Web - Serveur JWT - Jeton révoqué
Salut,
Je sais quel est l’algo utilisé et comment il fonctionne. J’avais essayé de casser le secret sans succès. Mais comme tu me dis de garder exactement le même JWT, je dois trouver un autre moyen que de le modifier alors...
Web - Serveur JWT - Jeton révoqué
Salut, je suis également bloqué, je ne pense pas que la vulnérabilité vienne du JWT lui-même étant donné qu’il est impossible de le modifier ... (j’ai déjà tenté les vulnérabilités connues sur le JWT présentées dans les précédents challenges mais ça ne fonctionne pas)
J’ai bien remarqué qu’il y avait 2 états du token revoked et expired. Un petit indice ou de la doc qui mettrait sur la voie pour avancer ?
Web - Serveur JWT - Jeton révoqué
Hello @tous,
Bon, je suis un peu comme ceux qui se frottent sur le sujet depuis un bon moment...
– J’ai le token initial
– j’arrive à générer un nouveau en changeant ce qu’il faut (du moins je pense)
– je le retourne bien (avec le bon /xxxx) mais grrrrrr j’ai un message d’insulte : erreur 422
Et là je séche.
Une piste ?
Web - Serveur JWT - Jeton révoqué
@quote je pense qui j’ai le même problème, je sais pas est ce qu’on doit changer qlq chose (unix t....) par ce que j’ai essayé tous et j’ai pas encore arrivé, any hint ? parce que les références mis en challenge ne m’aide pas !
Web - Serveur JWT - Jeton révoqué
Je peux donner un indice : le système de backend qui permet de vérifier si un token est révoqué est "fait maison" (oui j’ai fini par trouver, un peu par hasard d’ailleurs)
Web - Serveur JWT - Jeton révoqué
Slt Thibault,
Merci pour l’indice.
J’ai l’impression qu’il faut modifier un certain nombre de choses dans le nouveau token (je ne veux pas spoiler) et qu’il faut prendre le "secret" pour re-générer le token.
le secret reste donc à trouver ...sauf que Th1b4ud a dit qu’il ne fallait pas le trouver...
J’ai essayé des secrets sur la base des indices ...isn’t it...mais plouf !!!
suis-je sur la bonne voie, ou ne suis-je pas sur la bonne voie ?
😉
Web - Serveur JWT - Jeton révoqué
Salut à tous,
Je n’arrive même pas à obtenir le jeton j’ai l’impression pourtant j’analyse bien les request, responses, j’ai forgé un token avec les infos qu’il y a dans /login. Pouvez-vous m’en dire plus sur le jeton que vous obtenez ? car je ne pense pas être arrivé à cette étape, ça ne me dit rien...
Merci d’avance
Ps : j’ai bien réussi les 2 jwt d’avant donc je pense avoir compris le principe mais la je sèche ..
Web - Serveur JWT - Jeton révoqué
@quotequoteCodec Il n’y a pas besoin de modifier quoi que ce soit du contenu du jwt, donc non, tu n’es pas vraiment sur la bonne voie.
@nicolhack Si tu as réussi à récupérer un token sur /login, alors tu as tout ce qu’il te faut pour résoudre ce challenge.
Petite hint à tout ceux en galère dessus, don’t overthink it, c’est bien plus simple que ce que vous pensez.
Web - Serveur JWT - Jeton révoqué
Hello,
j’ai peur de spoiler avec ma question...donc supprimez là si c’est le cas...
...et scripter une request pour récupérer le jeton et une request pour soumettre le jeton en moins de 3 secondes ???
une bonne piste ?
EDIT ---> c’est pas une bonne piste...chall résolu
C’est super, méga simple...un petit hint...regarder le format du token...est-il complet ??
Web - Serveur JWT - Jeton révoqué
D’un côté on nous dit "le jeton ne doit pas être = à celui que l’on vous donne sur /login". D’un autre côté "Il n’y a pas besoin de modifier quoi que ce soit du contenu du jwt". Doit-on récupérer un autre jeton avec d’autres info dans les datas à envoyer au /login ?
Web - Serveur JWT - Jeton révoqué
Je ne comprends pas le hint du ".regarder le format du token...est-il complet ??". pour moi, oui il est bien complet...
Logiquement il faut modifier le payload pour rendre le token unique et tromper le revoke mais sans le secret je ne vois pas comment faire !
Aucune attaque de JWT connues fonctionnent...
Ça fait des jours que je galère, j’ai même dev un petit script en python pour aller plus vite.
Web - Serveur JWT - Jeton révoqué
De quoi se compose un JWT ? Quelles sont les parties pouvant être modifiées sans impacter l’intégrité du jeton ? Que pouvez vous en déduire sur le point d’entrée de la vulnérabilité ?
Avez vous analysez le code source ? Que pouvez vous déduire de la méthode de blacklist ?
Web - Serveur JWT - Jeton révoqué
Hello,
En effet c’est tout bête !
La RFC indiqué par Crafty m’a beaucoup aidé (merci Crafty !)
Cela permet de voir sur quoi se concentrer :)
Web - Serveur JWT - Jeton révoqué
Bonjour,
EDIT : je n’ai plus besoin d’une réponse à mes questions, merci
Web - Serveur JWT - Jeton révoqué
Bonsoir,
Via un script
J’arrive à avoir le token
j’arrive à renvoyer l’authorization immédiatement avec le token
mais "msg" :"Token is revoked"
Avez vous analysez le code source ? Que pouvez vous déduire de la méthode de blacklist ?
Sans modifier le token il faut donc que celui ci ne soit pas dans la blacklist mais des le début .lock donc la je tourne en rond
Web - Serveur JWT - Jeton révoqué
Bonsoir pfromeuf,
Tu as tout dit,
il n’y a plus qu’a trouver un moyen de faire.
Un conseil : si tu as fais le challenge Base Jumper tu verras plus facilement la solution.
@++ & bon courage !
Web - Serveur JWT - Jeton révoqué
Bonjour,
Je suis quelque peu bloqué sur ce challenge.
J’ai récupéré le token sur la page login, essayé de comprendre le fonctionnement du code source et lu les différents messages sur ce post, mais je suis désormais quelque peu confus.
[Th1b4ud : tu es sur la bonne voie]
Merci d’avance 🙂
Web - Serveur JWT - Jeton révoqué
La rfc 4648 indiquée par crafty m’a beaucoup aider. Je vous conseillez de jeter un coup d’oeil. Si vous êtes vraiment bloqué.
L’objectif est de retourner un token contenant les mêmes datas que celui envoyé par le serveur mais un peu gratifié de façon à ce qu’il ne soit pas connu dans le set Blacklist
Web - Serveur JWT - Jeton révoqué
Pour ceux qui bloquent encore, essayez de familiariser avec les subtilités de l’encodage base64 (par exemple avec CyberChef qui est parfait).