JWT越权访问漏洞

最新推荐文章于 2024-02-24 08:05:57 发布
最新推荐文章于 2024-02-24 08:05:57 发布
阅读量214 收藏
点赞数 1
分类专栏: 反序列化漏洞 文章标签: 网络 web安全 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42786460/article/details/133905463
版权

JWT越权访问漏洞

文章目录

原文参考 :xiu

1 靶场搭建:

webgoat-server-8.1.0.jar  使用这个靶场

启动靶场为:java -jar webgoat-server-8.1.0.jar --server.port=8888

访问页面:http://127.0.0.1:8888/WebGoat/ —>选择注册

在这里插入图片描述

填写用户密码,点击注册

在这里插入图片描述

选择 JWT

在这里插入图片描述

选择3,有流程说明
在这里插入图片描述

选这第四关进行投票

在这里插入图片描述

切换一个用户,进行投票,并删除票,提示只有admin用户可以,使用burp suite焯去删除发送的数据包

在这里插入图片描述

bp抓到包,提示只有admin可以进行重置票

在这里插入图片描述

用户的身份在token中,分析里面值进行修改token

Cookie: access_token=eyJhbGciOiJIUzUxMiJ9.eyJpYXQiOjE2OTU0NzA1MzgsImFkbWluIjoiZmFsc2UiLCJ1c2VyIjoiVG9tIn0.19GkQq28-pNBY-8wYA3LnrEOZ5gF1h2HggUH73nTh994L2ZK8sJmkx1tphdGWpgjHTQoXBDcCCZdAoVWwl1GCw;

2 JWT的头部组成

在这里插入图片描述

JWT(JSON Web Token)由三部分组成:头部(Header)、载荷(Payload)、签名
(Signature)。
 头部(Header):头部通常由两部分组成,算法类型和令牌类型。
 算法类型:指定用于生成签名的算法,例如 HMAC、RSA 或者 ECDSA。
 令牌类型:指定令牌的类型,常见的是 JWT。
头部使用 Base64Url 编码表示,并作为整个 JWT 的第一部分。头部的一个示例:
{
 "alg": "HS256",none
 "typ": "JWT"
}
 载荷(Payload):载荷存储了有关用户或实体的声明和其他有关信息。
 声明:如用户 ID、角色、权限等信息。
 注册声明:包含一些标准的声明(比如发行人、过期时间等)和一些自定义的
声明。
载荷也使用 Base64Url 编码表示,并作为整个 JWT 的第二部分。载荷的一个示例:
{
 "sub": "1234567890",
 "name": "John Doe",
 "iat": 1516239022
}
 签名(Signature):签名是对头部和载荷进行签名的结果,用于验证 JWT 的完整
性和真实性。
 签名生成方式:将头部和载荷进行 Base64Url 编码后拼接在一起,然后使
用指定的加密算法(如 HMAC、RSA)进行签名,将生成的签名添加到 JWT 中。
2.1 头部
2.1.1 alg:

​ 说明这个 JWT 的签名使用的算法的参数,常见值用 HS256(默认),HS512 等,也可以为

​ None。HS256 表示 HMAC SHA256。

2.1.2 type:

​ 说明这个 token 的类型为 JWT

2.2 payload
载荷就是存放有效信息的地方。这个名字像是特指飞机上承载的货品,这些有效信息包含三个部分
	* 标准中注册的声明
	* 公共的声明
	* 私有的声明
	
标准中注册的声明(建议但不强制使用):
	* iss:jwt签发者
	* sub:jwt所面向的用户
	* aud:接收jwt的一方
	* exp:jwt的过期时间,这个过期时间必须要大于签发时间
	* nbf:定义在什么时间之前,该jwt都是不可用的.
	* iat:jwt的签发时间
	* jti:jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。
2.3 签名
服务器有一个不会发送给客户端的密码(secret),用头部中指定的算法对头部和声明的内容用;

此密码进行加密,生成的字符串就是 JWT 的签名

3 漏洞复现

3.1 攻击点token(第三关)
头部的alg算法HS256进行设置none【没有】

改前:
{
 "alg": "HS256",
 "typ": "JWT"
}

改后:
{
 "alg": "none",none
 "typ": "JWT"
}

在这里插入图片描述

3.2 对token值base64的加密码方式进行解析加密编码,只能看。
https://jwt.io/

颜色标记对应的头、中、尾,依依对应

在这里插入图片描述

3.3 修改解密后的json,在加密成base64
3.3.1 base64加密方式解密网
https://www.bejson.com/enc/base64/   # base64加密网

https://jwt.io/   # base64加密方式查看

在这里插入图片描述

在这里插入图片描述

ewogICJpYXQiOiAxNjk1NDcwNTM4LAogICJhZG1pbiI6ICJ0cnVlIiwKICAidXNlciI6ICJhZG1pbiIKfQ

