JWT介绍&空加密&暴破密钥&私钥泄露&密钥混淆&黑盒_jwt泄露

最新推荐文章于 2024-05-08 23:58:03 发布
最新推荐文章于 2024-05-08 23:58:03 发布
阅读量986 收藏 27
点赞数 24
分类专栏: 2024年程序员学习 文章标签: python 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84104577/article/details/137354815
版权

以 CTFShow - Web346 为例,同样观察到返回包中指示访问 /admin,解密访问 /admin 的 JWT 值,观察到加密算法为 HS256,面向用户为 user。

因为这里的 JWT 使用了 HS256 加密,也就是签名有效且会对 Header 和 Claims 进行编码和加密处理,所以当不清楚密钥的情况下,直接修改 user 为 admin 是不行的。

这里考虑两种思路:1、爆破密钥,显然难度较大;2、尝试将加密算法置空,也就是 alg=none

同样,将 JWT 值发到 Decoder 模块,先 Base64 解码,将 HS256 替换为 none,user 替换为 admin 后,再 Base64 编码。

但需要注意的是,使用此方法要先将 Signature 部分删除掉,因为加密算法为 none 必须将签名置空,并且需要将 Header 和 Claims 分别处理后再用 . 号连接,因为实测直接一起处理是不行的。

最终的格式为:Header.Claims.(注意最后面还有一个 . 号)

重新访问 /admin,带上 admin 用户的 JWT 值,得到 Flag。

上述方法略为复杂,更方便的当然是使用工具,比如 jwt_tool、Burp 插件 JSON Web Tokens 等。

使用插件 JSON Web Tokens,将 HS256 替换为 none,user 替换为 admin,并删除 Signature 部分,重新发包即可。

jwt_tool 常用命令如下:

使用None算法

python3 jwt_tool.py JWT_HERE -X a

自定义修改生成

python3 jwt_tool.py JWT_HERE -T

使用字典破解

python3 jwt_tool.py JWT_HERE -C -d dictionary.txt

指定密码测试

python3 jwt_tool.py JWT_HERE -C -p password_here

需要注意的是,jwt_tool 最好是在 Linux 上运行,我使用的 Kali 运行,并且需要先导入几个包,命令如下:

python3 -m pip install termcolor cprint pycryptodomex requests

然后启动 jwt_tool,使用 -T 自定义修改模式,根据提示将 HS256 替换为 none,user 替换为 admin,最后会自动生成对应 JWT 值。

复制生成 JWT 值并删除 Signature 部分,重新发包即可获取 Flag。

2、暴力破解密钥

以 CTFShow - Web347 为例,同样访问 /admin 得到的是 user 的 JWT 值,尝试空加密算法无果。

由于加密算法为 HS256 对称加密,比较容易爆破密钥,所以考虑使用 jwt_tool 爆破密钥,最终得知密钥为 123456。

python jwt_tool.py eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJhZG1pbiIsImlhdCI6MTcwMTM3NTE3NywiZXhwIjoxNzAxMzgyMzc3LCJuYmYiOjE3MDEzNzUxNzcsInN1YiI6InVzZXIiLCJqdGkiOiJhMDE3MDdmNDRmN2RmOGI1Y2JlNWUxMjlhMGY1YzMxMSJ9.Vjqa5vYv9uRUqiaQpsDxlswGfK5n2umAp-NrY0p39bg -C -d key_dictionary.txt

在 jwt.io 输入密钥,修改 user 为 admin,重新生成 admin 用户的 JWT 值,发包即可获得 Flag。

3、源码泄露私钥(JWT中私钥用于签名,公钥用于验证)

以 CTFShow - Web349 为例,这一关给了一个 JS 文件,模拟的是源码泄露,具体代码如下:

代码解释

1、当GET请求发送到根路径(‘/’)时,会执行以下操作:

使用res.type()方法将响应的内容类型设置为html

使用fs.readFileSync()方法读取当前工作目录下的public/private.key文件,并将其内容赋值给privateKey变量

使用jsonwebtoken库的sign()方法生成一个JSON Web Token(JWT),其中包含用户信息为’user’,使用privateKey进行签名,使用RS256算法

