Web - Serveur

Bonjour à tous,

J’arrive bien a avoir le token... Il est revoked à chaque fois...
Quelqu’un a des pistes pour avancer la dessus ?

Merci !

Salut à toi,

[Th1b4ud : spoil. Ils vont comprendre tout seul]

voilà en espèrent ne pas en avoir trop dit ça devrait clairement te mettre sur le bon chemin

Salut,

Je sais quel est l’algo utilisé et comment il fonctionne. J’avais essayé de casser le secret sans succès. Mais comme tu me dis de garder exactement le même JWT, je dois trouver un autre moyen que de le modifier alors...

C’est vraiment très basique ne cherche pas trop loin

Il ne faut pas trouver le secret

Salut, je suis également bloqué, je ne pense pas que la vulnérabilité vienne du JWT lui-même étant donné qu’il est impossible de le modifier ... (j’ai déjà tenté les vulnérabilités connues sur le JWT présentées dans les précédents challenges mais ça ne fonctionne pas)
J’ai bien remarqué qu’il y avait 2 états du token revoked et expired. Un petit indice ou de la doc qui mettrait sur la voie pour avancer ?

J’en suis au même point.
J’ai pas l’impression que les vulnérabilités "classiques" sur JWT fonctionnent.
Du coup je ne sais pas ou chercher. :/
Quelqu’un ?! :)

Ce que l’on peut vous dire, c’est que le jeton ne doit pas être = à celui que l’on vous donne sur /login

Hello @tous,

Bon, je suis un peu comme ceux qui se frottent sur le sujet depuis un bon moment...

– J’ai le token initial
– j’arrive à générer un nouveau en changeant ce qu’il faut (du moins je pense)
– je le retourne bien (avec le bon /xxxx) mais grrrrrr j’ai un message d’insulte : erreur 422

Et là je séche.

Une piste ?

@quote je pense qui j’ai le même problème, je sais pas est ce qu’on doit changer qlq chose (unix t....) par ce que j’ai essayé tous et j’ai pas encore arrivé, any hint ? parce que les références mis en challenge ne m’aide pas !

Je peux donner un indice : le système de backend qui permet de vérifier si un token est révoqué est "fait maison" (oui j’ai fini par trouver, un peu par hasard d’ailleurs)

Slt Thibault,

Merci pour l’indice.

J’ai l’impression qu’il faut modifier un certain nombre de choses dans le nouveau token (je ne veux pas spoiler) et qu’il faut prendre le "secret" pour re-générer le token.
le secret reste donc à trouver ...sauf que Th1b4ud a dit qu’il ne fallait pas le trouver...
J’ai essayé des secrets sur la base des indices ...isn’t it...mais plouf !!!

suis-je sur la bonne voie, ou ne suis-je pas sur la bonne voie ?
😉

Salut à tous,
Je n’arrive même pas à obtenir le jeton j’ai l’impression pourtant j’analyse bien les request, responses, j’ai forgé un token avec les infos qu’il y a dans /login. Pouvez-vous m’en dire plus sur le jeton que vous obtenez ? car je ne pense pas être arrivé à cette étape, ça ne me dit rien...
Merci d’avance
Ps : j’ai bien réussi les 2 jwt d’avant donc je pense avoir compris le principe mais la je sèche ..

@quotequoteCodec Il n’y a pas besoin de modifier quoi que ce soit du contenu du jwt, donc non, tu n’es pas vraiment sur la bonne voie.

@nicolhack Si tu as réussi à récupérer un token sur /login, alors tu as tout ce qu’il te faut pour résoudre ce challenge.

Petite hint à tout ceux en galère dessus, don’t overthink it, c’est bien plus simple que ce que vous pensez.

@nicolhack : si tu n’as pas réussi à récupérer le token : regardes le format que l’on te donne lorsque tu "tapes" sur le end point admin. C’est cela qui te manque pour récupérer le token.

@Mugiwara27 je crois bien que je n’ai pas le token justement

@Prokium merci mais malheuresement je ne vois pas quoi en déduire après plusieurs tests ...

