CTFHub-JSON Web Token-弱**
根据题目的提示:
如果JWT采用对称加密算法,并且**的强度较弱的话,攻击者可以直接通过蛮力攻击方式来****。尝试获取flag。
进入环境之后还是一样的,随意登录,抓包,发现返回了token:
我们发现HS256是对称加密算法,根据题目意思,**强度较弱可以直接**,因此我们进行**:
我们使用这个工具:
JWT cracker
自己写脚本也可以,不过我不会python。。。我也没找到个好用的字典(我也很迷,我找了几个字典**全都不在里面,最后只能用这个比较强的工具了)
这个工具需要在Linux上面运行。我因为不太懂Linux…,也没装虚拟机也迷了很久。。。
放一下在Linux上面运行的截图:
经过这个工具的**,得到我这里的**是sjjp。然后再把**放进去:
别忘了把role:guest改成role:admin。
然后再把构造成功的token放进请求里面,就可以获得flag了: