jwt伪造身份组组组合拳艰难通关

前言

现在的攻防演练不再像以往那样一个漏洞直捣黄龙，而是需要各种组合拳才能信手拈来，但是有时候使尽浑身解数也不能称心如意。

前期信息收集

首先是拿到靶标的清单

访问系统的界面，没有什么能利用的功能点

首先进行目录扫描，扫描发现存在xxx.zip的文件放置在web目录上

一般zip文件大部分情况都是开发运维人员做系统维护时留下的备份文件，在系统上线后并没有将其删除，于是底裤（即源代码）都直接给到了攻击者

来到这一步都以为是一路高歌，轻松拿下，没想象到是跌宕起伏伏伏伏伏......

先使用wget下载zip文件，文件总共200+mb，很有概率是源代码的打包

从文件内容可判断，该系统是使用的.net开发，可通过dnspy进行审计

文件上传漏洞审计

拿到源码后的第一个思路是寻找文件上传漏洞

果不其然在源码中找到uploadimg接口，发现未对上传的文件格式进行过滤

实际访问接口发现，怎么改变文件格式、文件内容、Content-Type、还是各种变种传输都无济于事。

【----帮助网安学习，以下所有学习资料免费领！加vx：dctintin，备注 “博客园” 获取！】

　① 网安学习成长路径思维导图
　② 60+网安经典常用工具包
　③ 100+SRC漏洞分析报告
　④ 150+网安攻防实战技术电子书
　⑤ 最权威CISSP 认证考试指南+题库
　⑥ 超1800页CTF实战技巧手册
　⑦ 最新网安大厂面试题合集（含答案）
　⑧ APP客户端安全检测指南（安卓+IOS）

返回包永远是{"Status":1,"Data""null}

运维实在是坏呀~

Sql注入漏洞审计

第二个思路就是找注入

但是代码中定义了一个SqlChecker全局的类，强制处理所有用户传参，找注入这个方向有有点难啃了

系统用户信息遍历

找到/api/user/getusers接口

接口没有做鉴权，构造请求包发送，返回包返回系统所有用户信息

其中用户信息包括姓名、出生日期、微信账号、手机号码、邮箱、密码等等

伪造jwt_token获取系统管理员-拿下靶标

源码获取到jwt_token的secret

但是该secret不是可读性文本，估计是随机生成的byte字节序列，因此不能自行使用cyberchief或者其他工具将token直接生成

这里有个坑点：开始是使用gpt生成的脚本进行secret的读取和token的生成，发现gpt在处理字节上面有点问题，生成的jwt_token不能使用，于是自行编写了个py脚本进行jwt_token的构造，首先我们将字节序列做16进制的转化，为了python能够使用bytes.fromhex()函数读取16进制化的secret，然后根据上面读出的用户信息，伪装admin账号身份，并设置一个较长的ExpireTime