JWT+python反序列化漏洞 [CISCN2019 华北赛区 Day1 Web2]ikun

最新推荐文章于 2024-05-16 22:37:40 发布
最新推荐文章于 2024-05-16 22:37:40 发布
阅读量5.2k 收藏 1
点赞数 2
分类专栏: 信息安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45782091/article/details/123648766
版权

前面的步骤不是很重要 (主要是这个题太魔性)

主要是一个去找lv6所在页面

import requests

url = "http://b9ac92ba-7b09-4b78-9ed8-540734732bff.node4.buuoj.cn:81/shop?page="
i=1
while True:
    r = requests.get(url + str(i))
    if 'lv6.png' in r.text:
        print (i)
        break
    i=i+1

因为太贵了 修改price发现没有用 于是修改了discount
为0.000001
在这里插入图片描述
在这里插入图片描述
到了这里发现只允许admin访问 所以需要伪造一个admin身份

再次访问这个页面 并且抓包 可以看到这里有一个jwt字段

JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。

由于知识面太窄 所以以前不太懂这个东西

JSON Web Token由三部分组成,它们之间用圆点(.)连接。这三部分分别是:
Header Payload Signature

Header header典型的由两部分组成:token的类型(“JWT”)和算法名称(比如:HMAC SHA256或者RSA等等)。
比如:

{
    'alg': "HS256",
    'typ': "JWT"
}

Payload JWT的第二部分是payload,它包含声明(要求)。声明是关于实体(通常是用户)和其他数据的声明。

例如:

{
    "sub": '1234567890',
    "name": 'john',
    "admin":true
}

Signature
为了得到签名部分,必须有编码过的header、编码过的payload、一个秘钥,签名算法是header中指定的那个,然对它们签名即可。

HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)

以上部分引用自这个链接
在这里 我们可以得到一个jwt 可以到jwt.io来破译
在这里插入图片描述
在这里插入图片描述
可以解出前面的信息 但无法破译密匙 想要伪造jwt需要得到密匙之后 再给wzk改为admin重新生成一个jwt发送过去

https://gitcode.net/mirrors/brendan-rius/c-jwt-cracker?utm_source=csdn_github_accelerator
可以使用这里面的工具去破解

在这里插入图片描述
可见密匙为1Kun 和我个人的博客1kun.xyz居然撞名了
在这里插入图片描述
成功发送并找到了藏在这里的源码 下载下来阅读
之后便是重点 在这里插入图片描述
这里用become参数来控制p的反序列化 之后并会送到form页面进行渲染在这里插入图片描述
这里会进行回显 所以我们现在要去admin页面进行操作

这里先对python的反序列化进行总结:
序列化:

pickle.dumps()

反序列化

pickle.loads()

在这里插入图片描述
在这里插入图片描述
可见成功完成了序列化与反序列化

import pickle
import os
class A(object):
    def __reduce__(self):
        return (os.system,('ls',))
a = A()
test = pickle.dumps(a)
print(test)

>>
cposix
system
p0//编号p0
(S'ls'
p1 
tp2
Rp3
.

在python中内置了__reduce__(self) 类 类似wake_up 在反序列化的时候会执行 可以利用它来执行命令。
reduce函数 返回一个元组。这个元组包含2到5个元素,其中包括:一个可调用的对象,用于重建对象时调用;一个参数元素,供那个可调用对象使用;
比如return (os.system,(‘ls’,)) 就会执行os.system(‘ls’)

c:读取新的一行作为模块名module,读取下一行作为对象名object,然后将module.object压入到堆栈中。
(:将一个标记对象插入到堆栈中。为了实现我们的目的,该指令会与t搭配使用,以产生一个元组。
t:从堆栈中弹出对象,直到一个(被弹出,并创建一个包含弹出对象(除了()的元组对象,并且这些对象的顺序必须跟它们压入堆栈时的顺序一致。然后,该元组被压入到堆栈中。
S:读取引号中的字符串直到换行符处,然后将它压入堆栈。
R:将一个元组和一个可调用对象弹出堆栈,然后以该元组作为参数调用该可调用的对象,最后将结果压入到堆栈中。
.:结束pickle

cos
system
(S'ls'
tR.

反序列化 会成功执行

这里就相当于os.system(‘whoami’)

成功执行

所以我们可以构造一个需要我们执行的代码在reduce中,并序列化出它的结果然后进行抓包伪造,然后去执行该命令。

使用 commands.getoutput() 可以得到回显 才可以渲染到下一页中 方便我们查看
在这里插入图片描述
伪造become 发现成功 之后改为打开flag就可以 想反弹shell 但是失败了 明天再试试。

在这里插入图片描述

凌晨四点起床刷题的SwaggyP1
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
JWT认证漏洞攻击详解总结
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
10-21 1260
​ 0x01 JWT认证漏洞基础知识 1.JWT简介 JWT全称为JSON Web Token,将json对象作为载体来传输信息。通常用于身份认证和信息交换。JWT 可以使用密钥(HMAC 算法)或使用 RSA 或 ECDSA 的公钥/私钥对自身进行签名 2.JWT认证漏洞格式 每当用户访问站点中的资源时,对应的请求头认证默认为Authorization: jwt,JTW令牌认证以eyJ开头 JWT的数据头部如下: JWT的数据分为三部分:头部(Header),有效载荷(Payload),签名(Signa
netcore+webapi+jwt+oauth2+swagger的例子
05-06
2.WebApiTest:.NetCore+jwt+swagger编写的接口 3.WebApiTest.ApiOauth2:.Net4.5+oauth2+swagger编写的接口 4.WebApiTest.ApiController:.Net4.5+jwt+swagger编写的接口 5.WebApiTest.MVC:在mvc中使用webapi(Web...
JWT相关漏洞介绍
2301_77512689的博客
05-05 1210
第二部分是负载,内容也是一个json对象,它是存放有效信息的地方,它可以存放jwt提供的现成字段,比 如:iss(签发者),exp(过期时间戳), sub(面向的用户)等,也可自定义字段。JWT只通过算法实现对Token合法性的验证,不依赖数据库,Memcached的等存储系统,因此可以做到跨服务器验证,只要密钥和算法相同,不同服务器程序生成的Token可以互相验证,alg:none攻击通俗易懂的讲就是由于开发代码使用错误,后端不校验签名,导致攻击者可以在不需要密钥的情况下也可以控制伪造令牌。
JWT介绍&空加密&暴破密钥&私钥泄露&密钥混淆&黑盒_jwt泄露(4)
最新发布
2401_84264244的博客
05-16 771
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
[CISCN2019 华北赛区 Day1 Web2]ikun以一道例题从JWT安全到Pickle反序列化
sGanYu
05-22 1245
这道题前面几关还是挺简单的,主要重点是JWT安全和Pickle反序列化的问题,所以前面的关卡就简单描述一下步骤 先去注册一个账户 注册完账户后,我们就来到了第一关,刚开始本来想注册一个admin用户的,没想到已经被注册了,那么我猜接下来的内容会和admin有关了 这里有一个提示,开局给了我们1000块,让我们去购买lv6,当前链接是http://29e104e9-b299-4014-b700-cc0b3892187b.node4.buuoj.cn:81/shop?page=2,每点击一次下一页,p
JWT认证漏洞总结
渗透测试研究中心
09-16 3182
通过对众多靶场案例漏洞测试,其中弱密钥、密钥泄露、不校验签名、信息泄露这些问题出现的居多,像更改 Header 不使用签名,暂时在实际生产环境中没遇到过。测试方面遇到 JWT可利用 jwt-tools 工具进行测试,将所有已知漏洞都测试一遍,避免遗漏。密钥。
基于SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端商城系统源码
05-13
yshop基于当前流行技术组合的前后端分离商城系统: SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统, 包含分类、sku、运费模板、素材库、小程序直播、拼团、砍价、商户管理、 秒杀、...
express + jwt + postMan验证实现持久化登录
01-02
原理 第一次登陆时会返回一个经过加密的token,下一次访问接口(携带登录返回你的token)的时候,会对token进行解密,如果解密正在进行,...npm install jsonwebtoken // 持久化登录 jwt json web token 基本配置 //
springboot+security+jwt+mybaits-plus+mysql实现权限管理
03-13
在本项目中,我们主要探讨的是如何利用Spring Boot、Spring Security、JWT(JSON Web Tokens)、MyBatis-Plus以及MySQL数据库来构建一个完整的权限管理系统。下面将详细解析这些技术及其在项目中的应用。 1. Spring...
SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统
01-25
本系统“SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统”就是针对这一需求而设计的,它结合了多种技术,提供了高效、安全且灵活的解决方案。 首先,SpringBoot是这个系统的核心,它...
