Web - Serveur

mercredi 25 mars 2020, 12:34  #1
Web - Serveur JWT - Jeton révoqué
Jibux
  • 5 posts

Bonjour à tous,

J’arrive bien a avoir le token... Il est revoked à chaque fois...
Quelqu’un a des pistes pour avancer la dessus ?

Merci !

mercredi 25 mars 2020, 17:12  #2
Web - Serveur JWT - Jeton révoqué
N3KO
  • 8 posts

Salut à toi,

[Th1b4ud : spoil. Ils vont comprendre tout seul]

voilà en espèrent ne pas en avoir trop dit ça devrait clairement te mettre sur le bon chemin

mercredi 25 mars 2020, 18:32  #3
Web - Serveur JWT - Jeton révoqué
Jibux
  • 5 posts

Salut,

Je sais quel est l’algo utilisé et comment il fonctionne. J’avais essayé de casser le secret sans succès. Mais comme tu me dis de garder exactement le même JWT, je dois trouver un autre moyen que de le modifier alors...

mercredi 25 mars 2020, 19:07  #4
Web - Serveur JWT - Jeton révoqué
N3KO
  • 8 posts

C’est vraiment très basique ne cherche pas trop loin

jeudi 26 mars 2020, 00:10  #5
Web - Serveur JWT - Jeton révoqué
Th1b4ud
  • 923 posts

Il ne faut pas trouver le secret

vendredi 27 mars 2020, 09:54  #6
Web - Serveur JWT - Jeton révoqué
Thibault Serti
  • 6 posts

Salut, je suis également bloqué, je ne pense pas que la vulnérabilité vienne du JWT lui-même étant donné qu’il est impossible de le modifier ... (j’ai déjà tenté les vulnérabilités connues sur le JWT présentées dans les précédents challenges mais ça ne fonctionne pas)
J’ai bien remarqué qu’il y avait 2 états du token revoked et expired. Un petit indice ou de la doc qui mettrait sur la voie pour avancer ?

samedi 28 mars 2020, 21:05  #7
Web - Serveur JWT - Jeton révoqué
Eagleslam
  • 7 posts

J’en suis au même point.
J’ai pas l’impression que les vulnérabilités "classiques" sur JWT fonctionnent.
Du coup je ne sais pas ou chercher. :/
Quelqu’un ?! :)

samedi 28 mars 2020, 22:34  #8
Web - Serveur JWT - Jeton révoqué
baguette
  • 5 posts

Ce que l’on peut vous dire, c’est que le jeton ne doit pas être = à celui que l’on vous donne sur /login

dimanche 29 mars 2020, 13:49  #9
Web - Serveur JWT - Jeton révoqué
quotequoteCodec
  • 38 posts

Hello @tous,

Bon, je suis un peu comme ceux qui se frottent sur le sujet depuis un bon moment...

- J’ai le token initial
- j’arrive à générer un nouveau en changeant ce qu’il faut (du moins je pense)
- je le retourne bien (avec le bon /xxxx) mais grrrrrr j’ai un message d’insulte : erreur 422

Et là je séche.

Une piste ?

dimanche 29 mars 2020, 15:22  #10
Web - Serveur JWT - Jeton révoqué
I_love_to_learn
  • 1 posts

@quote je pense qui j’ai le même problème, je sais pas est ce qu’on doit changer qlq chose (unix t....) par ce que j’ai essayé tous et j’ai pas encore arrivé, any hint ? parce que les références mis en challenge ne m’aide pas !

dimanche 29 mars 2020, 17:35  #11
Web - Serveur JWT - Jeton révoqué
Thibault Serti
  • 6 posts

Je peux donner un indice : le système de backend qui permet de vérifier si un token est révoqué est "fait maison" (oui j’ai fini par trouver, un peu par hasard d’ailleurs)

dimanche 29 mars 2020, 20:10  #12
Web - Serveur JWT - Jeton révoqué
quotequoteCodec
  • 38 posts

Slt Thibault,

Merci pour l’indice.

J’ai l’impression qu’il faut modifier un certain nombre de choses dans le nouveau token (je ne veux pas spoiler) et qu’il faut prendre le "secret" pour re-générer le token.
le secret reste donc à trouver ...sauf que Th1b4ud a dit qu’il ne fallait pas le trouver...
J’ai essayé des secrets sur la base des indices ...isn’t it...mais plouf !!!

suis-je sur la bonne voie, ou ne suis-je pas sur la bonne voie ?
😉

dimanche 29 mars 2020, 20:20  #13
Web - Serveur JWT - Jeton révoqué
nicolhack
  • 3 posts

Salut à tous,
Je n’arrive même pas à obtenir le jeton j’ai l’impression pourtant j’analyse bien les request, responses, j’ai forgé un token avec les infos qu’il y a dans /login. Pouvez-vous m’en dire plus sur le jeton que vous obtenez ? car je ne pense pas être arrivé à cette étape, ça ne me dit rien...
Merci d’avance
Ps : j’ai bien réussi les 2 jwt d’avant donc je pense avoir compris le principe mais la je sèche ..

dimanche 29 mars 2020, 20:32  #14
Web - Serveur JWT - Jeton révoqué
Mugiwara27
  • 2 posts

@quotequoteCodec Il n’y a pas besoin de modifier quoi que ce soit du contenu du jwt, donc non, tu n’es pas vraiment sur la bonne voie.

