查看完整视频
小黑屋思过中,禁止观看!
评论并刷新后可见

您需要在视频最下面评论并刷新后,方可查看完整视频

积分观看

支付积分后查看完整视频

{{user.role.value}}
付费视频

支付完成后查看完整视频

¥{{user.role.value}}
专属视频

只允许以下等级用户查看该视频

升级
会员专享

视频选集

使用 MD5_HMAC 算法破解 JWT – Marmalade 5 [NahamCon CTF 2023]

  • 视频介绍
  • 视频选集
  • 交流讨论

视频简介

🚩 2023 年 NahamCon 夺旗 (CTF) 竞赛“Marmalade 5”网络挑战的视频演练,由@NahamSec组织- 我们需要以“admin”身份登录网站才能检索旗帜。创建新帐户后,我们发现 JWT 有一个“用户名”声明,我们可以将其更改为 admin。首先,我们使用 jwt_tool 尝试一些常见的攻击,但失败了。然而,在此过程中我们获得了密钥的前 11/16 个字符。使用 hashcat/jwt_tool 破解密钥是没有结果的,因为不支持该算法。因此,我们开发了一些自定义的Python脚本来暴力破解秘密并伪造新的代币😈完整的编写和解决脚本:GitHub

相关资料

NahamCon CTF 2023:Web 挑战演练

https://www.youtube.com/watch?v=XHg_sBD0-es&ab_channel=CryptoCat

NahamConCTF

https://ctf.nahamcon.com/challenges

https://discord.gg/8MSu7KujqR

资源

Ghidra: https://ghidra-sre.org/CheatSheet.html

Volatility: https://github.com/volatilityfoundati…

Pwn工具: https://github.com/Gallopsled/pwntool…

CyberChef: https://gchq.github.io/CyberChef

D代码: https://www.dcode.fr/en

HackTricks: https://book.hacktricks.xyz/pentestin…

CTF 工具: https://github.com/apsdehal/awesome-ctf

取证: https://cugu.github.io/awesome-forensics

反编译代码: https://www.decompiler.com

运行代码: https://tio.run

视频章节介绍

🥰 概述:

0:00 简介

0:24 探索站点功能

1:26 尝试篡改 JWT(空/无攻击)

2:42 尝试 hashcat/jwt_tool 秘密暴力破解

4:48 自定义 MD5_HMAC 破解脚本

8:05 伪造新内容token

9:36 结论

温馨提示:

文章标题:使用 MD5_HMAC 算法破解 JWT – Marmalade 5 [NahamCon CTF 2023]

文章链接:https://www.cutrui.cn/2471.html

更新时间:2023年07月01日

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。

给TA打赏
共{{data.count}}人
人已打赏
0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索

你有新的私信

请务必要查看您的私信哟~~