[2021首届“陇剑杯”网络安全大赛] jwt

题目描述
昨天，单位流量系统捕获了黑客攻击流量，请您分析流量后进行回答：
1.该网站使用了__jwt__认证方式。（如有字母请全部使用小写）
2.黑客绕过验证使用的jwt中，id和username是__10087#admin__。（中间使用#号隔开，例如1#admin）
3.黑客获取webshell之后，权限是___root__？
4.黑客上传的恶意文件文件名是____1.c_____。(请提交带有文件后缀的文件名，例如x.txt)
5.黑客在服务器上编译的恶意so文件，文件名是_____looter.so____。(请提交带有文件后缀的文件名，例如x.so)
6.黑客在服务器上修改了一个配置文件，文件的绝对路径为_____/etc/pam.d/common-auth____。（请确认绝对路径后再提交）

[2021首届“陇剑杯”网络安全大赛] jwt

追踪http流，可以看到是jwt认证

搜whoami，看最后一个包，可以看到命令执行了，权限为root

https://jwt.io/解码得id和用户名

黑客曾jwt绕过登陆了id10086和10087的两个admin账号，10086没有权限执行whoami

whoami之后可以看到base64上传了一个c文件，接下来是ls命令，可以看到1.c


再向下看，looter.so为编译的恶意so文件

然后利用重定向重写配置文件/etc/pam.d/common-auth

/etc/pam.d/目录包含应用程序的PAM配置文件。