Authentication Lab | JWT None Algorithm

最新推荐文章于 2025-05-28 22:50:49 发布
原创 最新推荐文章于 2025-05-28 22:50:49 发布 · 1.4k 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #靶场笔记

关注这个靶场的其他相关笔记:Authentication Lab —— 靶场笔记合集-CSDN博客

0x01:JWT None Algorithm 前情提要

本关的考点是 JWT(Json Web Token)漏洞,JWT 是一个用于跨域认证的技术。如果你不了解 JWT,可以参考这篇文章:JWT 详解

JWT 标准支持不安全的 JWT 算法,适用于不需要加密和签名的场景,例如受信任的服务器之间的通信。在这些情况下,可以通过在 JWT 标头中指定算法 algnone 来省略签名的内容。但经过这种签名的 JWT,是不应该发送给用户使用的。

0x02:JWT None Algorithm Write UP

使用 BurpSuite 自带的浏览器打开靶场(这里主要是为了抓包):

点击页面上的 Validate Token 按钮,获取 JWT 用户信息:

从查询出来的结果包括用户权限来看,本关考验的就是越权。此时回到 BurpSuite,查看之前抓的包:

可以发现,在我们给服务器发送的请求包中除了 Authorization 字段外,并没有什么特殊的内容来表明发送此信息的人的身份,所以,我们有合理的理由来怀疑,这个 Authorization 字段就是我们用户的登录凭证,其中包含了我们用户的个人信息。

在解密 Authorization 中的 JWT 之前,我们看一下上面那个 JS 文件。(你难道不疑惑一下 Authorization 字段中的值是哪里来的吗?)

可以看到,这个 JWT 内容是写在 JavaScript 脚本中直接发送给后端的。并且,除了发送的那条外,还注释了一条信息:

 // JWT with none
 // let token = "eyJhbGciOiJub25lIiwidHlwIjoiSldUIn0.eyJsZXZlbCI6InVzZXIiLCJ1c2VyIjoic2lkIn0."

这条信息中的 token 可以让你很快速的联想到 JWT,但是它与普通的 JWT 又不同,它省略了签名部分的内容(这个时候,聪明如你应该已经想到过关的方法了)。

这个发现先按下不表,我们对第 5 条数据包中,我们发给服务端的那个 JWT 进行一个解码(去 JWT 官网即可:JSON Web Tokens - jwt.io):

可以发现,解密后的内容中,JWT 的 Payload 部分正好包含用户名和用户等级。这告诉了我们一个可能,只要能修改 JWT 的值,我们就可能完成越权!

那么怎么修改呢?JWT Payload 部分使用的是 Base64URL 编码,这个很好蒙混过关,可是它还有一个签名字段,用来验证 Header 与 Payload 是否被人为修改过,要是不要这个字段就好了。。。。是的,过关的方式,不要这个字段!

记得,注释掉的那条信息吗:JWT With none,我们将那条 Token 也放到 JWT 官网进行解密:

可以看到,解密后的 alg 的字段为 none。我们知道,在 JWT 中,Header 中的 alg 表名的是签名部分使用的算法,这里值为 none,且其又无签名部分,是否可以说明,只要修改 JWT 的签名算法为 none,就可以绕过签名。

我们将这条签名为 none 的 JWT,发送给服务器身份验证接口进行验证(就是上面那个回显 UserLevel 的数据包):

可以看到,其返回了 'none' signature type is not allowed,说明 algnone 是不允许的,为 none 不允许,那为 None 允许吗?思维打开,我们找到一个 Base64URL 编码的站点,将 JWT 的 Header 部分重新进行编码:

将重构后的 JWT Header 传递给服务端,可以看到,服务端成功完成了回显:

光回显没用,我们还要提权,假设它们站点最高权限是 admin 我们对 JWT 的 Payload 部分也进行修改,看看能不能提权成功:

从回显中可以看到,Level 为 admin,成功提权!

