2020-数字中国创新大赛虎符网络安全赛道-Web-easy_login

最新推荐文章于 2024-06-15 17:56:42 发布
最新推荐文章于 2024-06-15 17:56:42 发布
阅读量4.6k 收藏
点赞数 1
分类专栏: CTFHUB 文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40872714/article/details/123782194
版权

2020-数字中国创新大赛虎符网络安全赛道-Web-easy_login

在这里插入图片描述
先注册一个账号
在这里插入图片描述
然后登录,抓包,可以看到authorization是jwt格式
在这里插入图片描述
解密发现就是我们的登录账号密码
在这里插入图片描述
登录之后点击get flag ,提示全权限拒绝
在这里插入图片描述
因为提示了是Node.js框架,关于权限的代码文件会在/controllers/api.js 可以看到 需要admin用户的权限
在这里插入图片描述
那么很明显我们需要修改自己的token进行权限绕过
不知道密钥,将加密方式改为none
在这里插入图片描述
修改secretid 为空,username为admin
在这里插入图片描述
组合为payload
ewogICJhbGciOiAibm9uZSIsCiAgInR5cCI6ICJKV1QiCn0.ewogICJzZWNyZXRpZCI6IFtdLAogICJ1c2VybmFtZSI6ICJhZG1pbiIsCiAgInBhc3N3b3JkIjogIjEyMzQ1NiIsCiAgImlhdCI6IDE2NDgzODc5MDIKfQ.

