JWT 相关
JWT 的解密可以在此处完成,同时 JWT 由三部分组成:Header,Payload以及Secret,前两部分由base64编码,并且三个部分用 . 进行拼接
web345
知识点
做题
从 Cookie 中可获得 JWT 的数据,并放入
jwt.io 中
由 alg:None ,我们可以知道该jwt无签名算法,我们可以任意修改数据。
但是这里编码后的jwt不知道为什么少了个.,在下一题缺少这个.又无法正常提交
右键查看源代码,发现有一个访问 /admin 的提示,但注意这里不应该访问 /admin而应该访问 /admin/ ,否则将会错误地跳转到 80 端口的页面导致404。
但是此题无法依照wp做出来,先跳过。。。
将捕获后的auth发送至Decoder,解码后修改sub字段为admin再编码,编码后的内容去除等于号再发送至Repeater覆盖进行访问获得flag。
参考资料
web346
知识点
做题
将cookie中的jwt交由burpsuite解码,可以看见由三部分组成,分别为 Header.Content.Key
在此题中我们显然是没有办法直接拿到它的密钥的,但是在测试时,为了方便可以将加密方式设置为none,这样密钥设置为任何值都是可以,包括空值。
我们可以使用burpsuite来直接修改,将后面的key部分直接去除,然后再将中间段的sub将user改为admin即可
(测试了一下,发现上面这种方法并不可用)
我们还可以利用 Python 中的 pyjwt 库(使用 pip install pyjwt 来安装)来编码一段jwt串
从jwt中提取得到关键数据 Header {"alg":"HS256","typ":"JWT"},Content {"iss":"admin","iat":1630149052,"exp":1630156252,"nbf":1630149052,"sub":"admin","jti":"aeb0d5d3cb6eb7783cfb000aa990034f"} 并用pycharm进行编码。
编码后输出 eyJ0eXAiOiJKV1QiLCJhbGciOiJub25lIn0.eyJpc3MiOiJhZG1pbiIsImlhdCI6MTYzMDE0OTA1MiwiZXhwIjoxNjMwMTU2MjUyLCJuYmYiOjE2MzAxNDkwNTIsInN1YiI6ImFkbWluIiwianRpIjoiYWViMGQ1ZDNjYjZlYjc3ODNjZmIwMDBhYTk5MDAzNGYifQ.
参考资料
[CTFSHOW]JWT_Y4tacker的博客-CSDN博客_ctf jwt
有些师傅向我咨询WP,索性就发了吧,其实早就写好了,只是懒,在github仓库里囤着,有人说我写错了,这样吧群主改题也不是我能控制的,我能做的就是简简单单分享,也不想重做这些题仅参考 可以看看我的Github总结给自己看的, Y4tacker 首先打开题目,查看源码,接下来访问/admin被跳转回主页啥也没有发生 where is flag? 当然知道这个板块是JWT,自然而然我们看一眼Cookie,发现名为auth的一个cookie为 eyJhbGciOiJOb25lIiwidHlwIjoiand0In0.W3sic3ViIjoidXNlciJ9XQ 通过base64解密或者去jwt.io解码也行,得到结果 {"alg":"None","typ":"jwt"}[{"sub":"user"}] 所以我们尝试把sub对应的键值修改 {"alg":"None","typ":"jwt"}[{"sub":"admin"}] 把前面部分和后面部分分别base64-encode eyJhbGciOiJOb25lIiwidHlwIjoiand0In0 后面 W3sic3ViIjoiYWRtaW4ifV0= 把这两部分用点(.)拼接两部分并去掉等于号 eyJhbGciOiJOb25lIiwidHlwIjoiand0In0.W3sic3ViIjoiYWRtaW4ifV0 此时拿着这一串cookie去替换掉原来的值,之后访问/admin 即可获取flag JWT支持将算法设定为"None"。如果"alg"字段设为" None",那么签名会被置空,这样任何token都是有效的。 设定该功能的最初目的是为了方便调试。但是,若不在生产环境中关闭该功能,攻击者可以通过将alg字段设置为"None"来伪造他们想要的任何token,接着便可以使用伪造的token冒充任意用户登陆网站。 首先拿到cookie eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJhZG1pbiIsImlhdCI6MTYwOTIzNjg3MCwiZXhwIjoxNjA5MjQ0MDcwLCJuYmYiOjE2MDkyMzY4NzAsInN1YiI6InVzZXIiLCJqdGkiOiI5NDNkMGIzMjM3ODA2NjU5ZDJlMjA1ZTQyYjMxOTQ5NCJ9.9TUQLyYKs97ceFhZQ4BzkAuug6nCgLoMAbLH88kSOwo 解码 { "alg": "HS256", "typ": "JWT" } { "iss": "admin", "iat": 1609236870, "exp": 1609244070, "nbf": 1609236870, "sub": "user", "jti": "943d0b3237806659d2e205e42b319494" } 我们需要把sub字段改为admin 但是如果把签名算法改为none的化jwt.io那个网站就无法生成,这个时候可以使用python生成 将生成的字符串来替换原有的cookie获得flag 看见题干说是弱口令,去jwt.io解码 解码前 eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJhZG1pbiIsImlhdCI6MTYwOTIzNzM2NiwiZXhwIjoxNjA5MjQ0NTY2LCJuYmYiOjE2MDkyMzczNjYsInN1YiI6InVzZXIiLCJqdGkiOiI3NzgzMjYzZDIxODVlYzhlYTBhYjY2MjZmMTk5MWRiOCJ9.aX8kzpC_p6HCUW60UdLVqjkDN97zmP0Ce6yETdaiv80 解码后发现还是HS256对称加密 { "alg": "HS256", "typ": "JWT" } { "iss": "admin", "iat": 1609237366, "exp": 1609244566, "nbf": 1609237366, "sub": "user", "jti": "7783263d2185ec8ea0ab6626f1991db8" } 既然题目说是弱口令我们尝试使用最简单的弱口令123456,成功,接下来我们只需要拿着这个密钥去生成jwt即可 密钥爆破工具: 看见题干说是爆破,猜都猜出来密钥了其实 ./jwtcrack eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJhZG1pbiIsImlhdCI6MTYwOTIzNzc0OSwiZXhwIjoxNjA5MjQ0OTQ5LCJuYmYiOjE2MDkyMzc3NDksInN1YiI6InVzZXIiLCJqdGkiOiI0ZDJlZWMwNDRiM2MxNTRjNmRjYmM5NzUzMmE3MmU3OCJ9.D0-CXOY9O1SvOvYqwYkUZ-ruOMbOMPh3dzOKiOamt2s Secret is "aaab" 得到密钥aaab,拿去生成即可 首先看代码,发现公私钥都放在了public文件夹下面,nodejs中可以直接访问此文件 /* GET home page.
https://blog.csdn.net/solitudi/article/details/112525267
![[CTFSHOW]JWT_Y4tacker的博客-CSDN博客_ctf jwt](https://img-blog.csdnimg.cn/20190927151101105.png?x-oss-process=image/resize,m_fixed,h_224,w_224&t=1b169839-18f7-40ba-bf8b-175b37bb521c)
web347
知识点
- Python strip 移除开头或结尾的字符,默认是空格或换行符
做题
根据参考资料1,可通过报错来判定key是否有效
通过 Python 脚本 + 常用密码破解
1.若签名直接校验失败,则 key_ 为有效密钥;
2.若因数据部分预定义字段错误
(jwt.exceptions.ExpiredSignatureError,
jwt.exceptions.InvalidAudienceError,
jwt.exceptions.InvalidIssuedAtError,
jwt.exceptions.InvalidIssuedAtError,
jwt.exceptions.ImmatureSignatureError)导致校验失败,说明并非密钥错误导致,则 key_ 也为有效密钥;
3.若因密钥错误(jwt.exceptions.InvalidSignatureError)导致校验失败,则 key_ 为无效密钥;
4.若为其他原因(如,JWT 字符串格式错误)导致校验失败,根本无法验证当前 key_ 是否有效。
作者:littlebin404
链接:
https://www.jianshu.com/p/acbb936e87df
来源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
考虑到一般人可能会使用自己的各种密码进行设置,可以用 web21 提供的字典进行测试。
我们可以通过下列代码进行破解
通过 jwt-cracker 进行破解
使用 BlackArch 或者 Kali 之类的,可以使用 jwt-cracker 进行全自动破解,但是速度较慢,命令为 jwt-cracker [jwt-token]
最后run出来密钥为 123456,可使用 web346 的代码重新合成一个 jwt
参考资料
其他资料
web348
知识点
做题
使用 jwt-cracker 破解可得密码为 aaab
获得 token eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJhZG1pbiIsImlhdCI6MTYzMDE2MDU2OSwiZXhwIjoxNjMwMTY3NzY5LCJuYmYiOjE2MzAxNjA1NjksInN1YiI6ImFkbWluIiwianRpIjoiN2E2MmVkNzQxNDFmYmE5OGY0MDVjYTNmZTIzZWJiOTEifQ.Ry2pggYXHznUje2KnM2In8Tku3RwuftuKIY3t4X3Hns
web349
知识点
- node.js 中 Express 可通过 public 文件夹映射静态文件,从而下载
题目代码
做题
由题,我们可以得知其密钥存放于 /public/private.key,下载获得,并且编写 node.js 代码,注意需要提前安装好 jsonwebtoken 的 npm 包
得到 token eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyIjoiYWRtaW4iLCJpYXQiOjE2MzAxNjIwOTd9.npKuv9ByHR6GG5v6vVtpMcjBnfKvWKk2QpklGZEcdTvla_qNFxC6N8mjRTBE5pTUDtGLCthrUWI860hL0GfE6Yyj3hMhOvwP53KqXeGbcG4rwl3kslQ-q92TeeVoLgQW83-M855bEE5_dS_YQsVhJfqdaBKoh-j9gE2fX_bnqDI
