CTFHUB--JSON Web Token

最新推荐文章于 2022-08-14 10:47:07 发布
最新推荐文章于 2022-08-14 10:47:07 发布
阅读量1.7k 收藏 4
点赞数 3
分类专栏: 信息安全漏洞 文章标签: CTFHUB JSON WEB
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_49422880/article/details/117656382
版权

基础知识

链接: 官方解释.


什么是JWT
Json Web Token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准(RFC 7519。
该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景,是目前最流行的跨域认证解决方案。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

JWT 的原理
服务器认证以后,生成一个 JSON 对象,发回给用户,就像下面这样。

{
  "姓名": "张三",
  "角色": "管理员",
  "到期时间": "2018年7月1日0点0分"
}

以后,用户与服务端通信的时候,都要发回这个 JSON 对象。服务器完全只靠这个对象认定用户身份。为了防止用户篡改数据,服务器在生成这个对象的时候,会加上签名(详见后文)。服务器就不保存任何 session 数据了,也就是说,服务器变成无状态了,从而比较容易实现扩展。

JWT 的数据结构
它是一个很长的字符串,中间用点(.)分隔成三个部分。注意,JWT 内部是没有换行的

Header.Payload.Signature

JWT 的三个部分依次如下:
Header(头部)、Payload(负载)、Signature(签名)

实际格式如下:

eyJBRyI6IjNkOTk0NTliNTM5ZTczOH0iLCJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VybmFtZSI6ImFkbWluIiwicGFzc3dvcmQiOiJhZG1pbiIsIkZMIjoiY3RmaHViezdjZTg2MzFjNCJ9.LiM6boMHAoq1WZfp5MnipVjh6HgKwDASf0Z-0_VeaQY


敏感信息泄露

  JWT 的头部和有效载荷这两部分的数据是以明文形式传输的,如果其中包含了敏感信息的话,就会发生敏感信息泄露。试着找出FLAG。格式为 flag{}


题目已经给出提示,既然如此,打开网页之后,随便进行登录然后,然后查看自己的网页的cookie。
在这里插入图片描述

看到有一长串的加密的内容,仔细观察,发现这个密文由三个点相连接,然后题目又提示我们flag在头部和负载之中。我们就取这两部分进行 base64解密.
在这里插入图片描述


none算法

  上题目,一些JWT库也支持none算法,即不使用签名算法。当alg字段为空时,后端将不执行签名验证。尝试找到 flag。题目给出的提示很多了。



建议大家先截断再抓包,不然要出问题。
在这里插入图片描述



获取header 和payload即可,拿出解密。
在这里插入图片描述



拿出来的时候记得分成两段解密,不然会识别不出试base64,得到明文。
在这里插入图片描述



按照题目要求直接修改算法和角色,把hs256加密改为none、把guest改为admin。然后分别base64加密返包即可,即heaaders.payload.因为没有加密所以后面的签名为空。
在这里插入图片描述



返包,拿到flag,记得要在源页面下返包。
在这里插入图片描述


弱密钥

  如果JWT采用对称加密算法,并且密钥的强度较弱的话,攻击者可以直接通过蛮力攻击方式来破解密钥。尝试获取flag。

原理:在使用不同的密钥对头部信息和载荷进行加密时,所产生的JWT是不一样的。jwt的第三部分是一个签证信息,这个签证信息由三部分组成header (base64后的)、payload (base64后的)、secret,将上面的两个编码后的字符串都用句号 . 连接在一起(头部在前),就形成JWT即:

base64(header).base64(payload).HMACSHA256( base64UrlEncode(header) + "." +base64UrlEncode(payload), secret )

先安装暴力破解工具,链接: 使用工具.
在这里插入图片描述


直接跑,拿到密钥
在这里插入图片描述



到这个在线平台上加解密,或者自己加解密也可以,最后将拿到的JWT作为Cookie返包回去
在这里插入图片描述


拿到flag.
在这里插入图片描述

修改签名算法

  有些JWT库支持多种密码算法进行签名、验签。若目标使用非对称密码算法时,有时攻击者可以获取到公钥,此时可通过修改JWT头部的签名算法,将非对称密码算法改为对称密码算法,从而达到攻击者目的。这次操作我放在Linux下执行,这可以解决其他博主用包出错而被迫进行环境模拟的情况,群主帮助解决许多问题。



class JWTHelper {
  public static function encode($payload=array(), $key='', $alg='HS256') {
    return JWT::encode($payload, $key, $alg);
  }
  public static function decode($token, $key, $alg='HS256') {
    try{
            $header = JWTHelper::getHeader($token);
            $algs = array_merge(array($header->alg, $alg));
      return JWT::decode($token, $key, $algs);
    } catch(Exception $e){
      return false;
    }
    }
    public static function getHeader($jwt) {
        $tks = explode('.', $jwt);
        list($headb64, $bodyb64, $cryptob64) = $tks;
        $header = JWT::jsonDecode(JWT::urlsafeB64Decode($headb64));
        return $header;
    }
}

