Virtua1's blog

HGAME 2019 Week4

字数统计: 130阅读时长: 1 min
2019/02/25 Share

HGAME 2019 Week4

1、happyPython

看到题目打开发现是flask框架,首先想到的模板注入,注册并登陆发现user处存在模板注入。

首先测试发现确实存在模板注入,先查看下配置,发现了一个可疑的密码:

结合flask框架,查阅资料发现是与flask框架的session有关,拿到session解一下:

发现 user_id=16,猜测应该让user_id=1,然后管理员得到flag
用同样的密钥加密得到session:

修改cookie得到flag:

CATALOG
  1. 1. HGAME 2019 Week4
    1. 1.1. 1、happyPython