@nicolhack Si tu as réussi à récupérer un token sur /login, alors tu as tout ce qu’il te faut pour résoudre ce challenge.

Petite hint à tout ceux en galère dessus, don’t overthink it, c’est bien plus simple que ce que vous pensez.

dimanche 29 mars 2020, 21:17  #15
Web - Serveur JWT - Jeton révoqué
Prokium
  • 1 posts

@nicolhack : si tu n’as pas réussi à récupérer le token : regardes le format que l’on te donne lorsque tu "tapes" sur le end point admin. C’est cela qui te manque pour récupérer le token.

dimanche 29 mars 2020, 22:20  #16
Web - Serveur JWT - Jeton révoqué
nicolhack
  • 3 posts

@Mugiwara27 je crois bien que je n’ai pas le token justement

@Prokium merci mais malheuresement je ne vois pas quoi en déduire après plusieurs tests ...

dimanche 29 mars 2020, 22:32  #17
Web - Serveur JWT - Jeton révoqué
nicolhack
  • 3 posts

ça y est j’ai compris mon erreur pour le token merci ! mais du coup je me retrouve au même endroit que @quote avec l’erreur 422

lundi 30 mars 2020, 13:53  #18
Web - Serveur JWT - Jeton révoqué
quotequoteCodec
  • 38 posts

Hello,

j’ai peur de spoiler avec ma question...donc supprimez là si c’est le cas...

...et scripter une request pour récupérer le jeton et une request pour soumettre le jeton en moins de 3 secondes ???

une bonne piste ?

EDIT ---> c’est pas une bonne piste...chall résolu
C’est super, méga simple...un petit hint...regarder le format du token...est-il complet ??

mardi 31 mars 2020, 09:40  #19
Web - Serveur JWT - Jeton révoqué
Jibux
  • 5 posts

D’un côté on nous dit "le jeton ne doit pas être = à celui que l’on vous donne sur /login". D’un autre côté "Il n’y a pas besoin de modifier quoi que ce soit du contenu du jwt". Doit-on récupérer un autre jeton avec d’autres info dans les datas à envoyer au /login ?

mardi 31 mars 2020, 11:12  #20
Web - Serveur JWT - Jeton révoqué
Th1b4ud
  • 923 posts

Non. Il n’y a pas d’autres jetons à récupérer autre que sur le /login.

mardi 31 mars 2020, 11:52  #21
Web - Serveur JWT - Jeton révoqué
Crafty
  • 10 posts

Je ne comprends pas le hint du ".regarder le format du token...est-il complet ??". pour moi, oui il est bien complet...

Logiquement il faut modifier le payload pour rendre le token unique et tromper le revoke mais sans le secret je ne vois pas comment faire !
Aucune attaque de JWT connues fonctionnent...

Ça fait des jours que je galère, j’ai même dev un petit script en python pour aller plus vite.

mardi 31 mars 2020, 14:30  #22
Web - Serveur JWT - Jeton révoqué
Th1b4ud
  • 923 posts

De quoi se compose un JWT ? Quelles sont les parties pouvant être modifiées sans impacter l’intégrité du jeton ? Que pouvez vous en déduire sur le point d’entrée de la vulnérabilité ?
Avez vous analysez le code source ? Que pouvez vous déduire de la méthode de blacklist ?

mardi 31 mars 2020, 17:44  #23
Web - Serveur JWT - Jeton révoqué
Jibux
  • 5 posts

Challenge validé.
Je suis nouveau ici... pourquoi je n’ai pas eu accès au code source d’entrée de jeu ?

mardi 31 mars 2020, 17:48  #24
Web - Serveur JWT - Jeton révoqué
das
das
  • 42 posts

Hello,

On a décidé il y a quelques heures de rendre le code visible à tous pour mieux orienter les gens dans leurs recherches.

Bravo d’avoir réussi à valider sans ! :)

mardi 31 mars 2020, 17:57  #25
Web - Serveur JWT - Jeton révoqué
Jibux
  • 5 posts

C’est justement le code source qui m’a aidé 🙂

mardi 31 mars 2020, 18:43  #26
Web - Serveur JWT - Jeton révoqué
Crafty
  • 10 posts

OK c’est validé ! Je confirme c’était très simple au final.

On devrait rajouter la RFC 4648 dans les docs du chall ça donnerai un bon indice ;)

mercredi 1er avril 2020, 09:19  #27
Web - Serveur JWT - Jeton révoqué
florianges2
  • 3 posts

Hello,

En effet c’est tout bête !
La RFC indiqué par Crafty m’a beaucoup aidé (merci Crafty !)
Cela permet de voir sur quoi se concentrer :)

dimanche 5 avril 2020, 18:10  #28
Web - Serveur JWT - Jeton révoqué
twizzler66
  • 1 posts

Bonjour,

EDIT : je n’ai plus besoin d’une réponse à mes questions, merci