视频简介
🚩 2023 年 NahamCon 夺旗 (CTF) 竞赛“Marmalade 5”网络挑战的视频演练,由@NahamSec组织- 我们需要以“admin”身份登录网站才能检索旗帜。创建新帐户后,我们发现 JWT 有一个“用户名”声明,我们可以将其更改为 admin。首先,我们使用 jwt_tool 尝试一些常见的攻击,但失败了。然而,在此过程中我们获得了密钥的前 11/16 个字符。使用 hashcat/jwt_tool 破解密钥是没有结果的,因为不支持该算法。因此,我们开发了一些自定义的Python脚本来暴力破解秘密并伪造新的代币😈完整的编写和解决脚本:GitHub
相关资料
NahamCon CTF 2023:Web 挑战演练
https://www.youtube.com/watch?v=XHg_sBD0-es&ab_channel=CryptoCat
NahamConCTF
https://ctf.nahamcon.com/challenges
资源
Ghidra: https://ghidra-sre.org/CheatSheet.html
Volatility: https://github.com/volatilityfoundati…
Pwn工具: https://github.com/Gallopsled/pwntool…
CyberChef: https://gchq.github.io/CyberChef
HackTricks: https://book.hacktricks.xyz/pentestin…
CTF 工具: https://github.com/apsdehal/awesome-ctf
取证: https://cugu.github.io/awesome-forensics
反编译代码: https://www.decompiler.com
运行代码: https://tio.run
视频章节介绍
🥰 概述:
0:00 简介
0:24 探索站点功能
1:26 尝试篡改 JWT(空/无攻击)
2:42 尝试 hashcat/jwt_tool 秘密暴力破解
4:48 自定义 MD5_HMAC 破解脚本
8:05 伪造新内容token
9:36 结论
文章标题:使用 MD5_HMAC 算法破解 JWT – Marmalade 5 [NahamCon CTF 2023]
文章链接:https://www.cutrui.cn/2471.html
更新时间:2023年07月01日