使用res.cookie()方法将生成的JWT写入名为’auth’的cookie

使用res.end()方法发送响应内容为’where is flag?'的响应

2、当POST请求发送到根路径(‘/’)时,会执行以下操作:

设置响应内容类型为html

获取名为’auth’的cookie的值赋值给auth变量

使用fs.readFileSync()方法读取当前工作目录下的public/public.key文件,并将其内容赋值给cert变量

使用jsonwebtoken库的verify()方法验证auth变量中的JWT是否有效,使用cert公钥进行验证。

如果JWT中的用户信息为’admin’,则发送包含flag的响应;否则,发送包含’you are not admin’的响应

通过解密 JWT 得知其使用的加密算法为 RS256,和前面的不同是这里是非对称加密。

***在使用非对称加密算法的 JWT 中,私钥用于签名,公钥用于验证。***这是因为公钥是公开的,如果用公钥进行签名,那么攻击者便很容易伪造 JWT 了,显然不合理。

于是我们只要拿到用于签名的私钥,便可伪造 admin 用户的 JWT 拿到 Flag。这里通过泄露的 JS 代码得知私钥存放位置为当前目录下,于是直接访问下载 private.key。

拿到了私钥之后,利用其重新生成 admin 用户的 JWT 值。

这里我使用 Python 来生成,具体代码如下***(需要注意这段代码需要导入两个包,JWT 和 PyJWT)***

pip install JWT PyJWT

生成的 JWT 如下,将其以 POST 方式重新发送(泄露的 JS 代码得知的逻辑),得到 Flag 值。

总结:由泄露的 JS 代码得知验证逻辑,并得到私钥(用于签名)存放位置,利用私钥重新生成了 admin 用户的 JWT 拿到了 Flag,整个过程就像是一次身份的伪造。

疑问:为什么爆破使用对称加密算法(如HS256)的 JWT 的密钥容易,但爆破非对称加密(如RS256)却很难?

4、密钥混淆攻击(RS256 => HS256)

以 CTFShow - Web349 为例,这一关给了一整个源码包,其实模拟的也是源码泄露。

查看该源码包,发现里面有公钥 public.key 却没有私钥 private.key,于是无法像之前一样利用私钥重新生成 admin 用户的 JWT。

观察处理逻辑,签名使用的是 private.key,验证使用的是 public.key,我们已经得到了 public.key,那么要是签名也使用 public.key 不就万事大吉了吗?

于是考虑将加密算法替换为 HS256,这样签名和验证都使用同一个密钥 public.key,利用其生成 admin 用户的 JWT 即可获取 Flag。

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
img
img
img
img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!

由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新

如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
img

一、网安学习成长路线图

网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。
在这里插入图片描述

二、网安视频合集

观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
在这里插入图片描述

三、精品网安学习书籍

当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。
在这里插入图片描述

四、网络安全源码合集+工具包

光学理论是没用的,要学会跟着一起敲,要动手实操,才能将自己的所学运用到实际当中去,这时候可以搞点实战案例来学习。
在这里插入图片描述

五、网络安全面试题

最后就是大家最关心的网络安全面试题板块
在这里插入图片描述在这里插入图片描述

一个人可以走的很快,但一群人才能走的更远。如果你从事以下工作或对以下感兴趣,欢迎戳这里加入程序员的圈子,让我们一起学习成长!

AI人工智能、Android移动开发、AIGC大模型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算

以走的很快,但一群人才能走的更远。如果你从事以下工作或对以下感兴趣,欢迎戳这里加入程序员的圈子,让我们一起学习成长!**](https://bbs.csdn.net/forums/4304bb5a486d4c3ab8389e65ecb71ac0)

