[HCTF 2018]admin——Unicode欺骗

[HCTF 2018]admin——Unicode欺骗

F12查看源代码

<!-- you are not admin -->

猜测获取flag的条件是以admin的身份登录

注册账号登入后,在重置密码页面发现提示

[HCTF 2018]admin——Unicode欺骗

下载源码后,查看一下路由,登录,改密码,退出,注册等等,也没做什么处理

@app.route('/index')
def index():
​
@app.route('/register', methods = ['GET', 'POST'])
def register():
​
@app.route('/login', methods = ['GET', 'POST'])
def login():
​
@app.route('/logout')
def logout():
​
@app.route('/change', methods = ['GET', 'POST'])
def change():
​
@app.route('/edit', methods = ['GET', 'POST'])
def edit():

但是在route.py内,不管是login、register还是change页面都发现了一个问题

仔细去看代码,发现这样一句

[HCTF 2018]admin——Unicode欺骗

[HCTF 2018]admin——Unicode欺骗[HCTF 2018]admin——Unicode欺骗

strlower会将所有字母转化为小写,但是python内自带转换小写的lower()函数,这里为什么需要特地构造一个strlower?

在关于strlower函数的定义里用到了,nodeprep.prepare函数

def strlower(username): username = nodeprep.prepare(username) return username

对于nodeprep.prepare函数,需要在twisted库下使用,到目前已经更新到了21.2.0(21/10/16),而题目使用的是10.2.0的,对已经有了更高版本,一般会存在一定的漏洞

就像PHP版本一样,低版本的也存在各种各样的漏洞

查看一下关于这个函数的漏洞,这里存在unicode编码的一个问题【ᴀʙᴄᴅᴇꜰɢʜɪᴊᴋʟᴍɴᴏᴘʀꜱᴛᴜᴠᴡʏᴢ

https://unicode-table.com/en/blocks/phonetic-extensions/

当使用了nodeprep.prepare()函数之后,如果先使用unicode编码的字符,如 ᴬ ,使用该函数之后,会先改为大写的A,再使用一次就会变成小写的a。

步骤:

首先使用 ᴬdmin这个用户名进行注册 ,注册之后,进去就会变成 Admin

[HCTF 2018]admin——Unicode欺骗

登录ᴬdmin用户

[HCTF 2018]admin——Unicode欺骗

然后改密码,随便改一个密码,改密码之后,再次经过nodeprep.prepare()函数,就可以将username变成admin了

[HCTF 2018]admin——Unicode欺骗

最后退出,重新以admin的身份进行登录,即刻得到flag

[HCTF 2018]admin——Unicode欺骗

上一篇:python实现 | 自适应大邻域搜索算法(ALNS)解决TSP问题


下一篇:Vue路由管理及传参