0x00 介紹
JSON Web Token 縮寫(xiě)成 JWT,被用于和服務(wù)器的認(rèn)證場(chǎng)景中刻坊,這一點(diǎn)有點(diǎn)類(lèi)似于 Cookie 里的 Session id,關(guān)于這兩者的區(qū)別可以看本文尾部的參考鏈接。
JWT 由三部分構(gòu)成精置,分別為 Header(頭部)、Payload(負(fù)載)锣杂、Signature(簽名)脂倦,三者以小數(shù)點(diǎn)分割番宁,格式類(lèi)似于這樣:
Header.Payload.Signature
實(shí)際遇到的 JWT 一般是這種樣子
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
JWT 的第一部分 Header 通常由兩個(gè)部分組成:
- alg 表示使用的簽名算法,例如 RSA赖阻、HMAC SHA256(或簡(jiǎn)寫(xiě)為 HS256)
- typ 表示 Token 的類(lèi)型 Type
通常寫(xiě)成以下 JSON 格式 的樣子
{
"alg": "HS256",
"typ": "JWT"
}
然后使用 Base64URL 編碼為 eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9蝶押,就形成了 JWT 的第一部分。
JWT 的第二部分 Payload 也是 JSON 的格式火欧,例如:
{
"sub": "1234567890",
"name": "John Doe",
"iat": 1516239022
}
然后將該 JSON 對(duì)象進(jìn)行 Base64URL 編碼為 eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ棋电,就形成了 JWT 的第二部分。
對(duì)于 Payload 官方規(guī)定了 7 個(gè)字段:
iss (issuer):簽發(fā)人
exp (expiration time):過(guò)期時(shí)間
sub (subject):主題
aud (audience):受眾
nbf (Not Before):生效時(shí)間
iat (Issued At):簽發(fā)時(shí)間
jti (JWT ID):編號(hào)
除此之外苇侵,也是可以定義私有字段的赶盔。
JWT 的第三部分 Signature 是對(duì) Header 和 Payload 部分的簽名,起到防止數(shù)據(jù)篡改的作用榆浓。
首先需要指定一個(gè)密鑰于未,這個(gè)密鑰只有服務(wù)器知道,然后利用 Header 里指定的加密算法(默認(rèn)是 HMAC SHA256)按照下面的公式生成簽名陡鹃。
HMACSHA256(base64UrlEncode(header) + "." +base64UrlEncode(payload),secret)
0x01 靶場(chǎng)復(fù)現(xiàn)
方法一
這里使用 WebGoat 靶場(chǎng)進(jìn)行 JWT Token 實(shí)驗(yàn)烘浦,直接 Docker 搭建即可。
sudo docker pull webgoat/goatandwolf
sudo docker run -p 8080:8080 -p 9090:9090 -e TZ=Europe/Amsterdam -d webgoat/goatandwolf
打開(kāi)之后萍鲸,來(lái)到 (A2) Broken Authentication 找到 JWT Token 的第 5 關(guān)闷叉,可以看到這一關(guān)是需要修改 JWT Token 的值以 admin 身份進(jìn)行投票重置,那么需要先找到 JWT 的加密密鑰猿推。
在點(diǎn)擊重置投票按鈕時(shí)片习,請(qǐng)求的 URL 為 http://172.16.214.20:8080/WebGoat/JWT/votings
Clone 源碼到本地,看看在源碼里能否找到什么有價(jià)值的信息
git clone https://github.com/WebGoat/WebGoat.git
直接在代碼里全局搜索 /JWT/votings
在 webgoat-lessons/jwt/src/main/java/org/owasp/webgoat/jwt/JWTVotesEndpoint.java 的第 163 行找到 @PostMapping("/JWT/votings")蹬叭,通過(guò)函數(shù)名 resetVotes() 判斷大概率是進(jìn)行重置投票的函數(shù)藕咏。
@PostMapping("/JWT/votings")
@ResponseBody
public AttackResult resetVotes(@CookieValue(value = "access_token", required = false) String accessToken) {
if (StringUtils.isEmpty(accessToken)) {
return failed(this).feedback("jwt-invalid-token").build();
} else {
try {
Jwt jwt = Jwts.parser().setSigningKey(JWT_PASSWORD).parse(accessToken);
Claims claims = (Claims) jwt.getBody();
boolean isAdmin = Boolean.valueOf((String) claims.get("admin"));
if (!isAdmin) {
return failed(this).feedback("jwt-only-admin").build();
} else {
votes.values().forEach(vote -> vote.reset());
return success(this).build();
}
} catch (JwtException e) {
return failed(this).feedback("jwt-invalid-token").output(e.toString()).build();
}
}
}
通過(guò)分析代碼,從上面代碼的第 8 行中不難看出 JWT 的密碼為 JWT_PASSWORD 變量秽五,當(dāng) Cookie 中的 access_token 參數(shù)里的 Payload 部分(即上面代碼里的第 10 行 claims.get)的 admin 參數(shù)值為 true 時(shí)則判斷為 admin 用戶孽查,如果為 false 則返回 jwt-only-admin
通過(guò)在代碼里查詢(xún) JWT_PASSWORD 變量,可以找到值為 victory
public class JWTVotesEndpoint extends AssignmentEndpoint {
public static final String JWT_PASSWORD = TextCodec.BASE64.encode("victory");
private static String validUsers = "TomJerrySylvester";
知道了 jwt 密鑰之后坦喘,在 jwt.io 上將 Payload 部分的 admin 值修改為 true 盲再,在 Signature 部分添加密鑰重新生成 JWT,然后 Burp 替換就可以成功重置投票了瓣铣。
方法二
除了以上通過(guò)源碼找 JWT 密鑰的方法還可以利用將加密算法修改為 none答朋,即通過(guò)不加密的方式進(jìn)行繞過(guò)。
{"alg":"none"} 編碼后為 eyJhbGciOiJub25lIn0=棠笑,將 Payload 里的 admin 值修改為 true梦碗,最終構(gòu)造 Token 如下:
eyJhbGciOiJub25lIn0%3d.eyJpYXQiOjE2NDAzMTg4NTEsImFkbWluIjoidHJ1ZSIsInVzZXIiOiJUb20ifQ.
參考文章:
https://www.cnblogs.com/ittranslator/p/14595165.html
https://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html
原文鏈接:
