最近做了 ph 牛的 code-breaking，在做 picklecode 这一题时，没有搞懂那个 django 的 signed_cookies 引擎对 session 的操作，就 debug 了一下，做个总结，算是做了个代码审计吧

0x01 获取 session_auth_hash

• 题目 : https://github.com/phith0n/code-breaking/tree/master/2018/picklecode

• django 使用的 SESSION_ENGINE 为 django.contrib.sessions.backends.signed_cookies

• pycharm 开启 debug 模式，username 为 peri0d，password 为 123456

• 入口文件在 views.py，第 34 行新建了用户并对密码进行了加密。第 35 行调用 auth_login() 函数，跳转到 auth\__init__.py 的 login() 方法

  

• 第 97 行，调用 user 类的 get_session_auth_hash() 方法来获取 session_auth_hash 的值，跟进 get_session_auth_hash()

  

• 给 key_salt 赋值后调用 salted_hmac(key_salt, self.password) 生成 session_auth_hash，这里的 password 是经过加密的，跟进 salted_hmac()

  

• 在第 39 行对 key_salt + secret 进行 sha1 加密并以 byte 类型返回给 key。这里的 value 是经过加密后的 password。然后调用 hmac.new()返回一个 sha1 模式的 hmac 对象

  

• 流程梳理

  key_salt = '***'
  # SECRET_KEY
  secret = '******'
  key = hashlib.sha1(key_salt + secret).digest()
  sha1_obj = hmac.new(key, msg=password_enc, digestmod=hashlib.sha1)
  session_auth_hash = sha1_obj.hexdigest()
  

0x02 初始化 sessionid

• 获取 session_auth_hash 后，单步调试，进入 base.py 执行 __contains__() 函数，参数为 _auth_user_id

  

• 单步调试，然后执行 _get_session() 函数，返回缓存 session，是一个空字典