[陇剑杯 2021] jwt 刷题记录

文章目录

  • jwt
    • jwt(问1)
    • jwt(问2)
    • jwt(问3)
    • jwt(问4)
    • jwt(问5)
    • jwt(问6)


jwt

jwt(问1)

将捕获的流量中的POST请求追踪一下

POST /identity HTTP/1.1
Host: 192.168.2.197:8081
Connection: keep-alive
Content-Length: 29
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: http://192.168.2.197:8081
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.107 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Referer: http://192.168.2.197:8081/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: PHPSESSID=3f8coeg6hm9vf0h5lcoifmk8o5

username=admin&identity=adminGET /exec HTTP/1.1

在响应里可以发现cookie处存在身份验证,格式为JWT
flag即为NSSCTF{JWT}

jwt(问2)

已经知道第一问cookie处身份验证为JWT加密
直接丢到在线网站
[陇剑杯 2021] jwt 刷题记录_第1张图片
id和username分别为10086,admin
但是这里提交上去发现不对
回到wireshark,按时间排序拖到最下面,再次追踪http
发现token值变了,复制解码,得到id为10087
[陇剑杯 2021] jwt 刷题记录_第2张图片

jwt(问3)

直接追踪TCP流,一个个找
发现在第29个流出现whoami,然后查看响应得到答案为root权限
[陇剑杯 2021] jwt 刷题记录_第3张图片

jwt(问4)

追踪tcp流,在第十三个流发现有base64编码的命令执行
这个命令的作用是将经过Base64编码的C代码解码并保存到 /tmp/1.c 文件中
[陇剑杯 2021] jwt 刷题记录_第4张图片如果看不懂,可以丢到gpt
也可以查看下一个流验证
[陇剑杯 2021] jwt 刷题记录_第5张图片

jwt(问5)

追踪TCP流,发现ls目录时有个so文件,即为答案[陇剑杯 2021] jwt 刷题记录_第6张图片

jwt(问6)

往后翻,在第26个流中找到该命令

[陇剑杯 2021] jwt 刷题记录_第7张图片

所以修改的路径为/etc/pam.d/common-auth

你可能感兴趣的:(刷题记录,MISC,web安全)