最近做了 ph 牛的 code-breaking,在做 picklecode 这一题时,没有搞懂那个 django 的 signed_cookies 引擎对 session 的操作,就 debug 了一下,做个总结,算是做了个代码审计吧

0x01 获取 session_auth_hash

  • 题目 : https://github.com/phith0n/code-breaking/tree/master/2018/picklecode

  • django 使用的 SESSION_ENGINE 为 django.contrib.sessions.backends.signed_cookies

  • pycharm 开启 debug 模式,username 为 peri0d,password 为 123456

  • 入口文件在 views.py,第 34 行新建了用户并对密码进行了加密。第 35 行调用 auth_login() 函数,跳转到 auth\__init__.pylogin() 方法

  • 第 97 行,调用 user 类的 get_session_auth_hash() 方法来获取 session_auth_hash 的值,跟进 get_session_auth_hash()

  • key_salt 赋值后调用 salted_hmac(key_salt, self.password) 生成 session_auth_hash,这里的 password 是经过加密的,跟进 salted_hmac()

  • 在第 39 行对 key_salt + secret 进行 sha1 加密并以 byte 类型返回给 key。这里的 value 是经过加密后的 password。然后调用 hmac.new()返回一个 sha1 模式的 hmac 对象

  • 流程梳理

    key_salt = '***'
    # SECRET_KEY
    secret = '******'
    key = hashlib.sha1(key_salt + secret).digest()
    sha1_obj = hmac.new(key, msg=password_enc, digestmod=hashlib.sha1)
    session_auth_hash = sha1_obj.hexdigest()
    

0x02 初始化 sessionid

  • 获取 session_auth_hash 后,单步调试,进入 base.py 执行 __contains__() 函数,参数为 _auth_user_id

  • 单步调试,然后执行 _get_session() 函数,返回缓存 session,是一个空字典

点击收藏 | 0 关注 | 1
  • 动动手指,沙发就是你的了!
登录 后跟帖