code-breaking picklecode中对signed_cookies引擎分析
最近做了 ph 牛的 code-breaking,在做 picklecode 这一题时,没有搞懂那个 django 的 signed_cookies 引擎对 session 的操作,就 debug 了一下,做个总结,算是做了个代码审计吧
原文 : https://xz.aliyun.com/t/6265
0x01 获取 session_auth_hash
题目 : https://github.com/phith0n/code-breaking/tree/master/2018/picklecode
django 使用的 SESSION_ENGINE 为
django.contrib.sessions.backends.signed_cookies
pycharm 开启 debug 模式,username 为 peri0d,password 为 123456
入口文件在
views.py
,第 34 行新建了用户并对密码进行了加密。第 35 行调用auth_login()
函数,跳转到auth\__init__.py
的login()
方法第 97 行,调用
user
类的get_session_auth_hash()
方法来获取session_auth_hash
的值,跟进get_session_auth_hash()
给
key_salt
赋值后调用salted_hmac(key_salt, self.password)
生成session_auth_hash
,这里的password
是经过加密的,跟进salted_hmac()
在第 39 行对
key_salt + secret
进行 sha1 加密并以 byte 类型返回给key
。这里的value
是经过加密后的password
。然后调用hmac.new()
返回一个 sha1 模式的hmac
对象流程梳理
key_salt = '***'
# SECRET_KEY
secret = '******'
key = hashlib.sha1(key_salt + secret).digest()
sha1_obj = hmac.new(key, msg=password_enc, digestmod=hashlib.sha1)
session_auth_hash = sha1_obj.hexdigest()
0x02 初始化 sessionid
获取
session_auth_hash
后,单步调试,进入base.py
执行__contains__()
函数,参数为_auth_user_id
单步调试,然后执行
_get_session()
函数,返回缓存 session,是一个空字典在第 108 行执行
cycle_key()
,使用新密钥保存相同的数据,调用save()
,它在请求结束时自动保存一个带有新密钥的 cookie 。跟进
save()
,在第 41 行执行_get_session_key()
,生成一个 base64 编码后的字符串作为session key
,继续跟进,它又调用了signing.dumps()
然后单步调试进入到
_get_session()
方法获取self._session
,从缓存中加载 session,此时为一个空字典,即self._session == {}
然后分别给 compress,salt,serializer 赋值,然后调用
signing.dumps()
,继续跟进,传入的参数obj = {}, salt = 'django.contrib.sessions.backends.signed_cookies', compress = True
在
signing.dumps()
中对序列化之后的数据进行压缩,然后进行 base64 编码,再decode()
为一个 Unicode 的base64d
,其值为'gAN9cQAu'
,最后调用TimestampSigner
类的sign()
方法,继续跟进TimestampSigner
类继承自Signer
类,先调用它的__init__
方法进行初始化,key = 'zs%o-mvuihtk6g4pgd+xpa&1hh9%&ulnf!@9qx8_y5kk+7^cvm', sep = ':', salt = 'django.contrib.sessions.backends.signed_cookies'
然后调用
TimestampSigner
类的sign()
方法,根据value='gAN9cQAu'
,sep
和timestamp()
对value
进行重新赋值,其值为'gAN9cQAu:1i5q6e'
,然后再次在Signer.sign()
中重新赋值,得到最后结果'gAN9cQAu:1i5q6e:wjJR2MUONx_wmPA3m8zYqTj5uCQ
回到
save()
,继续单步调试,调用了base.py
中第 170 行的_set_session_key()
方法,将value
赋值给session_key
和_session_key
回到
save()
,完成赋值,回到cycle_key()
,再回到auth\__init__.py
的login()
方法的第 108 行,这时可以在变量列表看到设置的 session 信息了后面的代码是 django 对用户的持久化处理以及对 CSRF token 的验证等等,值得注意的是在第 126 行到 128 行,进行了 session 设置
流程梳理
_session = {}
# SECRET_KEY
secret = '******'
salt='****' data = serializer().dumps(_session)
compressed = zlib.compress(data)
base64d = b64_encode(data).decode() session_key = TimestampSigner(SECRET_KEY, salt=salt).sign(base64d)
0x03 response 写入 session
然后看它如何在 response 中设置 cookie 的,继续调试,在
contrib\sessions\middleware.py
中发现其对 cookie 的操作,从 44 行开始是设置 cookie 的存活时间,在第 58 行看到了save()
函数,进行 cookie 的保存,单步调试进入在 save() 函数中,调用
_get_session_key()
函数,剩下的反序列化和前面的相同,只是 session 的值发生了改变,从空字典变为含有 3 个元素的字典,然后就是将 cookie 设置在返回包中,这就完成了 cookie 设置的分析
0x04 总结
总结一下,它对 session 处理的核心机制在于
django.core.signing.dumps()
函数,其具体代码如下,可以看到,data
为 pickle 序列化之后的 byte 对象,我们只要将data
改为构造好的 evil pickle code 即能实现任意的代码执行def dumps(obj, key=None, salt='django.core.signing', serializer=JSONSerializer, compress=False): data = serializer().dumps(obj) is_compressed = False if compress:
compressed = zlib.compress(data)
if len(compressed) < (len(data) - 1):
data = compressed
is_compressed = True
base64d = b64_encode(data).decode()
if is_compressed:
base64d = '.' + base64d
return TimestampSigner(key, salt=salt).sign(base64d)
code-breaking picklecode中对signed_cookies引擎分析的更多相关文章
- jQuery中的Sizzle引擎分析
我分析的jQuery版本是1.8.3.Sizzle代码从3669行开始到5358行,将近2000行的代码,这个引擎的版本还是比较旧,最新的版本已经到v2.2.2了,代码已经超过2000行了.并且还有个 ...
