2. 程式人生 > 實用技巧 >CTFHub題解-技能樹-Web進階-JSON Web Token 【敏感資訊洩露、無簽名】

CTFHub題解-技能樹-Web進階-JSON Web Token 【敏感資訊洩露、無簽名】

阿新 發佈:2020-11-27

CTFHub題解-技能樹-Web進階-JSON Web Token(敏感資訊洩露、無簽名、弱金鑰)

題外話:emmmm,停更了辣麼久......我又厚臉皮回來更新了,哈哈哈哈哈~(。・∀・)ノ゙

(一)敏感資訊洩露

1.知識點

* 先來了解一下 使用者認證流程 (1)使用者向伺服器傳送使用者名稱和密碼。 (2)伺服器驗證通過後,在當前對話(session)裡面儲存相關資料,比如使用者角色、登入時間等等。 (3)伺服器向用戶返回一個 session_id,寫入使用者的 Cookie。 (4)使用者隨後的每一次請求,都會通過 Cookie,將 session_id 傳回伺服器。 (5)伺服器收到 session_id,找到前期儲存的資料,由此得知使用者的身份。
JSON Web Token(縮寫 JWT),伺服器認證以後,生成一個 JSON 物件,發回給使用者。   以後,使用者與服務端通訊的時候,都要發回這個 JSON 物件。   伺服器完全只靠這個物件認定使用者身份。   為了防止使用者篡改資料,伺服器在生成這個物件的時候,會加上簽名。 JWT 的結構 由三部分構成: Header.Payload.Signature 頭部.負載.簽名 舉個栗子~ JWT大概就是這種形式: 頭部:eyJBRyI6IjNmMjhhYzg3NTA2M2JmMn0iLCJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9. 負載:eyJ1c2VybmFtZSI6ImFkbWluIiwicGFzc3dvcmQiOiIxMjM0NTYiLCJGTCI6ImN0Zmh1Yns5ODMzZTE1NzQifQ.
簽名:jFf_cb3Fx3EkOwrTR4ro_a3lMAq3Rd44mfJ8Pih6DqI 它是一個很長的字串,中間用點 . 分隔成三個部分。 Header 部分是一個 JSON 物件,描述 JWT 的元資料。 Payload 部分也是一個 JSON 物件,用來存放實際需要傳遞的資料。 Signature 部分是對前兩部分的簽名,防止資料篡改。這裡需要指定一個金鑰(secret)。這個金鑰只有伺服器才知道,不能洩露給使用者。然後,使用 Header 裡面指定的簽名演算法(預設是 HMAC SHA256)。 注意:Header Payload 串型化的演算法是 Base64URL
JWT 作為一個令牌(token),有些場合可能會放到 URL(比如 api.example.com/?token=xxx)。Base64 有三個字元+、/和=,在 URL 裡面有特殊含義,所以要被替換掉:=被省略、+替換成-,/替換成_ 。 JWT的特點
 (1)JWT 預設是不加密,但也是可以加密的。 (2)JWT 不加密的情況下,不能將祕密資料寫入 JWT。 (3)JWT 不僅可以用於認證,也可以用於交換資訊。有效使用 JWT,可以降低伺服器查詢資料庫的次數。 (4)JWT 簽發了,在到期之前就會始終有效,因為伺服器不儲存 session 狀態,因此無法在使用過程中廢止某個 token,或更改 token 的許可權。 (5)JWT 本身包含了認證資訊,一旦洩露,任何人都可以獲得該令牌的所有許可權。 (6)JWT 不應該使用 HTTP 協議明碼傳輸,要使用 HTTPS 協議傳輸。

