通过上一篇的内容相信你对pickle反序列化有一定的了解了&＃xff0c;但是不落实到题目上总归不知道如何下手&＃xff0c;所以我这里用19年华北赛区的国赛题说一下&＃xff0c;在做这个题目前我们先简单了解一下JWT&＃xff0c;JWT这玩意儿做题目做的多的话也经常在http请求包中能发现它的身影&＃xff0c;那么它是什么&＃xff0c;由什么构成&＃xff0c;有什么作用呢&＃xff1f;为了解题&＃xff0c;我简单说一下&＃xff0c;如果了解JWT的请跳过这一部分。

基本介绍

JWT全称为&＃xff1a;JSON Web Token&＃xff0c;它定义了一种紧凑的、自包含的方式&＃xff0c;用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任&＃xff0c;因为它是数字签名的。

JWT是token的一种具体实现方法&＃xff0c;那么token又是什么&＃xff1f;token其实也是身份验证的一种方法&＃xff0c;即客户端输入账号密码&＃xff0c;服务器会发送账号密码确认信息以及token认证&＃xff0c;防止第二次账号密码的改动&＃xff0c;这种和前面讲的session很像&＃xff0c;但它们具有本质区别&＃xff0c;因为session需要存储在服务器上&＃xff0c;token是不需要的&＃xff0c;而JWT就是token认证的一种具体实现方法。

所以我们也能知道JWT会用在什么地方了吧&＃xff1f;授权需要认证&＃xff0c;信息交互也能用到认证。

基本格式

JSON Web Token总共由三部分组成&＃xff0c;它们之间使用 点(.)连接。

这三部依次为&＃xff1a;Header、Payload、Signature。

所以JWT的一个标准的格式为&＃xff1a;xxxx.yyyy.zzzz

①Header中的内容包括两个&＃xff0c;一个是token的类型 例如JWT&＃xff0c;还有一个是算法的类型 例如SHA256等等。如下&＃xff1a;

然后用Base64对这个JSON编码就得到JWT的第一部分。

②Payload是我们需要验证的信息例如&＃xff1a;

和Header头一样&＃xff0c;也是经过base64得到第二部分。

③签名部分&＃xff0c;与php中Phar文件的签名作用相同&＃xff0c;将Header与Payload在用一个密匙进行加密得到签名。

例如&＃xff1a;

HMACSHA256(base64UrlEncode(header) &＃43; "." &＃43; base64UrlEncode(payload), secret)

大概讲这么多&＃xff0c;供初次碰到JWT的朋友了解&＃xff0c;如果想要深究的可以看我打链接的这篇&＃xff0c;我也是参考这个师傅文章写的。

[CISCN2019 华北赛区 Day1 Web2]ikun

19年的国赛&＃xff0c;cxk打球被黑的那一年&＃xff0c;还挺顺应潮流&＃xff0c;一起看看这个题目吧&＃xff01;&＃xff01;

找Lv6

 首先可以确定我们需要购买一个Lv6等级的号&＃xff0c;但是复现我们无法点击下一页&＃xff08;应该是搬运过来题目出了点小问题&＃xff09;。

第二页链接如上&＃xff0c;太多了一个一个找太麻烦了&＃xff0c;所以我简单测试了一下页面总共有500页&＃xff0c;所以我们在1-500中找一个特殊的帐号---Lv6 

Lv4如上&＃xff0c;那么Lv6可以依次类推&＃xff0c;所以我们做一个简单的python脚本跑一下 

import requestss &＃61; &＃39;http://92d0366f-fafb-4045-858e-cb978e121f9e.node4.buuoj.cn:81/shop?page&＃61;&＃39;
for i in range(1,500):url&＃61;s&＃43;str(i)result&＃61;requests.get(url).content.decode(&＃39;utf-8&＃39;)if &＃39;lv6.png&＃39; in result:print(url)

账号里的钱不够买这个&＃xff0c;抓个包看看。

有一个price的值和一个discount的值&＃xff0c;修改price会报错&＃xff0c;而discount可以操作&＃xff0c;所以我们让它的折扣打的越小越好 

