震惊,YAK-JWT靶场的通关方式竟然是...

已于 2025-02-17 11:12:20 修改
阅读量941 收藏 15
点赞数 22
CC 4.0 BY-SA版权
文章标签: yakit JWT 靶场
于 2025-02-17 10:46:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/YakProject/article/details/145677259

心中无爱人,工作自然神

图片

图片

图片

图片

打开jwt靶场是一个登录页面

图片

尝试弱口令admin/admin成功登录。

图片

通过抓包可以看到,整个登录过程主要是3个请求:

第一个页面:https://127.0.0.1:8080/jwt/unsafe-login1 (GET请求)

这个页面是登录首页,通过localStorage从会话中读取VULINBOX_JWT变量,如果存在则通过这个jwt请求/jwt/unsafe-login1/profile,获取用户信息并展示。否则显示登录页面。

图片

第二个页面:https://127.0.0.1:8080/jwt/unsafe-login1 (POST请求)

同在/jwt/unsafe-login1页面,通过POST请求发送认证信息,如果成功则返回jwt,否则返回认证失败的错误

图片

图片

第三个页面:https://127.0.0.1:8080/jwt/unsafe-login1/profile

通过Authorization将jwt传递给后端,如果验证成功则返回用户信息,否则返回认证失败的提示

图片

图片

图片

用户首先通过用户名密码向后端请求得到jwt,再通过jwt向后端请求得到完整用户信息,并将信息展示在前端。

图片

图片

首先打开JWT的登录(未验证算法)案例,在这个案例中,后端未校验加密算法,将根据用户传递的加密算法解密验证jwt。

如图是正常的jwt结构。可以看到在header中存储了用户名,根据页面提示,游戏目标是为用户信息添加flag字段。所以我们的目标就是修改jwt内的header,并绕过后端的校验。

图片

首先了解一下jwt结构:jwt由3部分组成,使用.连接,第一部分是header信息,第二部分是Claims信息,第三部分是签名。

如果使用node方式生成jwt那header部分和Claims部分都是直接通过base64编码,签名为空,那可以编写脚本:

header = codec.EncodeBase64(json.dumps({        "age": 25,        "alg": "none",        "kid": 1,        "typ": "JWT",        "username": "admin",        "flag":1,    }))claims = codec.EncodeBase64(json.dumps({ }))println("%s.%s."%[header,claims])

通过webfuzzer将刚生成的jwt发送到/jwt/unsafe-login1/profile接口,发现这次返回值只有一个flag

图片

通过mitm抓包改包修改jwt可以看到通关页面

图片

图片

打开案例:登录(错误中泄漏key)

和案例1相同的页面,发现获取用户信息的接口改为了/jwt/unsafe-login2/profile。尝试使用案例1的手段发现报错:

图片

可以看到原因是禁用了none的认证方式:'none' signature type is not allowed,但从错误中可以看到泄漏的key。

key是一个byte数组,所以可以编写yak代码,通过泄漏的key生成修改后的jwt:

key = []byte{100,89,84,117,75,83,66,116,72,120,88,98,73,109,110,70,99,74,97,75}jwtStr = jwt.JWTGenerateEx("HS256", {        "flag":1,    },{}, key)~println(jwtStr)

将生成的jwt应用到/jwt/unsafe-login2/profile接口,得到返回数据

图片

从前端页面可以看到修改成功

图片

END
YAK官方资源

Yak 语言官方教程:
Yak:致力于安全能力融合的语言 | Yak Program Language
Yakit 视频教程:
YakProject的个人空间-YakProject个人主页-哔哩哔哩视频
Github下载地址:
GitHub - yaklang/yakit: Cyber Security ALL-IN-ONE Platform
GitHub - yaklang/yaklang: A programming language exclusively designed for cybersecurity
Yakit官网下载地址:
https://yaklang.com/
Yakit安装文档:
下载安装与更新配置 | Yak Program Language
Yakit使用文档:
Yakit: 集成化单兵安全能力平台 | Yak Program Language
常见问题速查:
FAQ | Yak Program Language

