ctfshow web入门 JWT

最新推荐文章于 2024-05-02 17:05:15 发布
最新推荐文章于 2024-05-02 17:05:15 发布
阅读量4.2k 收藏 5
点赞数
分类专栏: CTF 文章标签: 前端 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46520554/article/details/123102868
版权

目录

JWT介绍

web345

web346

web347

web348

web349

web350

JWT介绍

JWT 全称 JSON Web Token。使用 JSON 作为数据载体,通过对称/非对称方式加密方式对数据进行加密并加签,可以安全传输数据保证不被数据篡改。

JWT由头部(Header)、有效载荷(Payload)、签名(Signature)三部分组成,它们之间用点分隔然后每部分数据采用 base64url编码。

头部(Header)包含alg(签名算法)和typ(令牌类型)示例如下:

{
"alg": "HS256",
"typ": "JWT"
}

 有效载荷(Payload)包含一些实际需要传输的数据,在这里JWT 规定了以下7个官方字段,供选用

iss (issuer):签发人
exp (expiration time):过期时间
sub (subject):主题
aud (audience):受众
nbf (Not Before):生效时间
iat (Issued At):签发时间
jti (JWT ID):编号

 除了官方字段以外,还可以在这个部分定义私有字段,Payload部分示例如下:

{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022
}

签名(Signature)这个部分是对头部(Header)和有效载荷(Payload)两部分进行签名,防止数据被篡改。要产生这个部分需要有经过base64url编码的头部,和经过base64url编码的有效载荷,同时服务器还要有一个密钥。然后用头部中指定的加密算法,例如下面的HMACSHA256算法

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  your-256-bit-secret
)

产生签名。签名出来之后把头部,有效载荷,签名三个部分用点分隔拼成一个字符串。完成之后就是完整的jwt。

web345

打开题目先F12看一下源码发现一个admin目录,然后抓包看见cookie里面有jwt

 然后将jwt进行base64解密,然后将解码后的user换成admin

再进行base64加密,然后抓包访问admin目录,之后将刚才生成的jwt,替换cookie里的jwt然后发包拿到flag

这里只需要注意访问的是/admin/而不是/admin因为访问/admin表示访问admin.php而访问/admin/表示访问的是admin目录下默认的index.php

web346

这个题考JWT的三种常见的攻击方式之一修改算法为none,也是 json web token存在的一个CVE漏洞CVE-2015-9235。这个攻击方式就是修改alg字段为none,这样的话后端就不会进行签名校验。

打开题目还是先抓个包

 先放到JSON Web Tokens - jwt.io网站解析一下

然后我们需要将这个jwt里面的alg字段改为none,user改为admin,因为这个网站不支持将算法改为none所以用python脚本生成一个jwt,脚本如下

import jwt
Payload = {
  "iss": "admin",
  "iat": 1645605971,
  "exp": 1645613171,
  "nbf": 1645605971,
  "sub": "admin",
  "jti": "b89d811ca6831c1d63978fd7bff502e0"
}
headers = {
  "alg": "none",
  "typ": "JWT"
}
json_web_token = jwt.encode(payload=Payload,key="",algorithm="none",headers=headers)
print(json_web_token)

生成之后,抓包访问admin目录将刚才生成的jwt,替换cookie里的jwt然后发包拿到flag

web347

还是先抓个包看见cookie里面的jwt,看题目描述说是弱口令,那就用jwt_tool工具爆破一下密码

 可以看到密钥是123456,然后用JSON Web Tokens - jwt.io这个网站生成一下新的jwt

 之后抓包访问admin目录,将刚才生成的jwt替换cookie里的jwt然后发包拿到flag

web348

继续先抓包拿到cookie里面的jwt然后看见题目描述说是开始爆破,那就爆破一下密钥,这里用jwt_tool没跑出来,用c-jwt-cracker工具试试,没想到秒出。

 可以看到密钥是aaab,之后就继续用刚才的网站生成新的jwt,密钥填aaab,user改成admin

 最后抓包访问admin目录,将刚才生成的jwt替换cookie里的jwt然后发包拿到flag

web349

这个题给了个app.js

/* GET home page. */
router.get('/', function(req, res, next) {
  res.type('html');
  var privateKey = fs.readFileSync(process.cwd()+'//public//private.key');
  var token = jwt.sign({ user: 'user' }, privateKey, { algorithm: 'RS256' });
  res.cookie('auth',token);
  res.end('where is flag?');
  
});

router.post('/',function(req,res,next){
	var flag="flag_here";
	res.type('html');
	var auth = req.cookies.auth;
	var cert = fs.readFileSync(process.cwd()+'//public/public.key');  // get public key
	jwt.verify(auth, cert, function(err, decoded) {
	  if(decoded.user==='admin'){
	  	res.end(flag);
	  }else{
	  	res.end('you are not admin');
	  }
	});
});