如果此时进一步测试,你还可以发现,当 JWT 签名算法为 None 时,你给其签名部分填任何值,后端都不会对其进行验证(没啥用,帮你省点测试时间):

网络安全 | 密码学】JWT基础知识及攻击方式详析
等风来
04-17 3093
JWT(Json Web Token)是一种用于在网络应用之间安全地传输信息的开放标准。它通过将用户信息以JSON格式加密并封装在一个token中,然后将该token发送给服务端进行验证,从而实现身份验证和授权。
portswigger JWT attacks
weixin_63231007的博客
11-05 2258
通过 jwk header注入绕过身份验证 不同的是,这个 jku header注入多了一个漏洞利用服务器,因而我们可以通过 把 JWK set放到漏洞利用服务器上,然后通过往header里写入 "jku":"漏洞利用服务器url" 从而实现 jwk 注入到header里,有种远程文件包含的味道。Hashcat 使用 wordlist 中的每个密钥对来自 JWT 的标头和有效负载进行签名,然后将生成的签名与来自服务器的原始签名进行比较。JWE 非常相似,只是令牌的实际内容是加密的,而不仅仅是编码的。
渗透测试--JWT攻防(一)
qq_53003652的博客
10-21 853
JWT代表,它是一种用于安全地在不同实体之间传递信息的开放标准(RFC 7519)。JWT通常用于身份验证和授权领域,以及在网络应用程序和服务之间传递声明(claims)信息。JWT的常见用途包括在身份验证流程中生成令牌,将用户信息传递给Web应用程序,以及在不同的服务之间进行身份验证和授权。由于JWT是自包含的,不需要在服务器端存储会话信息,因此它们适用于分布式系统和微服务架构。
JWT令牌篡改:CTF中弱签名算法的HS256到None攻击.pdf
06-07
文档支持目录章节跳转同时还支持阅读器左侧大纲显示和章节快速定位,文档内容完整、条理清晰。文档内所有文字、图表、函数、目录等元素均显示正常,无任何异常情况,敬请您放心查阅与使用。文档仅供学习参考,请勿用作商业用途。 从隐写术到编码转换,从音频隐写到文件结构分析,CTF-Misc 教会你用技术的眼睛发现数据中的「彩蛋」。掌握 Stegsolve、CyberChef、Audacity 等工具,合法破解摩斯密码、二维码、LSB 隐写,在虚拟战场中提升网络安全意识与技术能力。记住:所有技术仅用于学习与竞赛!
JWT安全:接收无签名令牌.【签名算法设置为none绕过验证】
网络安全领域___专研者.
05-28 1590
JSON Web 令牌 (JWT)是一种在系统之间发送加密签名 JSON 数据的标准化格式。理论上,它们可以包含任何类型的数据,但最常用于在身份验证、会话处理和访问控制机制中发送有关用户的信息(“声明”)。 与传统会话令牌不同,服务器所需的所有数据都存储在客户端的 JWT 本身中。这使得 JWT 成为高度分布式网站的热门选择,因为用户需要与多个后端服务器无缝交互。
JWT(Json Web Token)认证
谢公子的博客
09-09 2486
目录 JWT(Json Web Token) JWT的数据结构 JWT的用法 JWT验证流程 JWT的问题和趋势 JWT的安全风险 JWT(Json Web Token) Web服务使用最多的认证方式是基于Session的认证,传送门——>Cookie、Session和Token的区别 但是这种模式最大的问题是,没有分布式架构,无法支持横向扩展。如果使用一个服务器,该模式...
JWT验证
阿巴阿巴
06-12 2752
JWT 的原理是,服务器认证以后,生成一个字符串,发回给用户,就像下面这样。它是一个很长的字符串,没有换行,中间用点()分隔成三个部分。怎么是json对象,方便前端使用么?话说这是认证用的,还指望用里面的信息?后端会再转换成json对象么?还是说一开始是个json对象,一开始这个怎么来的,为什么是少见的后端先生成JSON,因为后端先拿到数据么以后,用户与服务端通信的时候,都要发回这个字符串。服务器完全只靠这个对象认定用户身份。为了防止用户篡改数据,服务器在生成这个对象的时候,会加上签名(详见后文)
JWT介绍&空加密&暴破密钥&私钥泄露&密钥混淆&黑盒
qq_46081990的博客
12-21 9465
本文介绍了什么是 JWT,并将基于 Token 的验证方式与 Cookie+Session 的验证方式对比,介绍了 JWT 三个组成部分(Header、Claims、Signature)及 JWT 流量特征(eyJ)。 着重讲解了 JWT 的漏洞利用方式(空加密算法、爆破密钥、私钥泄露、密钥混淆),最后总结了黑盒下 JWT 漏洞的测试思路。
Authentication Lab - Cracking JWT Keys-CSDN博客.pdf
10-09
