BUUCTF刷题记录[RootersCTF2019]ImgXweb——JWT验证问题

BUUCTF刷题记录[RootersCTF2019]ImgXweb——JWT验证问题_第1张图片

BUUCTF刷题记录[RootersCTF2019]ImgXweb——JWT验证问题_第2张图片

根据题目,进行用户注册:

BUUCTF刷题记录[RootersCTF2019]ImgXweb——JWT验证问题_第3张图片

登录注册账号1111,密码1111,进行抓包

BUUCTF刷题记录[RootersCTF2019]ImgXweb——JWT验证问题_第4张图片

        我们可以发现,session_id符合JWT模式,断定非upload上传漏洞,根据 session_id=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyIjoiMTExMSJ9.11KovmFggafMdmrs-Nre6A7kCc0SZZTw-srfpFBTMd4,我们可以将这分成三个部分,headers,payload,signature:

        headers:eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

headers使用64base解码后为:{"typ":"JWT","alg":"HS256"}

        payload:eyJ1c2VyIjoiMTExMSJ9

payload使用64base解码后为:{"user":"1111"}

        signature:11KovmFggafMdmrs-Nre6A7kCc0SZZTw-srfpFBTMd4,第三段signature(签证)部分,看大佬的文章Python - 解析jwt - 码农教程发现应该这个现在得到的第三段,应该是作者把前两段的base密文通过.拼接起来,然后对其进行HS256加密。

        HMACSHA256(参数1+"."+参数2,参数3),如下图:

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  your key
) 

        再然后对hs256密文进行base64url加密,最终得到token的第三段。

        我们现在需要以admin的身份登录进去,把{"user":"1111"}改为{"user":"admin"},但是我们还不知道第三段signature(签证)部分的参数3,就是your key,所以需要去网站目录下进行扫描,看看有没有相关信息。

        按照常规的网站目录,后面拼接robots.txt,发现secretkey路径

BUUCTF刷题记录[RootersCTF2019]ImgXweb——JWT验证问题_第5张图片        拼接该路径,得到your key

BUUCTF刷题记录[RootersCTF2019]ImgXweb——JWT验证问题_第6张图片

        现在所有的参数都已经找齐,我们需要组成admin的session_id,运行以下py

import jwt
import datetime
from jwt import exceptions

SALT = 'you-will-never-guess'


def create_token():

 headers = {"typ":"JWT","alg":"HS256"}

 payload = {"user": "admin"}
 result = jwt.encode(payload=payload,key=SALT,algorithm='HS256',headers=headers)
 return result


if __name__ == '__main__':
 token = create_token()
print(token)

得到新的session_id:eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyIjoiYWRtaW4ifQ.g_lGU4qTO2VhNrZK9k460xz828GcqKBayZPcmLmhUqEBUUCTF刷题记录[RootersCTF2019]ImgXweb——JWT验证问题_第7张图片

然后进行bp抓包,修改session_id,进行发送

BUUCTF刷题记录[RootersCTF2019]ImgXweb——JWT验证问题_第8张图片

我们可以看到,网页跳转至admin登录界面:

BUUCTF刷题记录[RootersCTF2019]ImgXweb——JWT验证问题_第9张图片

这时候需要右键,选择flag.png。复制图像地址,将图片进行下载,使用二进制打开文件,进行打开flag.png,即可得到flag:

BUUCTF刷题记录[RootersCTF2019]ImgXweb——JWT验证问题_第10张图片

flag{21f9295a-f31a-4cc5-9744-71243c53fbbd}

你可能感兴趣的:(web安全,python)