在这里插入图片描述

3.3.2 将获取修改后的base64,放入解读加密方式
https://jwt.io/   # base64加密方式查看

在这里插入图片描述

3.3.3 最后组成base64,后面的点一定有,后台是根据点分隔取值
ewogICJhbGciOiAibm9uZSIKfQ.ewogICJpYXQiOiAxNjk1NDcwNTM4LAogICJhZG1pbiI6ICJ0cnVlIiwKICAidXNlciI6ICJhZG1pbiIKfQ.
3.4 使用bp抓包,将加密后的base64替换token值,send发送

​ 提示:恭喜你,成功完成任务

在这里插入图片描述

4 第四关

​ 修改 payload 数据,admin 修改为 true,将加密方式修改为 none。

5 第五关

密码爆破

在这里插入图片描述

修改 exp 有效时间
爆破秘钥
hashcat -m 16500 jwt.txt -a 3 -w 3 1.txt
-m 16500 这里的 16500 对应的就是 jwt 的 token 爆破;
-a 3 代表蛮力破解
-w 3 可以理解为高速破解,就是会让桌面进程无响应的那种高速
jwt.txt 是我把题目要求破解的 token 保存到的文件
pass.txt 密码字典

6 第7关

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

煜磊
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
越权问题的解决方案
啦啦啦的博客
01-25 1万+
一、横向越权和纵向越权 越权定义:一个正常的用户A通常只能够对自己的一些信息进行增删改查,但是由于程序员的一时疏忽未对信息进行增删改查的时候没有进行一个判断,判断所需要操作的信息是否属于对应的用户,可以导致用户A可以操作其他人的信息。​ 横向越权定义:攻击者尝试访问与他拥有相同权限的用户的资源。Web应用程序接收到用户请求,修改某条数据时,没有判断数据的所属人,或者在判断数据所属人时从用户提交的表...
JWT爆破篡改工具-离线
04-03
从爆破到篡改,完美闭环
jwt越权
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
07-04 671
JWT (JSON Web Token) 是一种在网络应用中用于身份认证和授权的开放标准(RFC 7519)。它是一种轻量级的 Token 格式,由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。JWT 通常在用户身份验证后生成,并可以在跨域和分布式环境中安全地传输和验证。头部(Header)包含了关于该 JWT 的元数据,如令牌的类型(“typ”)和签名算法(“alg”)等。载荷(Payload)
网络安全笔记 -- 逻辑越权(找回机制、验证码、Token)
swy66的博客
09-20 1797
网络安全笔记——逻辑越权 找回机制、验证码、Token
逻辑越权之验证码|token|接口(36)
san3144393495的博客
06-17 1432
token是类似于会话一串数字代表数据包的唯一性,数据包的编号,防止一些csrf,或者一些存放数据包的攻击;验证码,很多事情都需要验证码,如果可以绕过的话,就可以实现一些功能,比如密码修改绕过,后台登陆爆破账户密吗,经常次数过多会出现验证码。2.回显,类似于讲过的本地回显,token值会在前端进行显示,我们只需要让token值和前端显示的一样,实现绕过数据包唯一性检测。3.固定,虽然有这个token,但可以通过上一次的token操作下一次的数据包,没有检测唯一性,表面上看着有,实际上没有,
使用2023版BurpSuite手工进行水平越权测试【图文教程】
Welcome KrityCat Honey
02-24 1044
本人在使用时BurpSuite v2023.12时,查阅网上资料,发现网上大多是旧版,而旧版跟新版在界面上有些许调整。故记录BurpSuite v2023.12使用教程,用于后续本人回顾。
【网络安全】垂直越权漏洞与代码分析
m0_59598029的博客
01-16 1020
文章写完了之后,申请CVE有一些麻烦,不过好在还是申请到了ps 申请CVE前,已经提交了CNVD【一>所有资源获取
JWTtoken验证.zip
04-16
Json web token (JWT),适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须...
JWT学习笔记
01-21
JWT学习笔记 作为一名IT行业大师,我将详细解释JWT的概念、特点、优势和应用场景。 什么是JWT? JSON Web Token(JWT)是一种基于JSON的Web令牌,用于在各方之间安全地传输信息。它可以完成数据加密、签名等相关...
JWT Token生成及验证
07-16
9. **OAuth 2.0与JWT**:OAuth 2.0是一种授权框架,JWT可作为访问令牌(Access Token)在OAuth流程中使用,提供安全的资源访问权限。 10. **JWT的扩展性**:JWT支持自定义声明,这使得它可以适应各种应用场景,如...
JWT 实战教程_jwt_
10-01
对于授权,你可以配置Spring Security的WebSecurityConfigurerAdapter,设置哪些URL需要保护以及哪些角色有权访问。 为了刷新JWT,通常会在payload中加入一个过期时间(exp),当这个时间到达时,JWT将失效。可以...