2.題解

開啟時候發現是個登入框,先抓個包看看吧~ 我們看到Responsetoken是這個樣子的: eyJBRyI6IjNmMjhhYzg3NTA2M2JmMn0iLCJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VybmFtZSI6ImFkbWluIiwicGFzc3dvcmQiOiIxMjM0NTYiLCJGTCI6ImN0Zmh1Yns5ODMzZTE1NzQifQ.jFf_cb3Fx3EkOwrTR4ro_a3lMAq3Rd44mfJ8Pih6DqI 拿去進行base64url解碼: 可以用burp自帶的解碼器Decoder 也可以用 解碼網站:https://base64.us/# 看到解碼結果,發現了ctfhub的字樣,emmmm,只有一半........ 那麼另一半.........再仔細看看結果,原來在解碼結果的前半段~ 拼起來就可以了~ ctfhub{9833e15743f28ac875063bf2}

(二)無簽名

1.知識點

JWTBase64Url的知識點可以參考上面一道題哦~

2.題解

Go一下看看情況: 先把token=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VybmFtZSI6ImFkbWluIiwicGFzc3dvcmQiOiIxMjM0NTYiLCJyb2xlIjoiZ3Vlc3QifQ.MaphZVk25q4stXxAmEgXmKCW7aUo3jDJtgv9DwahLwc;粘下來。 直接用burp自帶的Decoder進行base64url解碼吧~ 解出來的結果是這個: 
{"typ":"JWT","alg":"none"}.{"username":"admin","password":"123456","role":"admin"fQ.1ªaeY6æ®,µ|@H í¥(Þ0ɶý¡Lwc

從題目提示可以知道:一些JWT庫也支援none演算法,即不使用簽名演算法。當alg欄位為空時,後端將不執行簽名驗證 先解碼 頭部 接著將 HS256演算法修改成none 演算法。 轉碼~ JWT 作為一個令牌(token),有些場合可能會放到 URL(比如 api.example.com/?token=xxx)。Base64 有三個字元+、/和=,在 URL 裡面有特殊含義,所以要被替換掉:=被省略、+替換成-,/替換成_ 。 eyJ0eXAiOiJKV1QiLCJhbGciOiJub25lIn0= 接著解碼 負載 這裡沒有顯示},可能是因為等號= 省略的原因,我們可以先加上 eyJ1c2VybmFtZSI6ImFkbWluIiwicGFzc3dvcmQiOiIxMjM0NTYiLCJyb2xlIjoiYWRtaW4ifQ== 解碼出來是 
{"username":"admin","password":"123456","role":"guest"}
這裡將guest 修改成 admin 轉碼~ 好啦~ 把 頭部 和 負載 拼起來,記得 負載 後的 . 要加上喲~ 原始JWT: eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VybmFtZSI6ImFkbWluIiwicGFzc3dvcmQiOiIxMjM0NTYiLCJyb2xlIjoiZ3Vlc3QifQ.MaphZVk25q4stXxAmEgXmKCW7aUo3jDJtgv9DwahLwc 修改none演算法admin的JWT: eyJ0eXAiOiJKV1QiLCJhbGciOiJub25lIn0.eyJ1c2VybmFtZSI6ImFkbWluIiwicGFzc3dvcmQiOiIxMjM0NTYiLCJyb2xlIjoiYWRtaW4ifQ==. 然後我們把token替換到Request裡面,Go一下 emmmmm.....怎麼沒有flag呢? 仔細看一下跳轉的頁面,是.../index.php 那就把Request的這部分修改一下吧~ POST /index.php HTTP/1.1 Go一下,看到 flag 啦~ ctfhub{d888243961e7b9e90c321e37}

參考資料:

https://jwt.io/introduction/ http://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html https://blog.csdn.net/rfrder/article/details/108619373

相關推薦

CTFHub題解-技能-Web-JSON Web Token 敏感資訊洩露簽名

CTFHub題解-技能-Web-JSON Web Token(敏感資訊洩露簽名弱金鑰) 題外話:emmmm,停更了辣麼久......我又厚臉皮回來更新了,哈哈哈哈哈~(。・∀・)ノ゙

XCTF WEB 區 001-004 WP

XCTF WEB 區 001-004 WP 001.baby_web 開啟主頁index.php,會自動跳轉回1.php直接抓包獲得flag

攻防世界web(一)

