[2021首届“陇剑杯”网络安全大赛] jwt

最新推荐文章于 2024-05-04 23:52:27 发布
最新推荐文章于 2024-05-04 23:52:27 发布
阅读量5.8k 收藏 36
点赞数 14
分类专栏: ctf 文章标签: 网络安全 jwt ctf 流量
不允许转载
本文链接:https://blog.csdn.net/weixin_46081055/article/details/120294407
版权

题目描述
昨天,单位流量系统捕获了黑客攻击流量,请您分析流量后进行回答:
1.该网站使用了__jwt__认证方式。(如有字母请全部使用小写)
2.黑客绕过验证使用的jwt中,id和username是__10087#admin__。(中间使用#号隔开,例如1#admin)
3.黑客获取webshell之后,权限是___root__?
4.黑客上传的恶意文件文件名是____1.c_____。(请提交带有文件后缀的文件名,例如x.txt)
5.黑客在服务器上编译的恶意so文件,文件名是_____looter.so____。(请提交带有文件后缀的文件名,例如x.so)
6.黑客在服务器上修改了一个配置文件,文件的绝对路径为_____/etc/pam.d/common-auth____。(请确认绝对路径后再提交)

[2021首届“陇剑杯”网络安全大赛] jwt

追踪http流,可以看到是jwt认证
在这里插入图片描述
搜whoami,看最后一个包,可以看到命令执行了,权限为root

最低0.47元/天 解锁文章
shu天
关注
  • 14
    点赞
  • 36
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 6
    评论
专栏目录
陇剑杯jwt.zip 解压密码GAME
09-28
陇剑杯jwt.zip 解压密码GAME
JWT爆破篡改工具-离线
04-03
从爆破到篡改,完美闭环
流量分析——陇剑杯 2021【签到、jwt
m0_74559567的博客
02-23 1010
其中,CFLAGS变量包含了一些编译选项,如-Werror和-Wall,分别表示将所有警告视为错误和开启所有警告。接下来的规则定义了如何从"looter.c"源文件生成"looter.so"共享库。这段代码是一个PAM模块的示例,用于在Linux系统中进行身份验证,并将用户名和密码保存到文件中。还可以解码进行验证,直接能识别到用JWT进行解码了~~~之后的流中显示的信息是没有成功攻击,继续往下分析。查看token的信息,明显的jwt认证方式。分析第16-21流,得知编译后的文件名是。
jwt认证 [陇剑杯 2021]jwt1)
m0_75178803的博客
04-08 139
题目如下用wireshark打开流量包筛选post请求注意到第30行追踪http流发现有很奇怪的token我们知道,Header会被Base64Url编码为JWT的第一部分。所以认证为jwt认证对jwt的token解密得到。
[陇剑杯 2021]
最新发布
liaochonxiang的博客
05-04 1079
先认识一下发现题目GET /exec HTTP/1.1中有很明显的jwt特征点即:eyJ开头,所以认定为jwt认证。
[陇剑杯 2021]简单日志分析
haosha。的博客
01-21 1124
[陇剑杯 2021]简单日志分析 题目做法及思路解析(个人分享)
[陇剑杯 2021]jwt
haosha。的博客
01-19 1822
[陇剑杯 2021]jwt 题目做法及思路解析(个人分享)
2021陇剑杯网络安全大赛-JWT
qq_43264813的博客
09-14 3040
2021陇剑杯网络安全大赛-JWT 题目描述: 昨天,单位流量系统捕获了黑客攻击流量,请您分析流量后进行回答: 解题思路: 2.1该网站使用了___jwt___认证方式。(如有字母请全部使用小写) 2.2黑客绕过验证使用的jwt中,id和username是_10087#admin_。(中间使用#号隔开,例如1#admin) POST /exec HTTP/1.1 Host: 192.168.2.197:8081 Content-Length: 26 Cache-Control: max-age=0 Upgr
[陇剑杯 2021]jwt2) WP
weixin_45446164的博客
07-24 230
jwt是什么是iii.mmm.zzz的形式,那么肯定存储在Cookie中,我们查询条件设置为带Cookie然后再用时间排序,找出实际RCE的POST报文。然后在打开Cookie,使用https://jwt.io/解码,得出。题目中说了绕过jwt
2021陇剑杯网络安全大赛wp-JWT部分(详细题解)
偷一个月亮
09-15 7838
2021陇剑杯网络安全大赛-JWT部分(详细题解) 2.1 token特征 eyJ 2.2 2.3 2.4 2.5 2.6
基于 pac4j-jwt 的 WEB 安全组件
11-17
主要依托 pac4j-jwt 来提供默认使用 JWT 的 WEB 安全组件,迅速集成,只需要少量配置+代码即可实现基本的接口防护,默认使用 jwt 进行身份认证,灵活的 jwt 配置,默认签名+加密 更多高级功能只需实现对应接口并注入到...
前后端接口安全技术JWT极速入门教程.pdf
11-20
[JWT]的全称为Json Web Token (JWT),是目前最流行的跨域认证解决方案,是在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519),JWT 是一种JSON风格的轻量级的授权和身份认证规范,可实现无状态、...
JWT 网关TOKEN 加密
05-15
JSON Web Token (JWT) 是一种广泛使用的轻量级身份验证机制,它允许服务端生成一个包含用户信息的令牌,该令牌可以在客户端之间安全地传递。然而,原始的JWT令牌可能包含敏感信息,如果未加密,可能会面临安全风险。...
[陇剑杯 2021]jwt1)
atm7758258的博客
10-05 173
[陇剑杯 2021]jwt1),网站的常见几种认证方式
[陇剑杯 2021]jwt3)
sd_cm的博客
02-21 207
[陇剑杯 2021]jwt3)#萌新
[陇剑杯 2021]jwt4)
sd_cm的博客
02-21 131
刷题wp
陇剑杯2021(一)
wha1e的博客
06-27 1725
陇剑杯2021(一)
Java web安全jwt
09-19
Java Web安全中的JWT是一种常用的认证协议。JWT的结构包括头部、载荷和签名。头部包含加密算法和令牌类型等信息,载荷包含具体的用户数据,签名用于验证令牌的合法性。 在Java中实现JWT,可以使用Java JWT库,该库...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

shu天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值