AI人工智能、Android移动开发、AIGC大模型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算

2401_84104577
关注
  • 24
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络攻防中黑客掌握的JWT token破解绕过技术手段,详细实践案例,附技术工具和解密工具
代码讲故事
03-27 476
网络攻防中黑客掌握的JWT token破解绕过技术手段,详细实践案例,附技术工具和解密工具。JSON Web Tokens(JWT)是一种开放标准(RFC 7519),用于在双方之间安全地传输信息作为JSON对象。JWT在网络应用中广泛用于身份验证和信息交换。尽管JWT设计中包含了安全性考虑,但在实际应用中可能存在不当使用或配置错误,导致JWT被破解或绕过。
什么?你的私钥泄漏了?
weixin_33958585的博客
07-19 438
代码签名是一种当代标准做法,其中软件开发人员通过可信证书颁发机构的验证,并接收可用于签署脚本和可执行文件的证书和私钥。 几乎每个设备,操作系统和网络浏览器都经过硬编码,以尽可能少地信任各种来源。 这完全是以安全的名义完成的。 当您编写一个软件并将其上传到互联网而不签名时,会在浏览器中触发任何试图下载该软件的警告。 警告将说明此下载源自未知来源,其内容无法信任。 当您对一个软件进行代码签名时,您正在...
[JWT]JWT与爆破
qq_55271156的博客
05-08 672
浅析JWT爆破的方法,适合小白食用
SSH私钥泄露
weixin_45007073的博客
01-02 607
记录一下CTF比赛的私钥泄露漏洞吧。 镜像文件的下载地址 链接:https://pan.baidu.com/s/1dXbjQavKtVw7gC4paH02ww 提取码:9xh1 SSH-私钥泄露 使用netdiscover发现存活主机 netdiscover -i eth0 发现目标主机 使用nmap收集目标主机信息。 nmap -sV 192.168.75.152 目标主机开放了22端口和http服务 使用浏览器没有找到任何有用的信息。 使用dirb探测web子目录。进行更深一
CTF-SSH私钥泄露
zhangpeng999123的博客
05-29 491
环境 Kali ip 192.168.1.109 SSH靶机ip 192.168.1.5 0x01信息探测 渗透其实是针对服务的漏洞检测,然后进行对应的数据包发送,获取机器的最高权限 nmap -sV 192.168.1.5 挖掘开放信息 分析探测结果 每一个服务对应计算机的一个端口,用来进行通信。常用的端口0~1023端口,在扫描结果中...
ctfshow 347 jwt暴力破解密钥
c1516175954的博客
09-20 472
jwtool.py爆破,得到key:123456。
中后台服务端&前端脚手架.zip
03-03
"中后台服务端&前端脚手架.zip"这个压缩包可能包含了一个完整的开发环境,其中"fnk-server-main"可能代表了服务端部分,可能使用了Node.js作为基础运行环境,搭配Express或Koa等框架来构建RESTful API。服务端...
SpringBoot,Shiro,JWT,Vue & Ant Design 前后端分离权限管理系统
最新发布
05-17
该项目利用了基于springboot + vue + mysql的开发模式框架实现的课设系统,包括了项目的源码资源、sql文件、相关指引文档等等。 【项目资源】:包含前端、后端、移动开发、操作系统、人工智能、物联网、信息化管理...
springboot & shiro 商城后台管理系统.zip
01-04
实现了电商商城、淘淘商城、新蜂商城、小程序商城、电商书城、淘宝天猫商城、秒杀系统、黑马乐优商城、塔可商城、仿小米商城、微信商城,使用了SpringBoot、Redis、ElasticSearch、JWT、Vue、JavaScript、Dubbo、、...
基于SpringBoot,Spring Security,JWT,React & Element 的前后端分.zip
02-04
主要技术栈包括SpringBoot、Spring Security、JSON Web Tokens (JWT)、React以及Element UI。下面将详细阐述这些技术及其在项目中的作用。 1. **SpringBoot**:SpringBoot是Spring框架的简化版本,它简化了初始化、...
JWT介绍&加密&暴破密钥&私钥泄露&密钥混淆&黑盒
qq_46081990的博客
12-21 3959