ça y est j’ai compris mon erreur pour le token merci ! mais du coup je me retrouve au même endroit que @quote avec l’erreur 422

Hello,

j’ai peur de spoiler avec ma question...donc supprimez là si c’est le cas...

...et scripter une request pour récupérer le jeton et une request pour soumettre le jeton en moins de 3 secondes ???

une bonne piste ?

EDIT ---> c’est pas une bonne piste...chall résolu
C’est super, méga simple...un petit hint...regarder le format du token...est-il complet ??

D’un côté on nous dit "le jeton ne doit pas être = à celui que l’on vous donne sur /login". D’un autre côté "Il n’y a pas besoin de modifier quoi que ce soit du contenu du jwt". Doit-on récupérer un autre jeton avec d’autres info dans les datas à envoyer au /login ?

Non. Il n’y a pas d’autres jetons à récupérer autre que sur le /login.

Je ne comprends pas le hint du ".regarder le format du token...est-il complet ??". pour moi, oui il est bien complet...

Logiquement il faut modifier le payload pour rendre le token unique et tromper le revoke mais sans le secret je ne vois pas comment faire !
Aucune attaque de JWT connues fonctionnent...

Ça fait des jours que je galère, j’ai même dev un petit script en python pour aller plus vite.

De quoi se compose un JWT ? Quelles sont les parties pouvant être modifiées sans impacter l’intégrité du jeton ? Que pouvez vous en déduire sur le point d’entrée de la vulnérabilité ?
Avez vous analysez le code source ? Que pouvez vous déduire de la méthode de blacklist ?

Challenge validé.
Je suis nouveau ici... pourquoi je n’ai pas eu accès au code source d’entrée de jeu ?

Hello,

On a décidé il y a quelques heures de rendre le code visible à tous pour mieux orienter les gens dans leurs recherches.

Bravo d’avoir réussi à valider sans ! :)

C’est justement le code source qui m’a aidé 🙂

OK c’est validé ! Je confirme c’était très simple au final.

On devrait rajouter la RFC 4648 dans les docs du chall ça donnerai un bon indice ;)

Hello,

En effet c’est tout bête !
La RFC indiqué par Crafty m’a beaucoup aidé (merci Crafty !)
Cela permet de voir sur quoi se concentrer :)

Bonjour,

EDIT : je n’ai plus besoin d’une réponse à mes questions, merci

Bonsoir,
Via un script
J’arrive à avoir le token
j’arrive à renvoyer l’authorization immédiatement avec le token
mais "msg" :"Token is revoked"

Avez vous analysez le code source ? Que pouvez vous déduire de la méthode de blacklist ?

Sans modifier le token il faut donc que celui ci ne soit pas dans la blacklist mais des le début .lock donc la je tourne en rond

Bonsoir pfromeuf,

Tu as tout dit,
il n’y a plus qu’a trouver un moyen de faire.

Un conseil : si tu as fais le challenge Base Jumper tu verras plus facilement la solution.

@++ & bon courage !

Résolu, un gd merci pour le conseil RFC 4648
Pierre

le message de baguette m’a beaucoup aidé  😄

Bonjour,

Je suis quelque peu bloqué sur ce challenge.
J’ai récupéré le token sur la page login, essayé de comprendre le fonctionnement du code source et lu les différents messages sur ce post, mais je suis désormais quelque peu confus.

[Th1b4ud : tu es sur la bonne voie]

Merci d’avance  🙂

C’est une bonne piste

La rfc 4648 indiquée par crafty m’a beaucoup aider. Je vous conseillez de jeter un coup d’oeil. Si vous êtes vraiment bloqué.
L’objectif est de retourner un token contenant les mêmes datas que celui envoyé par le serveur mais un peu gratifié de façon à ce qu’il ne soit pas connu dans le set Blacklist

Pour ceux qui bloquent encore, essayez de familiariser avec les subtilités de l’encodage base64 (par exemple avec CyberChef qui est parfait).