Authentication Lab | JWT None Algorithm

关注这个靶场的其他相关笔记:Authentication Lab ------ 靶场笔记合集-CSDN博客

0x01:JWT None Algorithm 前情提要

本关的考点是 JWT(Json Web Token)漏洞,JWT 是一个用于跨域认证的技术。如果你不了解 JWT,可以参考这篇文章:JWT 详解

JWT 标准支持不安全的 JWT 算法,适用于不需要加密和签名的场景,例如受信任的服务器之间的通信。在这些情况下,可以通过在 JWT 标头中指定算法 algnone 来省略签名的内容。但经过这种签名的 JWT,是不应该发送给用户使用的。

0x02:JWT None Algorithm Write UP

使用 BurpSuite 自带的浏览器打开靶场(这里主要是为了抓包):

点击页面上的 Validate Token 按钮,获取 JWT 用户信息:

从查询出来的结果包括用户权限来看,本关考验的就是越权。此时回到 BurpSuite,查看之前抓的包:

可以发现,在我们给服务器发送的请求包中除了 Authorization 字段外,并没有什么特殊的内容来表明发送此信息的人的身份,所以,我们有合理的理由来怀疑,这个 Authorization 字段就是我们用户的登录凭证,其中包含了我们用户的个人信息。

在解密 Authorization 中的 JWT 之前,我们看一下上面那个 JS 文件。(你难道不疑惑一下 Authorization 字段中的值是哪里来的吗?)

可以看到,这个 JWT 内容是写在 JavaScript 脚本中直接发送给后端的。并且,除了发送的那条外,还注释了一条信息:

javascript 复制代码
 // JWT with none
 // let token = "eyJhbGciOiJub25lIiwidHlwIjoiSldUIn0.eyJsZXZlbCI6InVzZXIiLCJ1c2VyIjoic2lkIn0."

这条信息中的 token 可以让你很快速的联想到 JWT,但是它与普通的 JWT 又不同,它省略了签名部分的内容(这个时候,聪明如你应该已经想到过关的方法了)。

这个发现先按下不表,我们对第 5 条数据包中,我们发给服务端的那个 JWT 进行一个解码(去 JWT 官网即可:JSON Web Tokens - jwt.io):

可以发现,解密后的内容中,JWT 的 Payload 部分正好包含用户名和用户等级。这告诉了我们一个可能,只要能修改 JWT 的值,我们就可能完成越权!

那么怎么修改呢?JWT Payload 部分使用的是 Base64URL 编码,这个很好蒙混过关,可是它还有一个签名字段,用来验证 Header 与 Payload 是否被人为修改过,要是不要这个字段就好了。。。。是的,过关的方式,不要这个字段!

记得,注释掉的那条信息吗:JWT With none,我们将那条 Token 也放到 JWT 官网进行解密:

可以看到,解密后的 alg 的字段为 none。我们知道,在 JWT 中,Header 中的 alg 表名的是签名部分使用的算法,这里值为 none,且其又无签名部分,是否可以说明,只要修改 JWT 的签名算法为 none,就可以绕过签名。

我们将这条签名为 none 的 JWT,发送给服务器身份验证接口进行验证(就是上面那个回显 UserLevel 的数据包):

可以看到,其返回了 'none' signature type is not allowed,说明 algnone 是不允许的,为 none 不允许,那为 None 允许吗?思维打开,我们找到一个 Base64URL 编码的站点,将 JWT 的 Header 部分重新进行编码:

将重构后的 JWT Header 传递给服务端,可以看到,服务端成功完成了回显:

光回显没用,我们还要提权,假设它们站点最高权限是 admin 我们对 JWT 的 Payload 部分也进行修改,看看能不能提权成功:

从回显中可以看到,Level 为 admin,成功提权!

如果此时进一步测试,你还可以发现,当 JWT 签名算法为 None 时,你给其签名部分填任何值,后端都不会对其进行验证(没啥用,帮你省点测试时间):

相关推荐
Lionhacker10 小时前
网络工程师这个行业可以一直干到退休吗?
网络·数据库·网络安全·黑客·黑客技术
centos0812 小时前
PWN(栈溢出漏洞)-原创小白超详细[Jarvis-level0]
网络安全·二进制·pwn·ctf
程序员小予14 小时前
如何成为一名黑客?小白必学的12个基本步骤
计算机网络·安全·网络安全
蜗牛学苑_武汉16 小时前
Wazuh入侵检测系统的安装和基本使用
网络·网络安全
乐茵安全17 小时前
linux基础
linux·运维·服务器·网络·安全·网络安全
如光照19 小时前
Linux与Windows中的流量抓取工具:wireshark与tcpdump
linux·windows·测试工具·网络安全
follycat21 小时前
2024强网杯Proxy
网络·学习·网络安全·go
黑色叉腰丶大魔王1 天前
《运维网络安全》
运维·网络·网络安全
bluechips·zhao1 天前
协议栈攻击分类(CISP-PTE笔记)
笔记·安全·网络安全