我们可以看到这个就是利用私钥去生成一个jwt然后利用公钥去解密,并且我们访问/private.key可以得到私钥,访问/public.key可以得到公钥,那我们就用他给的这个代码本地自己搭一个网站,将源码里面的user换成admin然后访问自己搭的网站,这时我们自己搭的网站里cookie里面的jwt就是我们新生成的jwt。

 

之后就打开题目抓包替换jwt然后请求方式换为POST拿到flag

当然这里还有第二种方法,先下载私钥,然后我们用私钥去生成一个jwt。具体的就是先用之前题目用的jwt网站解析一下payload和header然后用python生成一个jwt,之后抓包用新生成的jwt替换原来的jwt最后post发包一样能拿到flag。

import jwt
private_key = open('private.key', 'r').read()
payload={"user":"admin","iat": 1645612970}
print(jwt.encode(payload=payload, key=private_key, algorithm='RS256'))

web350

这个题也考JWT的三种常见的攻击方式之一把非对称算法 RS256 改为对称算法 HS256,用泄露的公钥签名数据,服务器尝试用公钥作为 secret 验证签名。也就是CVE-2016-5431漏洞

首先题目给了源码,然后和之前一样访问/public.key可以拿到公钥文件,那就和之前一样本地自己搭一下然后访问拿到新的jwt。这里注意一下要将源码的//routes换成//public然后将user换成admin。

 

