はまやんはまやんはまやん

hamayanhamayan's blog

JaWT Scratchpad [picoCTF 2019 Web 400]

https://ctftime.org/task/9874

前提知識

解説

adminではもちろん入れない。
どこから攻めるかという感じだが、JWTがなんだか強調されているので、Cookieを見てみると、JWTが入ってる。
中をここで見てみると、HS256でハッシュ化されて認証に使われている。
問題のsecretが分からないが、Johnへのリンクが張ってある。
JohnTheRipperは昔からあるパスワード解析アプリであり、これを使ってHS256もいけるみたい。

このサイトを参考にしてパスワードクラックする。
ただファイルにJWT入れて、john.exeに第一引数で渡すだけでcrackできる。
すごいが、全探索だとPCが弱くてむちゃ遅い。
なので、いろんな解説で紹介されているrockyou.txtを使った辞書攻撃を使おう。
なんだコレという感じだが、このまとめを見ると有名みたい。
爆速で出てくる「ilovepico」を秘密鍵として作ってクッキーに入れ直すと、フラグが出てくる。

JWTへのcrack方法として、algをnoneに変更するというものもあるが、今回はだめなようだ。