然后有东西出来了&＃xff0c;是一个目录&＃xff0c;访问一下

既然需要admin&＃xff0c;我们就利用到开始引入的JWT伪造。

JWT伪造 

 JWT进行信息验证&＃xff0c;我们可以在bp抓的包中看到&＃xff0c;将其放在网站解析看看

用户123是我注册时候的用户名&＃xff0c;尝试修改123为admin&＃xff0c;最后我们还有一点需要注意&＃xff0c;就是签名需要的密匙从哪里弄&＃xff1f;需要利用到一个工具c-jwt-cracker 把JWT放进去能爆出密匙&＃xff0c;下载请参考GitHub中的教程。

密匙为1Kun&＃xff0c;我们把这个放入伪造JWT的网站中

源码出来了&＃xff0c;前摇有点长忍耐一下&＃xff0c;Python反序列化就在下面。

Python反序列化 

直接找能序列化和反序列化的文件即导了pickle的包

有一个反序列化&＃xff0c;但是中间还卡了一个url编码的函数&＃xff0c;所以我们要把构造好的payload用quote编码后输送进去。

become是入口&＃xff0c;直接反序列化

import pickle
import urllibclass errorr0(object):def __reduce__(self):return ***a &＃61; errorr0()
b &＃61; pickle.dumps(a)
c &＃61; urllib.quote(b)
print c

最重要的就是return 这里了&＃xff0c;这里我们可以进行一些操作&＃xff0c;读文件查找一些敏感信息&＃xff0c;因为题目没有过滤&＃xff0c;所以我们可以肆意导包&＃xff0c;如os、command等等&＃xff0c;最后一步怎么进行命令执行&＃xff1f;

这里介绍我了解的三个可以命令执行的包

os模块

os.system()

这是一个我觉得很鸡肋的命令执行&＃xff0c;因为它无回显&＃xff0c;什么都不能做&＃xff0c;除了能执行命令成功以外没有什么用&＃xff0c;当然如果能用bash反弹shell其实也还是可以。

os.popen()

这个命令相较与上一个更好一些&＃xff0c;因为它可读&＃xff0c;括号中放命令&＃xff0c;但是得通过read()读取其中的内容

commands模块

getoutput &＃xff1a; 获取执行命令后的返回信息

getstatus &＃xff1a;获取执行命令的状态值(执行命令成功返回数值0&＃xff0c;否则返回非0)

getstatusoutput &＃xff1a;获取执行命令的状态值以及返回信息

commands.getoutput是最常用的&＃xff0c;也是我感觉最好用的&＃xff0c;不过仅限python2&＃xff0c;在python3中这玩意儿被驱逐出去了&＃xff0c;用了另外一个库代替它-----subprocess。

subprocess模块

subprocess也能使用getoutput对象&＃xff0c;它还有许多其它的骚操作&＃xff0c;具体详情请看这篇文章。

当然由于这个模块只存在于Python3所以这个题目我们无法导入。

既然如此我们便可以开始继续做题目了&＃xff0c;通过commands模块&＃xff0c;我们可以命令执行&＃xff0c;查找flag所在位置&＃xff0c;并且读取它。

import pickle
import urllib
import commandsclass errorr0(object):def __reduce__(self):return (commands.getoutput,("ls /",))a &＃61; errorr0()
b &＃61; pickle.dumps(a)
c &＃61; urllib.quote(b)
print c

直接cat读它便可以得到flag了

虽然但是&＃xff0c;主要是前面套了好几层&＃xff0c;后面Python反序列化考的挺简单的适合初学者做一做。

初学py反序列化&＃xff0c;如果有讲的不对的地方或者大家有什么问题可以在评论区留言&＃xff0c;希望能谅解。

参考&＃xff1a;https://www.jb51.net/article/142787.htm#_label2

python执行系统命令四种方法比较_Tab609的博客-CSDN博客_python执行命令行

认识JWT - 废物大师兄 - 博客园

https://www.jb51.net/article/225812.htm

Python反序列化漏洞的花式利用 - 先知社区