0x00 介紹

JSON Web Token 縮寫(xiě)成 JWT，被用于和服務(wù)器的認(rèn)證場(chǎng)景中，這一點(diǎn)有點(diǎn)類似于 Cookie 里的 Session id，關(guān)于這兩者的區(qū)別可以看本文尾部的參考鏈接。

JWT 由三部分構(gòu)成，分別為 Header（頭部）、Payload（負(fù)載）、Signature（簽名），三者以小數(shù)點(diǎn)分割，格式類似于這樣：

Header.Payload.Signature

實(shí)際遇到的 JWT 一般是這種樣子

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

JWT 的第一部分 Header 通常由兩個(gè)部分組成：

• alg 表示使用的簽名算法，例如 RSA、HMAC SHA256（或簡(jiǎn)寫(xiě)為 HS256）
• typ 表示 Token 的類型 Type

通常寫(xiě)成以下 JSON 格式 的樣子

{
  "alg": "HS256",
  "typ": "JWT"
}

然后使用 Base64URL 編碼為 eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9，就形成了 JWT 的第一部分。

JWT 的第二部分 Payload 也是 JSON 的格式，例如：

{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022
}

然后將該 JSON 對(duì)象進(jìn)行 Base64URL 編碼為 eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ，就形成了 JWT 的第二部分。

對(duì)于 Payload 官方規(guī)定了 7 個(gè)字段：

iss (issuer)：簽發(fā)人
exp (expiration time)：過(guò)期時(shí)間
sub (subject)：主題
aud (audience)：受眾
nbf (Not Before)：生效時(shí)間
iat (Issued At)：簽發(fā)時(shí)間
jti (JWT ID)：編號(hào)

除此之外，也是可以定義私有字段的。

JWT 的第三部分 Signature 是對(duì) Header 和 Payload 部分的簽名，起到防止數(shù)據(jù)篡改的作用。

首先需要指定一個(gè)密鑰，這個(gè)密鑰只有服務(wù)器知道，然后利用 Header 里指定的加密算法（默認(rèn)是 HMAC SHA256）按照下面的公式生成簽名。

HMACSHA256(base64UrlEncode(header) + "." +base64UrlEncode(payload),secret)

0x01 靶場(chǎng)復(fù)現(xiàn)

方法一

這里使用 WebGoat 靶場(chǎng)進(jìn)行 JWT Token 實(shí)驗(yàn)，直接 Docker 搭建即可。

sudo docker pull webgoat/goatandwolf
sudo docker run -p 8080:8080 -p 9090:9090 -e TZ=Europe/Amsterdam -d webgoat/goatandwolf

打開(kāi)之后，來(lái)到 (A2) Broken Authentication 找到 JWT Token 的第 5 關(guān)，可以看到這一關(guān)是需要修改 JWT Token 的值以 admin 身份進(jìn)行投票重置，那么需要先找到 JWT 的加密密鑰。

image

在點(diǎn)擊重置投票按鈕時(shí)，請(qǐng)求的 URL 為 http://172.16.214.20:8080/WebGoat/JWT/votings

Clone 源碼到本地，看看在源碼里能否找到什么有價(jià)值的信息

git clone https://github.com/WebGoat/WebGoat.git

直接在代碼里全局搜索 /JWT/votings

在 webgoat-lessons/jwt/src/main/java/org/owasp/webgoat/jwt/JWTVotesEndpoint.java 的第 163 行找到 @PostMapping("/JWT/votings")，通過(guò)函數(shù)名 resetVotes() 判斷大概率是進(jìn)行重置投票的函數(shù)。

@PostMapping("/JWT/votings")
@ResponseBody
public AttackResult resetVotes(@CookieValue(value = "access_token", required = false) String accessToken) {
    if (StringUtils.isEmpty(accessToken)) {
        return failed(this).feedback("jwt-invalid-token").build();
    } else {
        try {
            Jwt jwt = Jwts.parser().setSigningKey(JWT_PASSWORD).parse(accessToken);
            Claims claims = (Claims) jwt.getBody();
            boolean isAdmin = Boolean.valueOf((String) claims.get("admin"));
            if (!isAdmin) {
                return failed(this).feedback("jwt-only-admin").build();
            } else {
                votes.values().forEach(vote -> vote.reset());
                return success(this).build();
            }
        } catch (JwtException e) {
            return failed(this).feedback("jwt-invalid-token").output(e.toString()).build();
        }
    }
}

通過(guò)分析代碼，從上面代碼的第 8 行中不難看出 JWT 的密碼為 JWT_PASSWORD 變量，當(dāng) Cookie 中的 access_token 參數(shù)里的 Payload 部分（即上面代碼里的第 10 行 claims.get）的 admin 參數(shù)值為 true 時(shí)則判斷為 admin 用戶，如果為 false 則返回 jwt-only-admin

通過(guò)在代碼里查詢 JWT_PASSWORD 變量，可以找到值為 victory

public class JWTVotesEndpoint extends AssignmentEndpoint {
    public static final String JWT_PASSWORD = TextCodec.BASE64.encode("victory");
    private static String validUsers = "TomJerrySylvester";

知道了 jwt 密鑰之后，在 jwt.io 上將 Payload 部分的 admin 值修改為 true ，在 Signature 部分添加密鑰重新生成 JWT，然后 Burp 替換就可以成功重置投票了。

方法二

除了以上通過(guò)源碼找 JWT 密鑰的方法還可以利用將加密算法修改為 none，即通過(guò)不加密的方式進(jìn)行繞過(guò)。

{"alg":"none"} 編碼后為 eyJhbGciOiJub25lIn0=，將 Payload 里的 admin 值修改為 true，最終構(gòu)造 Token 如下：

eyJhbGciOiJub25lIn0%3d.eyJpYXQiOjE2NDAzMTg4NTEsImFkbWluIjoidHJ1ZSIsInVzZXIiOiJUb20ifQ.

參考文章：

https://www.cnblogs.com/ittranslator/p/14595165.html

https://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html

原文鏈接：

https://www.teamssix.com/211214-175948.html