Authentication Lab | JWT None Algorithm

关注这个靶场的其他相关笔记:Authentication Lab ------ 靶场笔记合集-CSDN博客

0x01:JWT None Algorithm 前情提要

本关的考点是 JWT(Json Web Token)漏洞,JWT 是一个用于跨域认证的技术。如果你不了解 JWT,可以参考这篇文章:JWT 详解

JWT 标准支持不安全的 JWT 算法,适用于不需要加密和签名的场景,例如受信任的服务器之间的通信。在这些情况下,可以通过在 JWT 标头中指定算法 algnone 来省略签名的内容。但经过这种签名的 JWT,是不应该发送给用户使用的。

0x02:JWT None Algorithm Write UP

使用 BurpSuite 自带的浏览器打开靶场(这里主要是为了抓包):

点击页面上的 Validate Token 按钮,获取 JWT 用户信息:

从查询出来的结果包括用户权限来看,本关考验的就是越权。此时回到 BurpSuite,查看之前抓的包:

可以发现,在我们给服务器发送的请求包中除了 Authorization 字段外,并没有什么特殊的内容来表明发送此信息的人的身份,所以,我们有合理的理由来怀疑,这个 Authorization 字段就是我们用户的登录凭证,其中包含了我们用户的个人信息。

在解密 Authorization 中的 JWT 之前,我们看一下上面那个 JS 文件。(你难道不疑惑一下 Authorization 字段中的值是哪里来的吗?)

可以看到,这个 JWT 内容是写在 JavaScript 脚本中直接发送给后端的。并且,除了发送的那条外,还注释了一条信息:

javascript 复制代码
 // JWT with none
 // let token = "eyJhbGciOiJub25lIiwidHlwIjoiSldUIn0.eyJsZXZlbCI6InVzZXIiLCJ1c2VyIjoic2lkIn0."

这条信息中的 token 可以让你很快速的联想到 JWT,但是它与普通的 JWT 又不同,它省略了签名部分的内容(这个时候,聪明如你应该已经想到过关的方法了)。

这个发现先按下不表,我们对第 5 条数据包中,我们发给服务端的那个 JWT 进行一个解码(去 JWT 官网即可:JSON Web Tokens - jwt.io):

可以发现,解密后的内容中,JWT 的 Payload 部分正好包含用户名和用户等级。这告诉了我们一个可能,只要能修改 JWT 的值,我们就可能完成越权!

那么怎么修改呢?JWT Payload 部分使用的是 Base64URL 编码,这个很好蒙混过关,可是它还有一个签名字段,用来验证 Header 与 Payload 是否被人为修改过,要是不要这个字段就好了。。。。是的,过关的方式,不要这个字段!

记得,注释掉的那条信息吗:JWT With none,我们将那条 Token 也放到 JWT 官网进行解密:

可以看到,解密后的 alg 的字段为 none。我们知道,在 JWT 中,Header 中的 alg 表名的是签名部分使用的算法,这里值为 none,且其又无签名部分,是否可以说明,只要修改 JWT 的签名算法为 none,就可以绕过签名。

我们将这条签名为 none 的 JWT,发送给服务器身份验证接口进行验证(就是上面那个回显 UserLevel 的数据包):

可以看到,其返回了 'none' signature type is not allowed,说明 algnone 是不允许的,为 none 不允许,那为 None 允许吗?思维打开,我们找到一个 Base64URL 编码的站点,将 JWT 的 Header 部分重新进行编码:

将重构后的 JWT Header 传递给服务端,可以看到,服务端成功完成了回显:

光回显没用,我们还要提权,假设它们站点最高权限是 admin 我们对 JWT 的 Payload 部分也进行修改,看看能不能提权成功:

从回显中可以看到,Level 为 admin,成功提权!

如果此时进一步测试,你还可以发现,当 JWT 签名算法为 None 时,你给其签名部分填任何值,后端都不会对其进行验证(没啥用,帮你省点测试时间):

相关推荐
Clockwiseee10 小时前
php伪协议
windows·安全·web安全·网络安全
Lspecialnx_14 小时前
文件解析漏洞中间件(iis和Apache)
网络安全·中间件
学习溢出16 小时前
【网络安全】逆向工程 练习示例
网络·安全·网络安全·渗透测试·逆向工程
孤独的履行者19 小时前
入门靶机:DC-1的渗透测试
数据库·python·网络安全
Blankspace学20 小时前
Wireshark软件下载安装及基础
网络·学习·测试工具·网络安全·wireshark
CVE-柠檬i1 天前
Yakit靶场-高级前端加解密与验签实战-全关卡通关教程
网络安全
轨迹H1 天前
kali设置中文输入法
linux·网络安全·渗透测试·kali
cr.sheeper1 天前
Vulnhub靶场Apache解析漏洞
网络安全·apache
Autumn.h2 天前
文件解析漏洞
web安全·网络安全·中间件