重新登录抓包,修改username和authorization
在这里插入图片描述
登录之后点击get falg 抓包,获得flag
在这里插入图片描述

swpu_jx_1998
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
虎符2020CTF web easylogin.pdf
04-20
虎符2020CTF web easylogin的wp,个人见解,还附上大佬的wp,免费提供给大家,我是难的又打字,所有就用PDF格式当作资源上传
虎符ctf web easy_login
weixin_43896279的博客
04-20 1975
虎符ctf web复现easy_login 我们可以先找到这样一个页面 我们可以看到这里明显提示 路径配置有问题 所以这里尝试读取一下app.js 这里我们分析一下逻辑,注册不能注册成admin, 但只有登录后session 中username为admin才可得到flag 所以这里我们伪造登录token 我们先注册一个账户发现会返回一个token 然后登录时token会作为验证 token为...
2020数字中国创新大赛虎符网络安全赛RE——game WP
辰星的博客
04-21 745
阅读字节码后,首先定义了三个列表,arr0,arr1,arr2。 主函数逻辑大致如下(伪代码形式给出): 获取输入,然后依次调用4个check函数对输入进行check,如果其中任何一个不通过,返回失败。 分别查阅4个check函数。4个函数翻译过后,整理出其关键运算处(用伪代码形式),推测出其作用。 check0:字符ASCII值必须在32~127即可打印字符 check1:长度校验,可以爆破得f...
easy_login通关思路
m0_61506558的博客
09-25 981
可以大致分为垂直越权,通过JWP令牌验证绕过的方式,最终拿到flag(一)环境准备。
2021数字中国创新大赛虎符网络安全赛-Writeup
末初的CSDN博客
04-04 4812
文章目录Web签到unsetme“慢慢做”管理系统Misc你会日志分析吗sectraffic Web 签到 http://cn-sec.com/archives/313267.html User-Agentt: zerodiumsystem("cat /flag"); unsetme 这题先放着 /?a=:[]);eval($_GET[1]);//&1=system(%27cat%20/flag%27); “慢慢做”管理系统 根据题目提示,这里第一步登录应该利用一些字符串被md5
2022数字中国创新大赛虎符网络安全赛道 初赛4道赛题 vdq-mva-fpbe-static.zip
04-22
2022数字中国创新大赛虎符网络安全赛道 初赛4道赛题 vdq-mva-fpbe-static
虎符科技网络安全通信服务三种解决方案推选PPT文档.ppt
10-27
虎符科技网络安全通信服务三种解决方案推选PPT文档.ppt
新锐 _ 虎符网络王伟alert7:人总是要挑战下自己的.pdf
09-18
新锐 _ 虎符网络王伟alert7:人总是要挑战下自己的 安全管理 安全意识教育 端点安全 数据分析 云安全
精美清明节介绍PPT模板.zip
07-15
更值棠棣连阴,虎符熊轼,夹河分守。况青云咫尺,朝暮重入承明后。看彩衣争献,兰羞玉酎。祝千龄,借指松椿比寿。 《宿紫阁山北村》——白居易 晨游紫阁峰,暮宿山下村。村老见余喜,为余开一尊。举杯未及饮,暴卒...
2021年安全比赛writeup总结
梦想闹钟
02-20 1635
360数字安全竞赛 恶意软件家族分类 本赛题的主要目标为恶意软件家族分类,赛题数据集包含了来自10个恶意软件家族,10000多个恶意软件的PE文件(No header)和使用IDAPro生成的asm文件。赛题采用多分类对数损失函数logloss对结果进行评价 样本存在种类分布不均,大小不一的特点,如其中7,8,9类占的比例较大 **第二名解法: https://mp.weixin.qq.com/s/q0ScSZyXFK8XLgMTBU9k5g** 特征选择:提取了字节直方图、字节熵直方图、字符串信息等静态
虎符CTF2022 handle - MISC
weixin_45760568的博客
03-23 4366
虎符CTF2022 | MISC | handle (2022数字中国创新大赛虎符网络安全赛道) Part of 【COMPASS CTF】 WriteUp by Frankss@COMPASS handle (二血 909pt) 思路 (隔壁某show平台上周刚做过某套神类似的题,于是很快就把字典搞出来了,但是交互写了很久丢掉了一血) 思路就是找一个有优势的固定词开头,然后根据返回结果分枝(枝),根据不同枝选择不同的尝试(剪枝),这样接下来要处理的重复量就少很多,重复这个过程两次,几乎每一个可能的词都
CTFHUB-2020-虎符-Web-easy_login-Node.js-前端JWT
(∪.∪ )...zzz的博客
06-14 834
登录安全-伪造admin实现getflag easy_login 输入用户名密码注册,在这个时候抓包 {"token":"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzZWNyZXRpZCI6MCwidXNlcm5hbWUiOiJhIiwicGFzc3dvcmQiOiJhIiwiaWF0IjoxNjIzNjAyMTgwfQ.VwHlxVpIwoAp8b5NrGjbN56rsZ3IDrt5N9i66aXSYTE"} 获取flag 涉及到权限/controllers
2022虎符线上团队赛 有关web的部分题解(持续更新)
weixin_51458899的博客
03-23 4139
ezphp 可以参考jacko大神的虎符CTF (wolai.com) 题目是与p神之前的博客相似: 我是如何利用环境变量注入执行任意命令 | 离别歌 (leavesongs.com) 可惜题目相同环境不同,刚好此题是上面博客未解答的部分 最终通过查阅资料发现: hxp CTF 2021 - A New Novel LFI - 跳跳糖 (tttang.com) 简单而言就是 fastcgi在处理过大的临时文件时,删除文件没有关闭句柄导致/proc/PID/fd/泄露,于是制造了文件上传的点 关于动态链接库的
2022虎符网络安全CTF部分wp(2)
没事我溜达
03-22 2356
Web | babysql 进入靶场查看限制,发现账号不过滤单引号,然后开始对密码进行尝试。 后面使用like函数,用like函数爆出两位特殊字符后,就开始爆剩下的字符了。 通过盲注,来不断猜测字符。最后得出密码为:m52fpldxyylb^eizar!8gxh$ payload:username=a%27||`password`like%27m52§6§%25%27%26%26`id`=%271%27||`password`regexp'[&password=1 like不
网络安全】【深度学习】【入侵检测】SDN模拟网络入侵攻击并检测,实时检测,深度学习【二】
q742971636的博客
06-12 479
以通过 Alt+F2 然后输入 xterm 尝试打开xterm。这之后就可以用Ctrl+Alt+T打开新终端了。在之前的代码中,已经捕获到攻击流量并打印。
2024中国网络安全产品用户调查报告(发布版)
2301_76786857的博客
06-12 699
本报告正是安在新媒体发起,基于“诸子云社群,以“取之于民,用之于民"的方式,反馈“甲方"眼中的中国网络安全市场情况,为网络安全行业提供来自网络安全企业用户视角的参考。自2020年始,人类进入了21世纪的第二个十年,全球进入了百年未有之大变局,新十年的开始即被新冠疫情逆转了全球化发展的历程,而至2022年3月俄乌战争又突然爆发,紧接着2023年7月“巴以冲突"皱起,世界快速进入动荡中,不确定性激增,网络对抗愈演愈烈,导致中国网络安全市场和环境受到重大影响。
车载网络安全指南 概述(一)
qq_42357877的博客
06-12 258
汽车电子系统网络安全指南给出汽车电子系统网络安全活动框架,以及在此框架下的汽车电子系统网络安全活动、组织管理和支持保障等方面的建议。汽车电子系统网络安全指南适用于指导整车厂、零部件供应商、软件供应商、芯片供应商以及各种服务提供商等汽车电子供应链上各组织机构开展网络安全活动,指导相关人员在从事汽车电子系统的设计开发、生产、运行和服务等过程中满足基本的网络安全需求。
网络安全网络安全基础精讲 - 网络安全入门第一篇
goldfish8848的博客
06-11 1248
网络安全基础知识
网络安全攻防基础入门笔记--操作系统&名词解释&文件下载&反弹shell&防火墙绕过
最新发布
谜语人的博客
06-15 830
全程Proof of Concept,中文"概念验证",常指一段漏洞证明的代码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值