はまやんはまやんはまやん

hamayanhamayan's blog

Empire3 [picoCTF 2019 Web 500]

https://ctftime.org/task/9490

前提知識

  • SQLi
  • Flaskのセッション偽装

解説

今までの脆弱性は塞がれている。
Cookieにあるセッション情報を復元してみると、user_idが変更できそう。
ここに再署名のやり方が書いてある。
{{ config.items() }}とTODOに入れて、秘密鍵を手に入れて、user_idを2に変更して再署名しよう。
これでセッションが偽装できるので、クッキーにいれたらフラグがTODOリストに入っている。
(なお、user_id=1には入ってない)