[陇剑杯 2021] jwt 刷题记录

---

jwt

jwt（问1）

将捕获的流量中的POST请求追踪一下

POST /identity HTTP/1.1
Host: 192.168.2.197:8081
Connection: keep-alive
Content-Length: 29
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: http://192.168.2.197:8081
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.107 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Referer: http://192.168.2.197:8081/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: PHPSESSID=3f8coeg6hm9vf0h5lcoifmk8o5

username=admin&identity=adminGET /exec HTTP/1.1

在响应里可以发现cookie处存在身份验证，格式为JWT
flag即为NSSCTF{JWT}

jwt（问2）

已经知道第一问cookie处身份验证为JWT加密
直接丢到在线网站

id和username分别为10086，admin
但是这里提交上去发现不对
回到wireshark，按时间排序拖到最下面，再次追踪http
发现token值变了，复制解码，得到id为10087

jwt（问3）

直接追踪TCP流，一个个找
发现在第29个流出现whoami，然后查看响应得到答案为root权限

jwt（问4）

追踪tcp流，在第十三个流发现有base64编码的命令执行
这个命令的作用是将经过Base64编码的C代码解码并保存到 /tmp/1.c 文件中
如果看不懂，可以丢到gpt
也可以查看下一个流验证

jwt（问5）

追踪TCP流，发现ls目录时有个so文件，即为答案

jwt（问6）

往后翻，在第26个流中找到该命令

所以修改的路径为/etc/pam.d/common-auth