#本人web安全方面知识一直欠缺, 在好友Z的一起研究下, 这两天查阅各种资料, 现学现卖, 终于...搞定...

走过的弯路就不多说了(心里苦, 不过这两天学到挺多知识^-^), 直接写下进入后台拿到flag的方法.

扫描端口, 发现redis数据库端口6379开启.
远程可以直接连接上.

数据库主要的有captcha_codes和login_tokens.

利用搜索引擎不难找到若依框架项目的开源代码:
https://gitee.com/qi-xiaoxiao/qixiaoxiao

顺便还能找到演示地址：
http://vue.ruoyi.vip

演示地址可以用admin/admin123帐号登录.

redis数据库里的数据:

从中挑出几条关键的信息:
1.管理员帐号密码

userName是明文, password进行加密过了.
审阅开源代码, 发现password使用的是Spring security中的BCrypt算法加密, 计算hash不可逆.
曾一度想尝试爆破, 最终放弃...

2.tokenId

登录成功后response包里应该有tokenId, 并且登录成功后的http访问应该都带着tokenId.
或许可以伪造一份假的token.

开干!

在演示地址中登录成功后抓http访问的包.

在Cookie:Admin-Token, Authorization都有出现token.
测试删掉cookie访问正常, 说明服务器验证的是Authorization里的token.

Authorization内容和redis数据库里的tokenId好像不太一样.
审阅开源代码得出Authorization由TOKEN_PREFIX和token组成.

token由io.jsonwebtoken.Jwts生成.

一个token分3部分，按顺序为
头部（header)
其为载荷（payload)
签证（signature)
由三部分生成token
3部分之间用“.”号做分隔。例如:

头部声明类型是jwt, 加密的算法是HMAC SHA256
playload存放数据, tokenId就是存在这里

jwt的第三部分是一个签证信息，这个签证信息算法如下：
base64UrlEncode(header) + "." + base64UrlEncode(payload)+your-256-bit-secret
这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串，然后通过header中声明的加密方式进行加盐secret组合加密，然后就构成了jwt的第三部分

伪造tokenId的话, 需要构造完整三部分的jwt消息.
因为没有自己搭建环境(主要是懒得敲java代码- -!), 这里直接在演示地址正常登录抓包拿下一份jwt消息:

在数据库里的login_tokens增加一个数据, 对之前存在的一个login_token做修改, 把key的名字和value里的token都要改成自己手上的"22bded2f-3b96-43eb-a6c1-332a1565d369".

添加以后, 使用burp suite带着Authorization协议头访问/dev-api/getRouters, 成功的返回了数据.

接下来就是要登录进后台了.

在登录界面, 随意输入帐号密码和验证码进行登录, 使用burp suite修改response数据:(返回登录成功结果和伪造的token)

成功登录进后台!

CTF flag:2345_ert3_Wee

经过两天时间, 连滚带爬地学习了挺多web安全的知识, 自我感觉收获真的很大.
感谢好友Z的指导和一起学习尝试.

参考资料:
1.JSON Web Token（JWT）使用步骤说明:https://www.cnblogs.com/renhui/p/10194681.html
2.Spring security中的BCryptPasswordEncoder方法对密码进行加密与密码匹配:https://www.cnblogs.com/Amywangqing/p/13640838.html

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！