https://tntrenjin.github.io/tags/picoctf2023/ Recent content in PicoCTF2023 on RJ Blog Hugo -- 0.150.0 zh-tw Mon, 24 Nov 2025 00:00:00 +0000 https://tntrenjin.github.io/write-up/picoctf2023/java-code-analysis/ Mon, 24 Nov 2025 00:00:00 +0000 https://tntrenjin.github.io/write-up/picoctf2023/java-code-analysis/ <h2 id="題目資訊">題目資訊</h2> <ul> <li>來源：picoCTF2023</li> <li>分類：Web Exploitation</li> <li>難度：中</li> </ul> <h2 id="解題流程">解題流程</h2> <p>先用題目給的帳號密碼登入</p> <p><img loading="lazy" src="https://tntrenjin.github.io/write-up/picoctf2023/java-code-analysis/image.png"></p> <p>登入後，下面就會有特定身分才能開的書，其中一個就是 flag</p> <p><img loading="lazy" src="https://tntrenjin.github.io/write-up/picoctf2023/java-code-analysis/image-1.png"></p> <p>因為網頁本身沒有特別的東西</p> <p>往後看 cookie、local storage 和 session storage</p> <ul> <li>local storage 存了兩個值，分別是 auth-token 和 token-payload</li> <li>token 解開就是 payload 的值，如下圖</li> </ul> <p><img loading="lazy" src="https://tntrenjin.github.io/write-up/picoctf2023/java-code-analysis/image-2.png"></p> <p>提示說 role 跟 userId 可能有有趣的東西</p> <p>直接把 role 改成 <code>Admin</code>，userId 改成 <code>0</code></p> <p>會發現使用者名稱換了，然後頭像找不到</p> <p><img loading="lazy" src="https://tntrenjin.github.io/write-up/picoctf2023/java-code-analysis/image-3.png"></p> <p>如果直接改 token 畫面就沒東西，看來也會驗證簽章</p> <p><img loading="lazy" src="https://tntrenjin.github.io/write-up/picoctf2023/java-code-analysis/image-4.png"></p> <p>好吧，轉頭找原始碼…</p> <p>提示說 controllers, services 和 security 值得注意</p> <p>翻一下有個產生 secret 的片段在 <code>/src/main/java/io/github/nandandesai/pico/security/SecretGenerator.java</code></p> <p><img alt="alt text" loading="lazy" src="https://tntrenjin.github.io/write-up/picoctf2023/java-code-analysis/image-5.png"></p> <p>所以 secret 就直接是 1234</p> <p>把 secret 改成 1234 再寫回去</p> <p><img alt="alt text" loading="lazy" src="https://tntrenjin.github.io/write-up/picoctf2023/java-code-analysis/image-6.png"></p>