iT邦幫忙

2024 iThome 鐵人賽

DAY 21
0
佛心分享-刷題不只是刷題

CTF 刷題系列 第 21

CTF Day 21 Web(Java Code Analysis!?!)

  • 分享至 

  • xImage
  •  

題目 Java Code Analysis!?!

https://ithelp.ithome.com.tw/upload/images/20241005/20155574LA79by6XT8.png

輸入username和password就可以進到這裡
題目要我們 read Flag book
https://ithelp.ithome.com.tw/upload/images/20241005/20155574xxm2lOEsYD.png

可以看到他說需要admin role才能存取這flag book
https://ithelp.ithome.com.tw/upload/images/20241005/20155574AKMhnhUHOR.png

看到了我們的role是Free
上面auth-token看起來是jwt格式
https://ithelp.ithome.com.tw/upload/images/20241005/20155574Wd3u32rzB0.png

https://jwt.io/
看來要去找 secret key
https://ithelp.ithome.com.tw/upload/images/20241005/20155574sJLqtTUD90.png

提示說在'controllers', 'services' and 'security'中要注意
security/SecretGenerator.java 中發現不是隨機產生的key
https://ithelp.ithome.com.tw/upload/images/20241005/20155574rfyCuTOX6v.png

https://ithelp.ithome.com.tw/upload/images/20241005/20155574kzYvuYbedP.png
https://ithelp.ithome.com.tw/upload/images/20241005/20155574ZlTaOXAsV9.png
https://ithelp.ithome.com.tw/upload/images/20241005/20155574ctbbubC5ie.png

參考資料

https://anubhavdhakal.medium.com/picoctf-java-code-analysis-93155dc9ae74


上一篇
CTF Day 20 Binary(flag leak)
下一篇
CTF Day 22 Web(Forbidden Paths)
系列文
CTF 刷題30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言