- MySQL中innodb引擎分析(初始化)
MySQL的存储引擎是以插件形式工作的,这应该是MySQL的一大特色了吧! 依据<深入理解MySQL>的内容,5.1版本号时存储引擎的插件化都还不是彻底,确切的说是刚加入的特性.为MySQ ...
- 【原】 Spark中Worker源码分析(二)
继续前一篇的内容.前一篇内容为: Spark中Worker源码分析(一)http://www.cnblogs.com/yourarebest/p/5300202.html 4.receive方法, r ...
- 在QT中使用Irrlicht引擎的方法与步骤
Ø 相关库,插件安装部分 本篇文档介绍在Qt5.2.0下面使用lrrlicht引擎在Qt窗口中输出(开发环境:vs2012) 1. 首先安装好Qt5.2.0,下载地址: http://downlo ...
- Express ( MiddleWare/中间件 路由 在 Express 中使用模板引擎 常用API
A fast, un-opinionated, minimalist web framework for Node.js applications. In general, prefer simply ...
- MySql中innodb存储引擎事务日志详解
分析下MySql中innodb存储引擎是如何通过日志来实现事务的? Mysql会最大程度的使用缓存机制来提高数据库的访问效率,但是万一数据库发生断电,因为缓存的数据没有写入磁盘,导致缓存在内存中的数据 ...
- equals和==方法比较(二)--Long中equals源码分析
接上篇,分析equals方法在Long包装类中的重写,其他类及我们自定义的类,同样可以根据需要重新equals方法. equals方法定义 equals方法是Object类中的方法,java中所有的对 ...
- AI框架中图层IR的分析
摘要:本文重点分析一下AI框架对IR有什么特殊的需求.业界有什么样的方案以及MindSpore的一些思考. 本文分享自华为云社区<MindSpore技术专栏 | AI框架中图层IR的分析> ...
- 实时营销引擎在vivo营销自动化中的实践 | 引擎篇04
作者:vivo 互联网服务器团队 本文是<vivo营销自动化技术解密>的第5篇文章,重点分析介绍在营销自动化业务中实时营销场景的背景价值.实时营销引擎架构以及项目开发过程中如何利用动态队列 ...
随机推荐
- 大型Java进阶专题(五) 设计模式之单例模式与原型模式
前言 今天开始我们专题的第四课了,最近公司项目忙,没时间写,今天抽空继续.上篇文章对工厂模式进行了详细的讲解,想必大家对设计模式合理运用的好处深有感触.本章节将介绍:单例模式与原型模式.本章节参考 ...
- 用python的BeautifulSoup分析html
序言 之前用python爬取网页的时候,一直用的是regex或者自带的库sgmllib里的SGMLParser.但是遇到复杂一点的情况时,SGMLParser往往就不那么给力了!(哈,难道说我 too ...
- Apache服务器故障排除攻略
Apache服务器故障排除攻略 应用服务器Apache浏览器配置管理网络应用 随着网络技术的普及.应用和Web技术的不断完善,Web服务已经成为互联网上重要的服务形式之一.原有的客户端/服务器模式正 ...
- go语言系列-从零到数据类型的基本介绍
视频资源:b站UP主v若水若水的尚硅谷go视频 不动笔墨不读书 ,虽然我有全套视频和笔记 还是自己动点笔墨 因为在19年下半年大致学过go语言 所以这么计划:一个星期拿下基础 一个星期拿下框架 两个星 ...
- Java序列化机制剖析
本文转载自longdick的博文<Java序列化算法透析>,原文地址:http://longdick.iteye.com Java序列化算法透析 Serialization(序列化)是一种 ...
- iOS, Xcode11,项目提示第三方库报错无法运行 bundle format unrecognized, invalid, or unsuitable
检查你有没有把静态库和动态库配置错误!! 下图处是配置动态库的地方! 对于动态库和静态库都有使用的时候,注意把静态库设置成“Do not Embeded”
- LeetCode | 289. 生命游戏(原地算法/位运算)
记录dalao的位运算骚操作 根据百度百科 ,生命游戏,简称为生命,是英国数学家约翰·何顿·康威在 1970 年发明的细胞自动机. 给定一个包含 m × n 个格子的面板,每一个格子都可以看成是一个细 ...
- Java调用ARM模板执行Azure Rest建立VM过程
Azure Resource Manager 提供一致的管理层,用于管理通过 Azure PowerShell.Azure CLI.Azure 门户.REST API 和开发工具执行的任务,所有工具使 ...
- USB2.0/YTPE-C音频芯片DP108T集成晶振替代DP108 CM108
DP108T是一种高集成度的USB/YTPE-C音频芯片.嵌入了所有必要的模拟模块,包括双DAC 和音频驱动.麦克风增益器 .PLL.稳压器和 USB 收发器.此外,音频音量可以很容易地通过专门的 H ...
- 中阶 d06 http协议与servlet
* 什么是协议 > 双方在交互.通讯的时候, 遵守的一种规范.规则. * http协议 > 针对网络上的客户端 与 服务器端在执行http请求的时候,遵守的一种规范. 其实就是规定了客户端 ...