码迷,mamicode.com
首页 > 其他好文 > 详细

[HCTF 2018]admin

时间:2020-12-30 10:53:29      阅读:0      评论:0      收藏:0      [点我收藏+]

标签:conf   turn   end   data   config   脚本   nbsp   相同   item   

有两种解法①session伪造②unicode欺骗

1.session伪造

在注册时发现admin已经被注册了,我用的admie注册进入,f12看到注释提示不是管理员、

技术图片

 

 接着在change password页面看到提示

技术图片

 

 在index.html发现要将session与admin的session进行比较,相同则输出flag

技术图片

 

 

于是我们要进行session伪造,将我们的session伪造成admin的session

先用脚本看看session有什么内容

import sys
import zlib
from base64 import b64decode
from flask.sessions import session_json_serializer
from itsdangerous import base64_decode

def decryption(payload):
    payload, sig = payload.rsplit(b., 1)
    payload, timestamp = payload.rsplit(b., 1)

    decompress = False
    if payload.startswith(b.):
        payload = payload[1:]
        decompress = True

    try:
        payload = base64_decode(payload)
    except Exception as e:
        raise Exception(Could not base64 decode the payload because of 
                         an exception)

    if decompress:
        try:
            payload = zlib.decompress(payload)
        except Exception as e:
            raise Exception(Could not zlib decompress the payload before 
                             decoding the payload)

    return session_json_serializer.loads(payload)

if __name__ == __main__:
    print(decryption(sys.argv[1].encode()))

技术图片

 

 我们将nameadmie改成admin就可以了,利用脚本https://github.com/noraj/flask-session-cookie-manager可以进行伪造。

技术图片

 

 构造过程中 提示缺少secret key ,在源码config中可以找到secret key为ckj123

技术图片

 

 再次尝试,成功

技术图片

 

 将伪造成功的session用burp改包发送后,成功以admin身份登录

技术图片

 

 

2.unicode欺骗

原题WP对于这个做法没看太懂,简单写一下大致思路

在注册环节,网站会对username进行大小写转换,源码为

def strlower(username):
    username = nodeprep.prepare(username)
    return username

假如你注册ADMIN,那么它会转换成admin,然后判断该用户名已被注册。但是用一些特殊字符进行替换,比如????????????????????????,则是先转换为大写,在转换为小写。

然后我们的利用思路大致为:

  • 注册?dmin

  • ?dmin被替换为Admin

  • Admin修改密码,并被替换为admin

  • 登录admin,获取flag

技术图片

 

 技术图片

 

[HCTF 2018]admin

标签:conf   turn   end   data   config   脚本   nbsp   相同   item   

原文地址:https://www.cnblogs.com/chenxianz/p/14186348.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!