虎符ctf web easy_login

最新推荐文章于 2024-03-26 23:32:28 发布

zhi_chu

最新推荐文章于 2024-03-26 23:32:28 发布

阅读量1.9k

点赞数 1

分类专栏：笔记文章标签： jwt 安全 nodejs

本文链接：https://blog.csdn.net/weixin_43896279/article/details/105648021

版权

8 篇文章 0 订阅

订阅专栏

我们可以先找到这样一个页面

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Z6fmC9Rd-1587397585988)(C:\Users\renjianwen\Desktop\虎符ctf web\1.png)]$

我们可以看到这里明显提示路径配置有问题

所以这里尝试读取一下app.js

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-2E445TbP-1587397585990)(C:\Users\renjianwen\Desktop\虎符ctf web\2.png)]$

这里我们分析一下逻辑，注册不能注册成admin，

但只有登录后session 中username为admin才可得到flag

所以这里我们伪造登录token

我们先注册一个账户发现会返回一个token

然后登录时token会作为验证

token为jwt令牌存储，

可分为三段，前两段为base64加密

后面为hs256，加密前两段base64后的结果和一串密钥

第一段是声明第三段的加密方式，第二段则是内容

这个题目和CISCN2018中一题差不多

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-8QHMjHWc-1587397585992)(3.png)]

现在我们就是要伪造这个token，在app.js

中我们可以看到他加密方式为hs256

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-6RrIwW19-1587397585994)(C:\Users\renjianwen\Desktop\虎符ctf web\4.png)]$

但有测试发现将第一段声明中加密方式改为none，验证时只要密钥处为 undefined 或者空之类的，即便后面的算法指名为 HS256，验证也还是按照 none 来验证通过

所以这里我们要改第二段里的secret id，使secret 为空

怎么改能使secret 为空呢，我们知道secret 存在secrets全局变量数组中

secret id为数组索引，如果使secretid无法作为数组索引，就可以了

这里还有一个验证，要求 sid 不能为 undefined，null，并且必须在全局变量 secrets 数组的长度和 0 之间。

但nodejs空数组与数字比较永远为真

所以这里secretid为[]

我们构造使加密方式为none secretid为[]

因为验证方式为none了我们这里第三段的签名也就不需要了

eyJhbGciOiJub25lIiwidHlwIjoiSldUIn0.eyJzZWNyZXRpZCI6W10sInVzZXJuYW1lIjoiYWRtaW4iLCJwYXNzd29yZCI6IjEyMzQ1NiIsImlhdCI6MTU4NzM5MzY2OH0.

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-TdGvSsJM-1587397585996)(C:\Users\renjianwen\Desktop\虎符ctf web\5.png)]$

我们正常登录改toke就可以，任何get flag成功

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-t9FqijpM-1587397585997)(C:\Users\renjianwen\Desktop\虎符ctf web\6.png)]$

关注