$FLAG = getenv("FLAG");
$PRIVATE_KEY = file_get_contents("/privatekey.pem");
$PUBLIC_KEY = file_get_contents("./publickey.pem");

if ($_SERVER['REQUEST_METHOD'] === 'POST') {
    if (!empty($_POST['username']) && !empty($_POST['password'])) {
        $token = "";
        if($_POST['username'] === 'admin' && $_POST['password'] === $FLAG){
            $jwt_payload = array(
                'username' => $_POST['username'],
                'role'=> 'admin',
            );
            $token = JWTHelper::encode($jwt_payload, $PRIVATE_KEY, 'RS256');
        } else {
            $jwt_payload = array(
                'username' => $_POST['username'],
                'role'=> 'guest',
            );
            $token = JWTHelper::encode($jwt_payload, $PRIVATE_KEY, 'RS256');
        }
        @setcookie("token", $token, time()+1800);
        header("Location: /index.php");
        exit();
    } else {
        @setcookie("token", "");
        header("Location: /index.php");
        exit();
    }
} else {
    if(!empty($_COOKIE['token']) && JWTHelper::decode($_COOKIE['token'], $PUBLIC_KEY) != false) {
        $obj = JWTHelper::decode($_COOKIE['token'], $PUBLIC_KEY);
        if ($obj->role === 'admin') {
            echo $FLAG;
        }
    } else {
        show_source(__FILE__);
    }
}
?>

代码审计就不说了,大家应该都明白,本质上就是通过对公钥使用对称算法加密,并且是在GET模式下提交的数据包。为了输出这个flag,就要进入else语句,既然如此token就不能为空,然后对token使用公钥解码,并且它的role字段对应的值为admin。然后看到decode函数这里它本质上使用的还是JWT上的编码的方法,使用的的KEY值是PUBLIC_KEY,也就是题目给出的提示公钥,然后编码算法用的是对称加密的’HS256’算法。根据这个条件我们需要编写一个python代码来生成token。

直接上脚本:

import jwt
import base64


public = """-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAmyf8RSyp6AvlNR4M2/4b
l8sCXD5JFsobNb5eYDcPwb75UsTYV8dcOQQbi8M+iXefQRuRR5RmzVI4yxmXscsM
fAB8IoEKZ8wBCjYd3sI5F6SHD8csM3yc2yEBlV93GYvobxkxoQl9+K0J6UeOYeYF
2LHOCaZDhYdYHLCyuitZ0BvnDpAR8xjAqYePJBXsTGd4gnebgeARyZYFizn3yXbL
nS1wKJvL0mkHT0XUdxKnOMfmPyxCHx5bXNxxOY2LlCRXx6uQ0Bb2eUEuFMCYN6va
bSFVo6L9i5JtB+7Zp4bdrcPNQEFPx5Fy6J0TS35c+MbRrInWLds3D1FiZUSseii/
WQIDAQAB
-----END PUBLIC KEY-----"""


payload={
  "username": "admin",
  "role": "admin"
}
print(jwt.encode(payload, key=public, algorithm='HS256'))



这样子写可能会出现下面这个错误,提示你这密钥不能在这个算法里使用,然后我们需要对源码包进行修改。
在这里插入图片描述


LINUX中JWT包的位置 /usr/lib/python3/dist-packages/jwt/algorithms.py
打开之后,加上这一句:invalid_strings=[]
在这里插入图片描述


