin (三种解法详细详解)
记录学习,一起进步
01-17 2398
[HCTF 2018]admin
HCTF
weixin_30550081的博客
12-02 511
题目:魂斗罗 介绍:这个是HCTF里面的杂项,很好玩的, 1,这个看链接可以下载(http://139.224.54.27/gogogo/hundouluo.nes),然后在网上下载一个虚拟器(http://pan.baidu.com/share/link?shareid=3495699238&uk=1343756656)。 2,这个游戏你有两种玩法,第一种就是你自己凭本事过关,第二...
CTF刷题记录-web系列-[HCTF 2018]admin1(简单方法)
最新发布
m0_53669634的博客
03-16 667
点击Payloads,Payload Type选择Simple list,点击导入字典下方load导入字典,导入后选择最上方start attack开始爆破。首先尝试sql注入,没有人任何反应,尝试登录显示密码错误,根据题目名称admin,想到需要登录admin用户,通过burpsuite抓包尝试暴力破解。先点击Clear $,然后密码部分选中,点击右边Add$,其中原理就是对添加$了的部分进行猜解,并多次提交,直至出现最后正确密码。优点:操作简单,针对简单密码,很容易获得。发送到Intruder。
vue-admin-template和vue-element-admin
09-13
vue-admin-template和vue-element-admin是两个不同的项目。 vue-admin-template是一个基于vue-element-admin的后台管理系统基础模板,可以作为模板进行二次开发。它提供了一个简洁的基础框架,适合用于中小型后台...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值