内容概要:本文围绕着JWT(Json Web Token)漏洞展开讨论,在不同难度级别的实例环境中演示JWT密钥暴力猜测方法以及如何通过获取密钥来自行生成合法认证凭据,以此达成模拟黑客行为的目的。具体介绍了攻击过程中所需...
精选资源
VueJS3.0-JWT-Authentication:VueJS JWT身份验证
05-22
vue-jwt-auth 项目设置 npm install 编译和热重装以进行开发 npm run serve 编译并最小化生产 npm run build 整理和修复文件 npm run lint 自定义配置 请参阅。
精选资源
WebApi-Authentication:创建jwt的示例
03-26
在本文中,我们将深入探讨如何在Web API中实现基于JSON Web Token (JWT)的身份验证。JWT是一种轻量级的身份验证和授权机制,广泛应用于API安全,因为它不需要在服务器上存储会话状态。让我们逐步了解如何在Web API...
精选资源
Webapi_JWT_Authentication:使用JWT保护Web API端点
05-27
Asp.Net Web Api的JWT身份验证 更新到.Net Framework 4.7.2和Visual Studio 2019 这是一个用Visual Studio编写的webapi项目,我们将使用保护端点。 有实施OAUTH的先决条件。 您可以在此处了解有关OAUTH的信息 基本...
JWT-Authentication:实现了JWT身份验证的API
03-28
JWT认证 用TypeScript编写的API,已实现JWT身份验证。 所用技术 打字稿 表达 蒙多数据库 猫鼬 设置 数据库URL和客户端URL等的配置位于app.json 。 已安装并正在运行mongoDB服务器,或者具有可以连接到的URL。 npm ...
JWT安全漏洞以及常见攻击方式
cc123489ll的博客
06-17 891
JWT即Json WebToken的缩写,顾名思义,是Token的一种。它常被用来在向服务器发起请求时用作身份认证。使用JWT作为身份认证的优势在于:它不需要在服务端去保留用户的认证信息。仅需要对该Token正确性进行校验即可,这就意味着基于token认证机制的应用,不需要去考虑用户在哪一台服务器登录了,为应用的扩展提供了便利。新技术带来便利的同时也会带来新的安全问题,如果JWT本身安全存在问题,那么整个身份认证机制就会得不到保障。JWT由三部分组成,类似于。
JWT总结
m0_62422842的博客
05-25 4368
JWT是什么 全称Json Web Token。是跨域身份认证的一种方式。JWT的声明一般是用来身份提供者与服务提供者之间传递被认证的用户身份信息。便于从服务器获取到资源。它也可以用来记录用户信息。与token不同的是,它不用查询数据库,只要在服务端使用密钥完成校验就行。 JWT的原理 服务器认证以后,就会生成一个json对象,并发回给用户。例如 { "姓名": "张三", "角色": "管理员", "到期时间": "2018年7月1日0点0分" } 之后,客户端再与服务端通讯的时候
JWT相关漏洞介绍
2301_77512689的博客
05-05 1555
第二部分是负载,内容也是一个json对象,它是存放有效信息的地方,它可以存放jwt提供的现成字段,比 如:iss(签发者),exp(过期时间戳), sub(面向的用户)等,也可自定义字段。JWT只通过算法实现对Token合法性的验证,不依赖数据库,Memcached的等存储系统,因此可以做到跨服务器验证,只要密钥和算法相同,不同服务器程序生成的Token可以互相验证,alg:none攻击通俗易懂的讲就是由于开发代码使用错误,后端不校验签名,导致攻击者可以在不需要密钥的情况下也可以控制伪造令牌。
每天搞懂一个小漏洞——jwt
qq_54030686的博客
01-17 3436
每天搞懂一个小漏洞——jwt jwt漏洞成因:用户成功登录后,服务端会返回一段加密后的数据用于替代cookie的作用,当下一次打开此登录页面时候,客户端会将这一段数据自动发送给服务器端,服务器端根据收到的这一段数据,返回不同的页面,基本功能与cookie类似 jwt和cookie都是成功登录后服务器端返回客户端的一段数据, 下次登录时避免重新输入账号密码之类,提高用户体验 cookie本身不具有危害性,但是通过其他手段xss等获取到对方相关网站的cookie后,即可实现免密码登录, jwt由于加密的特殊性可
jwt安全问题
leekos的博客,分享web安全相关知识~
09-01 708
JWT的全称是,遵循JSON格式,跨域认证解决方案,声明被存储在客户端,而不是在服务器内存中,服务器不保留任何用户信息,只保留密钥信息,通过使用特定加密算法验证token,通过token验证用户身份,基于token的身份验证可以替代传统的cookie+session身份验证方法。jwt就是可以用来验证身份的东西。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8844
