虎符ctf web easy_login
我们可以先找到这样一个页面
我们可以看到这里明显提示 路径配置有问题
所以这里尝试读取一下app.js
这里我们分析一下逻辑,注册不能注册成admin,
但只有登录后session 中username为admin才可得到flag
所以这里我们伪造登录token
我们先注册一个账户发现会返回一个token
然后登录时token会作为验证
token为jwt令牌存储,
可分为三段,前两段为base64加密
后面为hs256,加密前两段base64后的结果和一串密钥
第一段是声明第三段的加密方式,第二段则是内容
这个题目和CISCN2018中一题差不多
具体关于jwt的可以去看一下 https://www.jianshu.com/p/e64d96b4a54d
现在我们就是要伪造这个token,在app.js
中我们可以看到他加密方式为hs256
但有测试发现将第一段声明中加密方式改为none,验证时只要密钥处为 undefined 或者空之类的,即便后面的算法指名为 HS256,验证也还是按照 none 来验证通过
所以这里我们要改第二段里的secret id,使secret 为空
怎么改能使secret 为空呢,我们知道secret 存在secrets全局变量数组中
secret id为数组索引,如果使secretid无法作为数组索引,就可以了
这里还有一个验证,要求 sid 不能为 undefined,null,并且必须在全局变量 secrets 数组的长度和 0 之间。
但nodejs空数组与数字比较永远为真
所以这里secretid为[]
我们构造使加密方式为none secretid为[]
因为验证方式为none了我们这里 第三段的签名也就不需要了
eyJhbGciOiJub25lIiwidHlwIjoiSldUIn0.eyJzZWNyZXRpZCI6W10sInVzZXJuYW1lIjoiYWRtaW4iLCJwYXNzd29yZCI6IjEyMzQ1NiIsImlhdCI6MTU4NzM5MzY2OH0.
我们正常登录改toke就可以,任何get flag成功