接着删除 rm -rf pycache
在这里插入图片描述



运行成功
在这里插入图片描述
然后作为Cookie返包获取flag。

小蓝同学`
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
NKJWT:Objective-C 的 Json Web Token
06-15
JWT(JSON Web Token)是一项了不起的技术,它使网络/API 集成变得极其容易和快速。 这个库让你只需几行代码就可以获得 JWT 的所有好处。用户指南 安装添加到您的 Podfile: pod 'NKJWT' , '~> 0.1' 验证令牌 ...
JWT--JSON-Web-Token-implementation--encryption-decryption:JSON Web令牌实现(JWT)加密解密技术
05-02
使用JWT加密和解密文本使用JWT的加密和解密技术在命令提示符下的应用程序的根目录中运行以下命令。 节点服务器您可以在控制台中看到加密的文本和解密的文本您可以使用加密技术,让我们看一下[Crypto-encryption-...
ctfhub JSON Web Token
CN天狼
04-01 2237
ctfhub JSON Web Token
ctfhub 技能树 ——JSON Web Token 弱密钥
m0_62879498的博客
04-01 1899
ctfhub 技能树 ——JSON Web Token 弱秘钥 如果JWT采用对称加密算法,并且密钥的强度较弱的话,攻击者可以直接通过蛮力攻击方式来破解密钥。尝试获取flag 和 JSON Web Token 无签名一样,我们使用 admin 和 123456 进行登录查看 发现,和上一关的登录界面相似 我们 使用 Burip suite 进行抓包查看 本关和上一关不同的是 本关不能使用 none算法 换句话说我们需要知道签名的密匙,在关卡一开始就提示我们:JWT采用对称加密算法,并且密钥的强度较
CTFHub-JSON Web Token-无签名
feng的博客
09-16 1671
首先进入环境,发现是一个登录界面。我们随便输入个admin和1试试: 说明我们必须要伪造admin的身份。这里进行抓包,发现了JWT: 我们对JWT进行解码看看,发现header是这样: payload是这样: 如果解码的最后面不对,可以添加等于号。因为JWT采取的是base6url编码,如果有等于号会被省略。 根据题目的提示:一些JWT库也支持none算法,即不使用签名算法。当alg字段为空时,后端将不执行签名验证。尝试找到 flag。因此我们可以尝试使用none算法,然后将payload里面的g
CTFHub-JSON Web Token-敏感信息泄露
feng的博客
09-09 1298
前言 以前是没有接触过JWT的,直到几天前看了看DDCTF的Web签到题,发现是知识盲区,后来看了看WP,才知道好多东西自己都没有学过,因此特地学习学习。 关于JWT的基础知识,我觉得下面这个文章写的挺好的: JSON Web Token 入门教程 知道了JWT的基础知识,我们便开始做CTFHub中关于JWT的相关题目。 WP 首先打开环境发现是要登录的,我们直接burp抓包来看一看: 在response里发现了token。我们直接对token的header和payload进行base64url解码,解码
CTFHub-JSON Web Token-弱密钥
feng的博客
09-16 2709
根据题目的提示: 如果JWT采用对称加密算法,并且密钥的强度较弱的话,攻击者可以直接通过蛮力攻击方式来破解密钥。尝试获取flag。 进入环境之后还是一样的,随意登录,抓包,发现返回了token: 我们发现HS256是对称加密算法,根据题目意思,密钥强度较弱可以直接爆破,因此我们进行爆破: 我们使用这个工具: JWT cracker 自己写脚本也可以,不过我不会python。。。我也没找到个好用的字典(我也很迷,我找了几个字典密钥全都不在里面,最后只能用这个比较强的工具了) 这个工具需要在Linux上面运
bpmn-js-token-simulation:用于令牌模拟的bpmn-js扩展
05-11
npm install bpmn-js-token-simulation 作为附加模块添加到 。 造型师 var BpmnModeler = require ( 'bpmn-js/lib/Modeler' ) ; var tokenSimulation = require ( 'bpmn-js-token-simulation' ) ; var modeler = ...
springboot-react-jwt:JSON Web令牌React Spring Boot示例
02-05
JSON Web令牌/ React / Spring Boot示例 这是一个示例项目,其中使用JSON Web令牌保护Spring REST API。 Java和React的可用示例很少,并且有一些陷阱。 因此,我决定进行概念验证,创建一个独立的项目。 一切都在此...
blog-rest-api-nodejs-json-web-token:http
06-25
blog-rest-api-nodejs-json-web-token 博客示例 在帖子中: 去测试: 克隆或下载。 在server.js编辑,在var db添加您的 mongodb URL 进入终端并运行node server 使用 POSTMAN 或其他 http 请求工具执行带有...
CTF(JOSN弱类型)
