关注这个靶场的其他相关笔记:Authentication Lab —— 靶场笔记合集-CSDN博客
0x01:JWT None Algorithm 前情提要
本关的考点是 JWT(Json Web Token)漏洞,JWT 是一个用于跨域认证的技术。如果你不了解 JWT,可以参考这篇文章:JWT 详解。
JWT 标准支持不安全的 JWT 算法,适用于不需要加密和签名的场景,例如受信任的服务器之间的通信。在这些情况下,可以通过在 JWT 标头中指定算法 alg
为 none
来省略签名的内容。但经过这种签名的 JWT,是不应该发送给用户使用的。
0x02:JWT None Algorithm Write UP
使用 BurpSuite 自带的浏览器打开靶场(这里主要是为了抓包):
点击页面上的 Validate Token
按钮,获取 JWT 用户信息:
从查询出来的结果包括用户权限来看,本关考验的就是越权。此时回到 BurpSuite,查看之前抓的包:
可以发现,在我们给服务器发送的请求包中除了 Authorization
字段外,并没有什么特殊的内容来表明发送此信息的人的身份,所以,我们有合理的理由来怀疑,这个 Authorization 字段就是我们用户的登录凭证,其中包含了我们用户的个人信息。
在解密 Authorization 中的 JWT 之前,我们看一下上面那个 JS 文件。(你难道不疑惑一下 Authorization 字段中的值是哪里来的吗?)
可以看到,这个 JWT 内容是写在 JavaScript 脚本中直接发送给后端的。并且,除了发送的那条外,还注释了一条信息:
// JWT with none
// let token = "eyJhbGciOiJub25lIiwidHlwIjoiSldUIn0.eyJsZXZlbCI6InVzZXIiLCJ1c2VyIjoic2lkIn0."
这条信息中的 token 可以让你很快速的联想到 JWT,但是它与普通的 JWT 又不同,它省略了签名部分的内容(这个时候,聪明如你应该已经想到过关的方法了)。
这个发现先按下不表,我们对第 5 条数据包中,我们发给服务端的那个 JWT 进行一个解码(去 JWT 官网即可:JSON Web Tokens - jwt.io):
可以发现,解密后的内容中,JWT 的 Payload 部分正好包含用户名和用户等级。这告诉了我们一个可能,只要能修改 JWT 的值,我们就可能完成越权!
那么怎么修改呢?JWT Payload 部分使用的是 Base64URL 编码,这个很好蒙混过关,可是它还有一个签名字段,用来验证 Header 与 Payload 是否被人为修改过,要是不要这个字段就好了。。。。是的,过关的方式,不要这个字段!
记得,注释掉的那条信息吗:JWT With none
,我们将那条 Token 也放到 JWT 官网进行解密:
可以看到,解密后的 alg
的字段为 none。我们知道,在 JWT 中,Header 中的 alg 表名的是签名部分使用的算法,这里值为 none,且其又无签名部分,是否可以说明,只要修改 JWT 的签名算法为 none,就可以绕过签名。
我们将这条签名为 none 的 JWT,发送给服务器身份验证接口进行验证(就是上面那个回显 User
、Level
的数据包):
可以看到,其返回了 'none' signature type is not allowed
,说明 alg
为 none
是不允许的,为 none
不允许,那为 None
允许吗?思维打开,我们找到一个 Base64URL 编码的站点,将 JWT 的 Header 部分重新进行编码:
将重构后的 JWT Header 传递给服务端,可以看到,服务端成功完成了回显:
光回显没用,我们还要提权,假设它们站点最高权限是 admin
我们对 JWT 的 Payload 部分也进行修改,看看能不能提权成功:
从回显中可以看到,Level 为 admin
,成功提权!
如果此时进一步测试,你还可以发现,当 JWT 签名算法为 None 时,你给其签名部分填任何值,后端都不会对其进行验证(没啥用,帮你省点测试时间):