YakProject
关注
Vulnhub靶场案例渗透[8]- HackableII
qq_45776114的博客
11-13 1188
端口,分别对应http服务和ssh服务和ftp服务,以及http后台使用的PHP作为后台语言,并且ftp支持匿名登录。探测端口开放和对应开放端口服务识别,一般使用nmap进行,因为nmap指纹识别比较准确,并且指纹库也比较全。一般从网上下载的文件,可以使用检验下载文件的检验码,防止下载的文件被篡改或者部分缺失.执行python代码之后,成功获取到root的权限,以及root下面的flag内容。遍历目录文件,发现可以执行成功,接下来利用一句话木马,进行反弹shell。文件进行了提示,下图就是提示文件内容。
JWT靶场通关(3关)
m0_56578216的博客
09-13 382
将文件拷贝到kali虚拟机的桌面,在终端中进入桌面,输入下面命令,安装靶场,端口指定为8888: 如图,启动成功: 打开bp的内置浏览器,输入127.0.0.1:8888/WebGoat打开靶场网站:注册一个账号:注册成功后点击Broken Authentication中的JWT token,来到第一关:点击第四关,这一关是一个投票界面,选择Tom用户,然后点击删除按钮,出现一段提示只有管理员可以重置该投票:点击删除投票,并用bp抓到post请求包,发送到repeater模块,在cookie字段找到JWT
JWT-靶场第4、第7题通关
m0_58265086的博客
09-20 270
7、java声明变量的时候,写int,String是为了申请内存,为什么不直接写内存宽度,定义的类是一个模板,需要将这个模板变成具体的人(对象)作用是减少占用空间,加快运行速率。注册账号 账号xbd123 密码 xbd123。6、java在编写函数的时候void是什么意思,8、为什么java有面向对象的概念,请举例说明。5、.class文件和.java是什么关系。10、为什么子类要重写父类的方法。2、java是如何跨平台通信的。4、main函数的作用是什么。9、继承的作用是什么。9、继承的作用是什么。
Vulinbox前端加解密与验签靶场
最新发布
gj204106的博客
05-26 136
发现submitResult变量是由outputObj函数进行赋值的,接下来就要找找outputObj()函数是干嘛的。发现signature参数的值是Encrypt()函数,追踪下Encrypt()函数。找到加密数据的地方,在功能对应文件的启动器的请求调用堆栈里找加密可能存在的文件。进行断点,验证下是否是进行加密的相关函数。发现关键词HmacSHA256。
Yakit靶场-高级前端加解密与验签实战-全关卡通关教程
柠檬i的博客
12-23 2073
Yakit靶场-高级前端加解密与验签实战-全关卡通关教程,包括AES、RSA、SHA256等算法。
vulnhub靶场之FunBox-10
qq_58091216的博客
06-01 1299
我们发现了一个加密的参数,是用base64加密的文件(以”==”结尾的多半是base64加密),我可以尝试解密,解码后发现是root的密码和账户,我们可以尝试登录。我们可以看到osCommerce是一个电子商务系统,而且知道它的版本是2.3.4.1,我们进行搜索相关的漏洞。通过上面的扫描,我们只扫描到一个路径/catalog,我们进行查看。我们可以看到一个python脚本,我们下载下来进行查看。因为添加执行权限需要权限,我们切换到/tmp/目录下。我们可以看到权限比较低,我们进行提升权限。
2025年最新pikachu通关全教程(各种问题包教包会)yakit版(独一份)
2303_78851087的博客
01-18 1580
2025年最新pikachu通关全教程(各种问题包教包会)yakit版(独一份)
Hey,杀死那个弱密码
大河之犬的博客
12-26 1784
SOCKS5是SOCKS协议的更高级版本,它支持IPv4和IPv6地址,并提供了更多的功能。它使用客户端-服务器模型,其中VNC服务器在远程计算机上运行,而VNC客户端则在本地计算机上运行。签名用于验证令牌的完整性和真实性。MQTT(Message Queuing Telemetry Transport)是一种轻量级的消息传输协议,通常用于物联网设备之间的通信。在渗透测试中,使用暴力破解是一种常见的攻击方法,用于尝试破解Mongo数据库的凭据。它是在安全评估期间使用的多种类型的列表的集合,收集在一个位置。
PyPI 官网下载 | yak-yurt-0.1.dev48.tar.gz
01-17
标题中的"PyPI 官网下载 | yak-yurt-0.1.dev48.tar.gz"表明这是一个在Python Package Index(PyPI)上发布的开源软件包。PyPI是Python社区广泛使用的资源库,开发者可以在这里发布自己的Python软件包,供其他用户...
yak-dev-amazon-2.0.4.zip
10-16
《深入理解REST Criteria库:基于开源项目yak-dev-amazon-2.0.4与rest-criteria-master》 在IT领域,高效的API设计和使用是关键。REST(Representational State Transfer)是一种广泛采用的Web服务架构风格,它强调...
yak-dev-webmvc-2.3.1.zip
09-26