2019 CISCN华北赛区Day1 Web2】ikun
weixin_61951055的博客
11-08 789
2019 CISCN华北赛区Day1 Web2 WriteUp (全国大学生信息安全竞赛)
JWT解密和python反序列化之[CISCN2019 华北赛区 Day1 Web2]ikun
qq_58970968的博客
08-30 477
解密,可以得到结果,但是想要伪造其他的用户的话需要密钥,密钥使用c-jwt-cracker 中的 ./jwtcrack 进行破解;Pickle是Python内的一个标准模块,实现了基本的数据序列化和反序列化。破解得到密钥之后在网址中填入得到伪造的jwt;burp更改就可以了;和cookie一个类型,用于认证身份,将jwt值放在。pickle.laods 反序列化。pickle.dumps 序列化。...
CVE-2022-39227jwt伪造
qq_32445755的博客
11-12 1230
python jwt是一个用于生成和验证JSON Web令牌的模块。3.3.4之前的版本会受到欺骗绕过身份验证的影响,从而导致身份欺骗、会话劫持或身份验证绕过。获得JWT的攻击者可以在不知道密钥的情况下任意伪造其内容。根据应用程序的不同,这可能使攻击者能够欺骗其他用户的身份、劫持他们的会话或绕过身份验证。用户应升级到版本3.3.4。没有已知的解决方法。
[CISCN2019 华北赛区 Day1 Web2]ikun
qq_62046696的博客
10-15 645
这里的.content就是读取源文件字节流,随后将该字节流编码为Unicode编码,方便再进行更加精确的解码。看见了jwt,通过上面链接了解jwt由三个部分组成,前两个部分分别是base64编码,解码可以获得。明显不够我们就1000也没有充值界面,所以最有可能的就是这个优惠看是否可以修改。以为要成功可是,限制admin,所以我们就要看一下是通过什么判断我的用户名的。下载到本地后需要使用,make命令,就会生成jwtcrack。找到了密码,然后就可以更改为admin。然后是181页,可是。
一道CTF题看JWTpython反序列化
weixin_44377940的博客
06-20 1657
目录题目题解知识点JWTPython 序列化与反序列化 题目 题为[CISCN2019 华北赛区 Day1 Web2]ikun 题解 打开,看到这里 看来要找到lv6,写个小脚本: #[CISCN2019 华北赛区 Day1 Web2]ikun,找lv6 import requests url = "http://9592eed0-512a-4494-bedb-332fdf504447.node3.buuoj.cn/shop?page=" for i in range(0,2000): r=requ
[CISCN2019 华北赛区 Day1 Web2]ikun (JWT更改与python反序列化)
EC_Carrot的博客
12-23 625
前言 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! 题目 提示是要买到Iv6,有很多页面,需要写脚本来找 import requests url="http://5d13c449-296b-4491-9240-52ac885c1bc3.node3.buuoj.cn/shop?page=" for i in range(0,400): r=requests.get(url+str(i)) if '
netcore6.0 webapi+jwt+vue3授权
10-06
Netcore6.0是微软推出的全新版本的开发框架,它提供了强大且灵活的功能,用于构建Web应用程序和API。Web API是Netcore6.0中的一项重要功能,它允许我们构建基于HTTP协议的API,并通过JSON格式进行数据交换。 JWT(JSON Web Token)是一种用于在网络应用间传递信息的安全方法。在Netcore6.0中,我们可以使用JWT来实现Web API的授权功能。JWT由三部分组成:头部、载荷和签名。头部包含了令牌的类型和算法,载荷包含了我们想要传递的数据,签名通过使用密钥进行加密来验证令牌的合法性。 在Netcore6.0中,我们可以使用Microsoft提供的Microsoft.AspNetCore.Authentication.JwtBearer包来简单地实现JWT的授权功能。首先,我们需要在Startup.cs文件的ConfigureServices方法中配置JWT的身份验证服务,并指定密钥、颁发者、验证等参数。然后,在Configure方法中启用身份验证中间件和JWT授权中间件。 在Vue3中,我们可以使用Axios库来发送HTTP请求并附带JWT令牌进行授权。Vue3是一种流行的JavaScript框架,用于构建现代化的用户界面。通过Axios,我们可以将JWT令牌添加到请求的Authorization头部中,并在后端接收到请求时进行验证。 为了实现Vue3与Netcore6.0的JWT授权,我们首先需要在Vue3项目中安装Axios库,并配置请求拦截器,在每个请求发送前将JWT令牌添加到请求头中。后端接收到带有JWT令牌的请求后,使用相同的密钥和算法进行解密并验证令牌的合法性。 综上所述,Netcore6.0的Web API和Vue3的JWT授权组合,可以实现安全可靠的API授权。通过合理的配置和使用,我们可以保护API免受未经授权的访问,并确保只有经过身份验证的用户才能访问敏感数据或执行特定操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值