sunshinelv99的博客
02-11 3410
JSON弱类型的CTF题(简单题)
[HarekazeCTF2019]encode_and_encode JSON小技巧
qq_54929891的博客
03-25 612
<?php error_reporting(0); if (isset($_GET['source'])) { show_source(__FILE__); exit(); } function is_valid($str) { $banword = [ // no path traversal '\.\.', // no stream wrapper '(php|file|glob|data|tp|zip|zlib|phar):', // n.
忘记密码-链接的形式(链接Token参数可逆、结合CTF靶场)
m0_61506558的博客
08-14 802
通过邮箱找回密码时,邮件中将出现一个含有 token 的重置 URL ,该 token 即为重置凭证。从经验来看,开发人员习惯以时间戳、递增序号、关键字段(如邮箱地址)等三类信16/40息之一作为因子,采用某种加密算法或编码生成 token ,攻击者可以基于能收集到的关键字段,用常见加密算法计算一遍,以判断是否可以预测出 token。下面举两个案例加以说明。............
浅谈flask与ctf那些事(转载)
jianye33的博客
08-31 513
最近跑了培训写了点flask的session伪造,没能用上,刚好整理了一下先前的资料把flask三种考过的点拿出来写写文章。 debug pin 本地先起一个开启debug模式的服务: -- coding: utf-8 -- from flask import Flask app = Flask(name) @app.route("/") def hello(): return ‘hello world!’ if name == “main”: app.run(host=“0.0.0.0”, port=80
ctf从入门到放弃:token 与 csrf 的防范190514
爱党人士
05-15 1979
Token是如何防止CSRF的? CSRF的主要问题是敏感操作的链接容易被伪造,那么如何让这个链接不容易被伪造? -每次请求,都增加一个随机码(需要够随机,不容易伪造),后台每次对这个随机码进行验证! 用bp抓包,post型的: CSRF(token)项目的token生成代码: 有两点注意: 1.要生成新的 2.销毁旧的 最后,在后台有个这样的判断: $_GET[]= $_SESSION[] ...
ctf题库-Just Click
miko2018的博客
08-21 2886
&amp;lt;题目&amp;gt; 拿到答案需要正确地点击按钮 格式:simCTF{ } 解题链接: http://ctf5.shiyanbar.com/re/rev4.exe &amp;lt;解答&amp;gt; 根据连接可知这是一个exe文件。打开连接下载文件。 ※拿到题目,随便点击按钮,发现没有任何反应。 多次点击后,程序退出。 因此可分析只有按照正确顺序点击才能得到正确答案。 ※我们再次打开程序,...
CTF第十五天
qq_52680097的博客
08-29 431
JSON Web Token 关于JWT,下面是一些资料 添加链接描述 添加链接描述 简单来说,就是身份验证的payload 敏感信息泄露 1.随便登录一个账号后再网页工具的“网络”查看token 2.解密 添加链接描述 3.将上面和下面拼成flag值就行 无签名 1.在pycharm中加入pyjwt库,下面是安装教程 添加链接描述 2.运行以下脚本 import jwt payload={ "username": "admin", "password": "admin", "role":
哎哟,这就是JSON
dingyuduan的专栏
01-07 2311
写这篇文章的缘由 你了解JSON嘛?JSON是JavaScript中对象嘛?JSON可以存储function对象嘛?JSON的本质是什么呢?JSON能写注释嘛? 如果你都能答上来,那恭喜你,你对JSON了解的很测底,如果你有写不太明白,哪有必要和我一起来探讨JSON。 我之前对JSON的概念也是一知半解,常常和JavaScript的Object对象混淆,所以就导致了很多种种的错误,特别是在研
CTFshow web入门——信息搜集
小元砸的博客
01-12 3940
web 1 题目:开发注释未及时删除 解题思路:ctrl+u查看源码即可得到flag web 2 题目:js前台拦截 === 无效操作 解题思路:打开可以看到 “无法查看源代码”的字样 但依然可以用ctrl+u的方法查看源码,即可得到flag web 3 题目:没思路的时候抓个包看看,可能会有意外收获 解题思路:F12查看一下响应头即可得到flag web 4 题目:总有人把后台地址写入robots,帮黑阔大佬们引路 解题思路:根据提示访问/robots.txt,会出现:"User-agent: * Di
ctfhub技能树web基础认证
最新发布
03-13
CTFHub是一个CTF(Capture The Flag)竞赛平台,提供了丰富的技能树来帮助学习者提升Web基础认证的能力。下面是CTFHub技能树中关于Web基础认证的内容: 1. HTTP协议:了解HTTP协议的基本原理和常见的请求方法(GET...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值