Web - Serveur
JWT Clé publique
Bonjour, je n’arrive pas à terminer ce challenge et ça doit bien faire 7 h que je suis dessus. J’ai lu les topics du forum mais ça ne m’a pas aidé. Je pense avoir compris la faille . J’ai la clé et j’utilise pyjwt pour faire tout ça, j’ai bien fait attention au carriage return mais rien n’y fait, le serveur me répond toujours "message" : "You must be admin to enter here"
JWT Clé publique
Hello, quand j’étais sur ce challenge, j’ai pris 1 semaine, chacun son rythme.
Je pense qu’il faut que tu fasses la démo mentionnée dans les ressources du challenge : Attacking JWT.
JWT Clé publique
Je viens de finir le challenge après pas mal de temps perdu pour rien.
Comme je galerais et que je comprennais pas, j’ai ecris le code dans différents languages.
Il en résulte que :
* Ruby avec la lib ruby-jwt => Success.
* nodejs avec la lib jsonwebtoken => Success
* python avec PyJWT => Fail
La logique et le formatage des data sont les memes dans les 3 algos. Bref, changez de langage au lieux de perdre du temps si vous avez la logique...
JWT Clé publique
Bonjour,
Je confirme que :
– le plus difficile est de trouver la bonne bibliothèque ou le bon outil
– qu’une « vérification » sur « la démo » (voir réponse de namto) évite de perdre du temps sur le CTF 😢
– Un outil « no code » simple et rapide est https://jwt.io/ en utilisant la possibilité d’encoder en base64 le secret [X] secret base64 encoded (CyberChef ou autre)
– En Python, il faut revenir à une ancienne version de PyJWT pour pouvoir forger le jeton :
« InvalidKeyError : The specified key is an asymmetric key or x509 certificate and should not be used as an HMAC secret. »
https://security.stackexchange.com/questions/187265/jwt-encoding-using-hmac-with-asymmetric-key-as-secret
pip install pyjwt==0.4.3
– Avec CyberChef (Version 9.28.0), le JWT produit n’est pas correct.
Bon CTF
JWT Clé publique
Merci pour les 2 derniers commentaires, une vrai perte de temps ce challenge