callfire-scala-client.zip,callfire scala client sdk用于命中rest端点并生成callfirexml调用控制数据callfire scala client sdk用于命中rest端点并生成callfirexml调用控制数据
Python库 | yak_yurt-0.1.dev11-py2-none-any.whl
03-25
资源分类:Python库 所属语言:Python 使用前提:需要解压 资源全名:yak_yurt-0.1.dev11-py2-none-any.whl 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
Yak叫你来打靶了
YakProject的博客
11-02 977
整个学习过程中,有些人会倒在学习linux系统及命令的路上,还有人会倒在学习开发语言上......最后发现花了很大精力学完了基础内容,很多和网络安全关联不大,没有分清重点,浪费了很多时间。Yak团队坚持“做难而正确的事”,从打造网络安全底层基座出发,推出首个完全国产化网络安全底层能力融合的垂直开发语言Yaklang,让网安从业人员不再受限于代码编写能力;,其很大程度上学习的就是“黑客”技术,“没有矛的发展就没有盾的完善”,通过学习怎么。牛牛作为信安专业出身,曾经也想仗剑走天涯,成为牛逼的黑客。
靶场通关教程 | SQL注入篇(一)
hackzkaq的博客
11-09 932
在之前的文章中牛牛给大家大致介绍了Yakit中的靶场Vulinbox安装教程(插入安装靶场文的链接),实验环境安装就位后,接下来就是上手实操。。网安圈中,你或许之前听过某某通过攻击数据库修改自己考试成绩的案例,(苏姐画坏牛牛修改成绩图)修改途径一般用的就是SQL注入方法。SQL注入漏洞作为网络安全最普遍的漏洞之一,在OWASP发布的top10排行榜中危害排名极高,数据库注入一直是web中一个令人头疼的问题。什么是SQL注入?
【新手向】VulnHub靶场MONEYBOX:1 | 详细解析
YueXuan_521的博客
01-01 2386
【新手向】VulnHub靶场MONEYBOX:1 | 详细解析
通关jwt靶场的其中两关
lay77的博客
09-14 126
通过重写父类的方法,子类可以在不改变原有的继承关系的前提下,根据自身的需要进行定制,并且可以在父类的基础上进行扩展和优化,提高代码的复用性和可维护性。Java的数据类型具有固定的内存宽度,不同的数据类型占用的内存大小是不同的,编写代码时直接写内存宽度可能导致代码不可移植。例如,可以使用类来表示现实世界中的对象,如人、车、手机等,通过定义类的属性和方法,可以方便地创建和操作这些对象。子类可以重用父类的代码,避免重复编写相同的功能,同时可以在需要的情况下添加新的属性和方法,实现功能的扩展和定制。
Yakit靶场通关教程|SQL注入篇(一)
YakProject的博客
11-02 3556
在之前的文章中牛牛给大家大致介绍了Yakit中的靶场Vulinbox安装教程。今天我们先来唠唠:SQL注入漏洞
vulnhub靶场之FunBox-2
qq_58091216的博客
05-02 700
新建一个 MS02423文件夹把下载的压缩包文件都放进去发现里面都是加密的 id_rsa再把 /usr/share/wordlists/rockyou.txt字典 复制进去。我们可以看到报错了,那么这个办法是行不通的,我们换一个思路,我们查看ftp访问。我们可以看到成功绕过,我们查看home目录下的文件。我们看到好多的压缩包而且都是加密的,我们进行爆破。我们可以看到权限是root,我们直接查看flag。我们通过密码获取到tom的私钥,我们进行登录。我们知道tom的密码了,那么我们直接进行登录。
dvwa靶场yakit通关教程
01-24
### DVWA 靶场YAKIT 平台上通关教程 #### 安装与启动环境准备 为了顺利使用DVWA靶场,在YAKIT平台上需先完成一系列准备工作。确保已安装并运行PHPStudy或PHPStudy_pro,这一步骤对于提供必要的Web服务至关重要[^1]。 #### 设置代理工具 浏览器应设置为通过Burpsuite进行流量代理,以便于后续的安全测试操作。此过程允许拦截和修改HTTP/HTTPS请求响应数据流,从而更深入地了解应用程序行为及其潜在漏洞。 #### 调整安全级别 访问`DVWA Security`选项卡来设定不同挑战项目的难度等级。这一功能使得学习者可以根据自身的技能水平选择合适的练习模式,逐步提升对各类攻击手法的理解掌握能力。 #### 开始闯关之旅 针对每一个具体的模块,如SQL注入、XSS跨站脚本攻击等,按照由浅入深的原则依次尝试破解。利用之前配置好的中间人工具(例如Burp Suite),分析目标网站的工作机制,并探索可能存在的安全隐患点。 ```bash # 启动 PHP Study 的 Apache 和 MySQL 服务 phpstudy start apache mysql ``` #### 实战演练建议 - **熟悉环境**:花时间去理解每个组件的功能以及它们之间如何交互工作。 - **查阅文档**:遇到困难时不要急于求成,多参考官方说明或其他社区资源获取灵感和支持。 - **实践为主**:理论固然重要,但实际动手解决问题才是提高技术水平的关键所在。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值