本文介绍了什么是 JWT,并将基于 Token 的验证方式与 Cookie+Session 的验证方式对比,介绍JWT 三个组成部分(Header、Claims、Signature)及 JWT 流量特征(eyJ)。 着重讲解了 JWT 的漏洞利用方式(加密算法、爆破密钥私钥泄露密钥混淆),最后总结了黑盒JWT 漏洞的测试思路。
网络安全之—SSH-私钥泄露
Jay
02-21 1048
经过上面信息收集,我们发现了robots文件,和.ssh文件,我们先查看robots文件,如下图,发现有几个文件,看这个样子,我第一反应是去看。目录下面的文件,但是都没有发现可以利用的点,但是我们可以进入root目录,里面有一个flag,我们打不开,如下图。目录,如下图,看这个名字就知道了,怀疑的是,.ssh目录下面有这三个文件,我们挨个访问看看。端口进行扫描,命令和上面差不多,后面加一个端口就可以了,扫描结果如下,发现有东西,一个是。然后,我们打开其他文件,发现了用户名泄露,如下图,用户名是。
【网络安全】SSH私钥泄漏
JJH2724719395的博客
01-03 1558
ssh私钥泄漏
【网络安全】JWT安全漏洞
边缘拼命划水的小陈
04-28 1886
JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在两个组织之间传递安全可靠的信息。头部(Header)头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。JSON内容要经Base64 编码生成字符串成为Header。载荷(PayLoad)payload的五个字段都是由JWT的标准所定义的。iss: 该JWT的签发者sub: 该JWT所面向的用户aud: 接收该JWT的一方。
CTF-SSH私钥泄露代码详细解说
weixin_45441727的博客
02-26 739
nmap -sV 172.16.101.61 扫描靶机的端口以及开启服务 若发现 31337/tcp open http Werkzeug httpd 0.11.15 (pYTHON 3.5.3) 特殊端口31337端口服务开启 此时我们可以探测大端口的信息 可以通过http://ip:port的形式访问靶机,查看其源代码 另外,还可以通过使用工具来探测隐藏页面 -dirb http://ip:port/ 一般来讲探测之后会发现很多隐藏文件,那么我们可以通过他们来进一步进行渗透。 讲解一下: 如果发现了以
微服务JWT安全密钥认证授权详解
马哥在编程
07-19 5034
微服务JWT安全密钥认证授权 本篇文章以一个简单的wx小程序作为演示 微服务登录分为有状态以及无状态登录方法 有状态 有状态登录方法依赖Session,将登录状态信息放置在Session中,并使用一个Session Store存储 无状态 服务器端不用去存储session状态,不会出现上述的负载均衡后服务器登录失效问题 优缺点对比 处处安全 外部无状态,内部有状态 网关认证授权,内部裸奔 内部裸奔改进 先在认证授权中心登录,登陆成功,颁发Token,用户携带Token去访问微服务
JWT token安全问题之窃取被泄露
weixin_43249535的博客
07-05 2532
Token 窃取被泄露:攻击者可能会通过窃取 JWT token 来冒充用户身份,从而进行恶意操作。
Ctfshow web入门 nodejs篇 web334-web344
Jay17的博客
07-06 1620
Ctfshow web入门 nodejs篇 web334-web344
JWT总结
m0_62422842的博客
05-25 4148
JWT是什么 全称Json Web Token。是跨域身份认证的一种方式。JWT的声明一般是用来身份提供者与服务提供者之间传递被认证的用户身份信息。便于从服务器获取到资源。它也可以用来记录用户信息。与token不同的是,它不用查询数据库,只要在服务端使用密钥完成校验就行。 JWT的原理 服务器认证以后,就会生成一个json对象,并发回给用户。例如 { "姓名": "张三", "角色": "管理员", "到期时间": "2018年7月1日0点0分" } 之后,客户端再与服务端通讯的时候
jwt公钥加密私钥能解吗
08-30
JWT(JSON Web Token)是一种用于身份验证和授权的开放标准。其中,JWT使用私钥对信息进行签名,而公钥则用于验证签名的合法性。 在JWT中,私钥用于生成签名,公钥用户验证签名。私钥加密的过程是单向的,意味着通过公钥无法反向解密私钥获得原始数据。因此,公钥无法解密私钥。 相反,公钥的作用是验证私钥生成的签名是否合法。对于JWT中的数字签名,公钥可以将签名解析出其中的原始数据,并验证签名的合法性。如果签名验证通过,即表示该JWT是合法的。 因此,通过公钥无法获得私钥的原始数据,只能验证签名的合法性。私钥是用于生成签名的重要密钥,应该妥善保管并确保不对外泄露

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值