1.PHP_python_template_injection 1.題目提示python模板注入,測試http://220.249.52.133:47149/{{7+7}},發現回顯“URL http://220.249.52.133:47149/14 not found”,說明括號裡的程式碼被執行了,存在SSTI。

攻防世界 - Web(二)

supersqli: (!!!) 1.判斷有誤注入,1\'報錯, 1’ 報錯,1’# 正常且為True,1’ and 1=1# 正常且為True,1’ and 1=2# 正常且為False,所以它裡邊存在注入。

攻防世界-Web-supersqli

很久之前做的題目了,現在拿到有點想不起來,記一下方法 其一:堆疊注入(rename+alter)

阿里資深架構師談Java攻略:7大技能+12份筆記+面試150題

以下都是阿里大牛韓飛龍推薦的主流技術,當你全部掌握上述的這些技術那麼你就已經是P8級別,而且你也已經形成了自己的體系,當更加新潮的技術出來時那麼你自己稍微花點時間就能吃透,畢竟那時候你已經不是

攻防世界-web-Web_php_include

從程式碼中得知page中帶有php://的都會被替換成空 str_replace()以其他字元替換字串中的一些字元(區分大小寫)

buuctf 刷題記錄 [第二章 web]檔案上傳

buuctf 刷題記錄 [第二章 web]檔案上傳 上傳,下面給了程式碼 程式碼審計 <?php

WebNginx常用模組

WebNginx常用模組 WebNginx常用模組 Nginx 目錄索引模組:ngx_http_autoindex_module

WebLNMP網站部署2

WebLNMP網站部署2 WebLNMP網站部署2 部署部落格wordpress一些問題 # 1.許可權 /var/lib/nginx臨時快取目錄許可權(沒有改許可權頁面載入不完全)

WebLNMP網站部署1

WebLNMP網站部署1 WebLNMP網站部署1 什麼是LNMP LNMP是一套技術的組合,L=LinuxN=NginxM~=MySQLP~=PHP

WebLNMP網站部署

Web進階LNMP網站部署 LNMP架構工作流程 首先Nginx服務是不能處理動態請求,那麼當用戶發起動態請求時, Nginx又是如何進行處理的。 當用戶發起http請求,請求會被Nginx處理,如果是靜態資源請求Nginx則直接返回,如果

攻防世界web題—bug

攻防世界web題—bug 1開啟題目看一下原始碼,沒有問題 2掃一下目錄,沒有問題

攻防世界web題—unfinish

攻防世界web題—unfinish 1看一下題目提示SQL 2開啟題目看一下原始碼,沒有問題

Datax學習指南(五)-- datax web

  前面四篇已經介紹了datax的基本概念如何新增plugins怎麼打包執行。掌握了前面四章的內容,基本就知道datax是幹嘛的設計原理是什麼如何執行,執行結果是怎樣的。

大型Java專題(八)設計模式之介面卡模式裝飾者模式和觀察者模式

前言 ​ 今天開始我們專題的第八課了。本章節將介紹:三個設計模式,介面卡模式裝飾者模式和觀察者模式。通過學習介面卡模式,可以優雅的解決程式碼功能的相容問題。另外有重構需求的人群一定需要掌握裝飾者模式。

Java之光!成功收穫了螞蟻拼多多位元組跳動Offer

Java之光!成功收穫了螞蟻拼多多位元組跳動Offer 掌握核心知識 190%機率面試被問,吃透原理,面試不慌(Spring原理)

測試開發——spring boot——MVC——HttpServletRespon設定返回header返回cookie返回體

控制器: package com.awaimai.web; import org.springframework.web.bind.annotation.*; import javax.servlet.http.Cookie;

JavaScript函式學習筆記,例如:mapreduceapplycall,以及this關鍵字詮釋

//在呼叫函式中修改這個變數,其變數在內部發生改變,返回出來的是新賦予的值。但在外部函式中,其屬性值,未發生改變

如何修改JSON字串中的敏感資訊

目錄修改ON字串中的敏感資訊專案要求把json字串裡面的敏感資訊加密清除敏感字串內容分析解決思路修改JSON字串中的敏感資訊