 之后就打开题目抓包替换jwt然后请求方式换为POST拿到flag

 JWT攻击参考文章:https://xz.aliyun.com/t/2338

Anton1a
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
web api JWT token认证
04-24
web api JWT token认证 Demo 代码,包含跨域访问 api设置。
Ctfshow web入门 JWTweb345-web350 详细题解 全
Jay17的博客
08-02 1980
Ctfshow web入门 JWTweb345-web350 详细题解 全
ctf_show笔记篇(web入门---jwt
whale_waves的博客
04-02 1150
JSON Web Token(JWT)通常由三部分组成简单地说jwt就是一串字符串,类似于序列化这种,把用户的信息保存在字符串里JWT全称是,如果从字面上理解感觉是基于JSON格式用于网络传输的令牌。实际上,JWT是一种紧凑的Claims声明格式,旨在用于空间受限的环境进行传输,常见的场景如HTTP授权请求头参数和URI查询参数。JWT会把Claims转换成JSON格式,而这个JSON内容将会应用为JWS结构的有效载荷或者应用为JWE结构的(加密处理后的)原始字符串,通过消息认证码(或者简称MAC。
ctfshow web入门 jwt(持续更新)
Lum1n0us's Blog
08-02 1175
文章目录基础知识web345web346-347web348 基础知识 jwt是由三部分构成的,第一部分是头部(header),第二部分是载荷(payload),第三部分为签证(signature) 头部 头部声明了类型和加密方法,如下 { 'typ': 'JWT', 'alg': 'HS256' } 然后将头部进行base64加密后去掉=号,构成第一部分 ewogICd0eXAnOiAnSldUJywKICAnYWxnJzogJ0hTMjU2Jwp9 载荷 和头部结构类似,但存放的是数
ctfshow web jwt!!!
m0_74057302的博客
03-26 594
不在乎比恨更高级欸
CTFshow JWT
starttv的博客
11-24 374
JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案,该规范允许我们通过JWT在用户和服务器之间安全可靠地传递信息。
浅谈JWT安全及在ctf中出现
qq_39608382的博客
10-12 2560
什么是JWTJWT攻击方式 JWT在CTF中的出现
CTFSHOW jwt
羽的博客
12-30 5586
可以先了解下jwt jwt由三部分组成header、payload、signature header示例 { 'typ': 'JWT', 'alg': 'HS256' } payload示例 { "sub": "1234567890", "name": "John Doe" } signature jwt的第三部分是一个签证信息,这个签证信息由三部分组成: header (base64编码) payload (base64编码) secret(密钥) 这个部分需要base64加密后的he
ctfshow JWT (Web345-350)
weixin_63231007的博客
11-08 1633
用户登录成功后,服务端生成一个随机token给用户,并且在服务端(数据库或缓存)中保存一份token,以后用户再来访问时需携带token,服务端接收到token之后,去数据库或缓存中进行校验token的是否超时、是否合法。用户登录成功后,服务端通过jwt生成一个随机token给用户(服务端无需保留token),以后用户再来访问时需携带token,服务端接收到token之后,通过jwt对token进行校验是否超时、是否合法。执行得到 构造好的JWT,放入cookie中POST发包,得到flag。
ctfshowjwt详解
cosmoslin的博客
09-29 2021
web345(无加密) 进入后F12,发现提示/admin 要注意使用 url 访问网页时 /admin 表示访问 admin.php 文件 /admin/ 表示访问 admin/目录下的文件,默认是 index.php 很像文件夹,所以此处应该访问 /admin/ 查看cookie eyJhbGciOiJOb25lIiwidHlwIjoiand0In0.W3siaXNzIjoiYWRtaW4iLCJpYXQiOjE2MzI0OTc1MDksImV4cCI6MTYzMjUwNDcwOSwibmJmIjox
WebApiDemo(net6+swagger+jwt)
05-31
1、框架是net6 2、包含了jwt 3、接口是swagger 4、vs2022
.Net WebAPi JWT身份验证
11-07
.NetFrameWork 4.6.2 WebAPI 实现JWT身份验证,简单的Demo程序
.net core webapi jwt 更为清爽的认证详解
10-16
主要介绍了.net core webapi jwt 更为清爽的认证详解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Webapi_JWT_Authentication-master_webapi_jwt_token_
10-03
webapi jwt身份验证请求token(亲测通过)源码
JWT漏洞(ctfshow345-350)
m0_67284865的博客
07-09 260
JWT 可以使用密钥(使用 HMAC 算法)或使用 RSA 的公钥/私钥对进行签名。当用户登录某一页面是,服务端会把一段加密的数据返回,相当于代替cookie作用,当下一次打开此登录页面时,客户端会将这一段自动发送给服务器端,服务器端根据收到的这一段数据,返回不同的页面,基本功能与cookie类似。这里盲猜123456,然后把user改成admin,用修改后的jwt加载进入,访问admin目录就可以了。得到密钥,然后user改成admin,密钥aaab,得到jwt载入,访问admin得到flag。
ctfshow——JWT
qq_55202378的博客
05-01 792
抓个包,可以看到cookie部分使用JWT(Json Web Token)。 先用base64将JWT进行解密,修改为admin,再用base64进行加密。再访问 这里使用了HS256加密方式,方法:alg字段改为,sub改为,对每一段分别用base64进行加密,然后用拼接起来,注意最后一个点不能少。都可以用jwt-cracker进行爆破,获取密匙。或者用脚本跑。 web 349——非对称加密算法RS256私钥泄漏 根据提示,大致意思就是访问,服务器会使用RS256算法私钥加密一段字符串作为cookie
ctfshow jwt学习
最新发布
hcja666的博客
05-02 1007
JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间安全地传输信息作为JSON对象。此信息可以被验证和信任,因为它是数字签名的。JWT可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。Header报头Payload有效载荷Signature签名因此,JWT通常看起来如下所示。Header报头Payload有效载荷iss:发行人exp:到期时间sub:主题aud:用户。
CTFSHOWweb入门 JWT
7ruth0hn的博客
09-27 941
文章目录写在前面JWT浅析web345web346web347web348web349web350参考资料 写在前面 陇剑杯初赛出了JWT专题的赛题,被同队大佬ak了,一直不太懂,来刷刷 JWT浅析 JWT即JSON WEB TOKEN,由三个部分组成,并用两个“.”进行连接。第一部分为header(base64加密),第二部分为payload(base64加密),第三部分为verify signature,它的构成如下: HEADER中alg对应的加密方式为HS256,也可以选择其他对称或非对称的加密方
ctfshow JWT
09-08
CTFShow JWT是一个由头部、有效载荷和签名三部分组成的JSON Web Token。其中,头部包含了JWT的类型和使用的算法,有效载荷包含了一些信息,比如发行者、颁发时间、过期时间等,签名则用于验证JWT的完整性和真实性。 在CTFShow中,可以通过改变JWT的头部和有效载荷来实现一些攻击或绕过验证的操作。例如,可以将头部的算法字段改为"none",将有效载荷中的用户字段改为"admin",以绕过网站的JWT算法限制。 为了生成这样的JWT,可以使用Python脚本来生成。脚本中使用了jwt库,通过指定合适的头部、有效载荷和算法来生成JWT。具体来说,可以将头部的算法字段设置为"none",将有效载荷中的用户字段设置为"admin"。生成的JWT可以用于攻击或验证绕过。 总结来说,CTFShow JWT是一个由头部、有效载荷和签名组成的JSON Web Token,在CTFShow中可以通过改变JWT的头部和有效载荷来实现一些攻击或绕过验证的操作。<span class="em">1</span><span class="em">2</span><span class="em">3</span>

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值