springboot中拦截并替换token来简化身份验证
开源世界
02-23 1502
一、场景来源 在日常开发实践中,时常需要使用工具(如 Postman、curl命令)来构建http请求进行 开发和测试,当遇到需要token鉴权的接口时,可能需要额外的页面登录或者请求其它接口来获取token,若开发测试过程中需要频繁切换账号时,一直手动获取token就是慢动作了。那么,这个操作是可以优化的吗? 项目环境:springboot + web + dubbo 请求示意:token放在header的token字段中 特别注意:这种方法仅能用于测试环境,切勿部署到线上!!! 二、期望 当构建的ht
通过token窃取实现降权或者提权
Shanfenglan's blog
12-29 3万+
文章目录前言通过msf实现1.生成木马并以管理员权限运行2.实现提权到system3.降级到普通用户通过incognito工具实现1. 实现提权到system2. 降权到普通user获取TrustedInstaller权限参考文章 前言 windows中token有两种: Delegation token(授权令牌):用于交互会话登录,例如远程桌面 Impersonation token(模拟令牌):用于非交互登录,例如dir远程主机的文c$ 当我们拿到一台主机却不知道如何提权的时候,可以看看是否有高权
安全
RainSun
11-28 414
越权修改 Cookie、Session、Token、认证、授权的关系 表单重复提交 1. 越权修改 1.1 场景 在进行渗透测试的时候,发现了一个越权修改用户密码的例子 在修改密码页面抓包,替换成其他用户的id且用户密码相同的情况下,便可以成功修改该用户密码。由于服务端只将用户的id和旧密码进行了匹配,所以攻击者可以收集大量用户名后,对使用了某些相同弱密码的用户进行批量修改密码 例如: 我们数...
mmall实战之越权问题。token
一缕清风伴你左右的博客
04-18 559
1.安全-越权问题横向越权定义:攻击者尝试访问与他拥有相同权限的用户的资源。纵向越权定义:低级别攻击者尝试访问高级别用户的资源。漏洞演练:https://blog.csdn.net/qq_33394088/article/details/77427904?locationNum=2&fps=1越权解释与cookie解决办法:http://blog.csdn.net/tanzhen19919...
如何解决水平越权(横向越权)和纵向越权
weixin_48414604的博客
11-04 6188
如何解决水平越权(横向越权)和纵向越权
越权漏洞JWT的利用
QYbkx974的博客
12-10 1010
一般越权漏洞容易出现在权限页面(需要登录的页面)增、删、改、查的的地方,当用户对权限页面内的信息进行这些操作时,后台需要对 对当前用户的权限进行校验,看其是否具备操作的权限,从而给出响应,而如果校验的规则过于简单则容易出现越权漏洞。如果使用A用户的权限去操作B用户的数据,A的权限小于B的权限,如果能够成功操作,则称之为越权操作。用第四关来演示,现在使用的用户是TOM,我们尝试删除投票的数据,发现只有管理员用户能操作,抓包查看。载荷,存储了用户的信息,第三部分为签名,用来验证JWT的完整性与真实性。
史上最全网络安全面试题总结
03-17 2万+
新的一年,难免有不少小伙伴面临跳槽或者找工作,本文总结了常见的安全岗位面试题,方便各位复习。祝各位事业顺利,财运亨通。 php爆绝对路径方法? 单引号引起数据库报错 访问错误参数或错误路径 探针类文件如phpinfo 扫描开发未删除的测试文件 google hacking phpmyadmin报路径:/phpmyadmin/libraries/lect_lang.lib.php 利用漏洞读取配置文件找路径 恶意使用网站功能,如本地图片读取功能读取不存在图片,上传点上传不能正常导入的文件 你常用的渗
越权漏洞系列
热门推荐
Websec
04-02 4万+
0x01:越权的定义越权漏洞是我们在测试过程中遇到比较多的漏洞,我们可以这样来理解越权漏洞,一个用户A一般只能够对自己本身的信息进行增删改查,然而由于后台开发人员的疏忽,没有在信息进行增删改查时候进行用户判断,从而导致用户A可以对其他用户进行增删改查等等操作。当然越权漏洞的话,分为水平越权和垂直越权。0x01:水平越权:也可以把其称作访问控制攻击漏洞.Web应用程序在接收到用户的请求时,我们在增删...
JWT中的弱签名 漏洞
最新发布
06-05
JWT(JSON Web Token)是一种用于进行身份验证的开放标准,它使用 JSON 对象作为 token 传输格式。JWT 分为三个部分:头部(Header)、载荷(Payload)和签名(Signature)。其中,签名用于保证 JWT 的完整性和可靠性。 弱签名漏洞指的是在对 JWT 进行签名时,使用了弱的加密算法或者密钥,导致攻击者可以通过暴力破解或者其他手段伪造有效的 JWT,从而绕过身份验证,获得未授权的访问权限。 例如,如果使用了容易被破解的对称加密算法或者密钥长度过短,攻击者可以通过伪造签名篡改 JWT 中的信息,以此来获取受限资源。因此,在使用 JWT 进行身份验证时,必须采用安全的加密算法和密钥,并确保签名的唯一性和完整性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值