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
aaa authentication login default line none
最新发布
06-12
### Cisco AAA 身份验证登录默认行配置的解决方案或配置指南 在 Cisco 设备中,配置 AAA(Authentication, Authorization, and Accounting)以实现对路由器 VTY 线路的身份验证是常见的需求。如果需要配置一个默认的登录行配置,允许 TACACS+ 作为主要身份验证方法,并且在网络不可用时允许无凭据访问,则可以使用以下配置指南[^1]。 以下是实现这一功能的详细配置示例: ```plaintext Router# configure terminal Router(config)# line vty 0 4 Router(config-line)# login authentication default Router(config-line)# transport input ssh Router(config-line)# exec-timeout 10 0 Router(config-line)# exit Router(config)# aaa new-model Router(config)# aaa authentication login default group tacacs+ none Router(config)# aaa authorization exec default group tacacs+ if-authenticated Router(config)# aaa accounting exec default start-stop group tacacs+ Router(config)# ip tacacs source-interface GigabitEthernet0/0 Router(config)# tacacs-server host 192.168.1.100 Router(config)# tacacs-server key cisco123 ``` #### 配置说明: - `line vty 0 4`:指定配置应用于 VTY 线路 0 到 4。 - `login authentication default`:启用基于 AAA 的登录身份验证。 - `transport input ssh`:限制仅通过 SSH 协议进行连接。 - `exec-timeout 10 0`:设置会话超时时间为 10 分钟。 - `aaa new-model`:启用 AAA 新模型。 - `aaa authentication login default group tacacs+ none`:定义名为 "default" 的身份验证方法列表,优先使用 TACACS+ 服务器进行身份验证。如果 TACACS+ 不可用,则允许无凭据访问[^1]。 - `aaa authorization exec default group tacacs+ if-authenticated`:定义授权方法列表 "default",用于执行模式下的授权。 - `aaa accounting exec default start-stop group tacacs+`:启用对执行模式命令的会计记录。 - `ip tacacs source-interface GigabitEthernet0/0`:指定用于与 TACACS+ 服务器通信的源接口。 - `tacacs-server host 192.168.1.100`:定义 TACACS+ 服务器的 IP 地址。 - `tacacs-server key cisco123`:设置与 TACACS+ 服务器共享的密钥。 如果 TACACS+ 服务器不可用,设备将自动回退到本地数据库进行身份验证[^2]。然而,在此配置中,明确指定了 "none" 选项,因此即使没有凭据,用户也可以登录。 ### 注意事项 - 如果未正确配置 TACACS+ 服务器或其不可用,确保网络管理员能够通过其他方式访问设备。 - 在生产环境中,建议谨慎使用 "none" 选项,因为它可能带来安全风险。 - 验证配置是否生效时,可以使用 `show running-config` 和 `show aaa` 命令检查当前配置状态。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Blue17 :: Hack3rX

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值