同时,题目要求验证的时候使用 POST,丢到 burpsuite 里面一把梭
web350
做题
这题是一个白盒分析题,可以通过参数 env=development 来使其报出错误。由于压缩包里没有 private.key ,因此想要暴力破解密钥是不太可能的。同时,cookie中的auth参数提交到 index.js 后经由 jwt.verify 验证,如果 decoded 为undefined则校验失败。但经过测试,发现连它生成的jwt我直接post都没法进行到下一步,所以我决定看wp
通过将算法调整为HMAC变体(HS256/HS384/HS512)并使用公共可用公钥对其进行签名,我们可以欺骗服务使用机密变量中的硬编码公钥验证HMAC令牌。
原来 JWT 在没有强制使用 RS256 的时候,还可以使用 public.key 与 HS256 来假装让它进行对称加密,真是tql。此处的public.key可以直接在网站上下载,直接输入 /public.key
这样下来,解题就很简单了,我们用公钥签名,然后直接把jwt交上去试试
按照代码,我们这里还需要使用 POST 方式来进行请求
参考资料
[CTFSHOW]JWT_Y4tacker的博客-CSDN博客_ctf jwt
有些师傅向我咨询WP,索性就发了吧,其实早就写好了,只是懒,在github仓库里囤着,有人说我写错了,这样吧群主改题也不是我能控制的,我能做的就是简简单单分享,也不想重做这些题仅参考 可以看看我的Github总结给自己看的, Y4tacker 首先打开题目,查看源码,接下来访问/admin被跳转回主页啥也没有发生 where is flag? 当然知道这个板块是JWT,自然而然我们看一眼Cookie,发现名为auth的一个cookie为 eyJhbGciOiJOb25lIiwidHlwIjoiand0In0.W3sic3ViIjoidXNlciJ9XQ 通过base64解密或者去jwt.io解码也行,得到结果 {"alg":"None","typ":"jwt"}[{"sub":"user"}] 所以我们尝试把sub对应的键值修改 {"alg":"None","typ":"jwt"}[{"sub":"admin"}] 把前面部分和后面部分分别base64-encode eyJhbGciOiJOb25lIiwidHlwIjoiand0In0 后面 W3sic3ViIjoiYWRtaW4ifV0= 把这两部分用点(.)拼接两部分并去掉等于号 eyJhbGciOiJOb25lIiwidHlwIjoiand0In0.W3sic3ViIjoiYWRtaW4ifV0 此时拿着这一串cookie去替换掉原来的值,之后访问/admin 即可获取flag JWT支持将算法设定为"None"。如果"alg"字段设为" None",那么签名会被置空,这样任何token都是有效的。 设定该功能的最初目的是为了方便调试。但是,若不在生产环境中关闭该功能,攻击者可以通过将alg字段设置为"None"来伪造他们想要的任何token,接着便可以使用伪造的token冒充任意用户登陆网站。 首先拿到cookie eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJhZG1pbiIsImlhdCI6MTYwOTIzNjg3MCwiZXhwIjoxNjA5MjQ0MDcwLCJuYmYiOjE2MDkyMzY4NzAsInN1YiI6InVzZXIiLCJqdGkiOiI5NDNkMGIzMjM3ODA2NjU5ZDJlMjA1ZTQyYjMxOTQ5NCJ9.9TUQLyYKs97ceFhZQ4BzkAuug6nCgLoMAbLH88kSOwo 解码 { "alg": "HS256", "typ": "JWT" } { "iss": "admin", "iat": 1609236870, "exp": 1609244070, "nbf": 1609236870, "sub": "user", "jti": "943d0b3237806659d2e205e42b319494" } 我们需要把sub字段改为admin 但是如果把签名算法改为none的化jwt.io那个网站就无法生成,这个时候可以使用python生成 将生成的字符串来替换原有的cookie获得flag 看见题干说是弱口令,去jwt.io解码 解码前 eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJhZG1pbiIsImlhdCI6MTYwOTIzNzM2NiwiZXhwIjoxNjA5MjQ0NTY2LCJuYmYiOjE2MDkyMzczNjYsInN1YiI6InVzZXIiLCJqdGkiOiI3NzgzMjYzZDIxODVlYzhlYTBhYjY2MjZmMTk5MWRiOCJ9.aX8kzpC_p6HCUW60UdLVqjkDN97zmP0Ce6yETdaiv80 解码后发现还是HS256对称加密 { "alg": "HS256", "typ": "JWT" } { "iss": "admin", "iat": 1609237366, "exp": 1609244566, "nbf": 1609237366, "sub": "user", "jti": "7783263d2185ec8ea0ab6626f1991db8" } 既然题目说是弱口令我们尝试使用最简单的弱口令123456,成功,接下来我们只需要拿着这个密钥去生成jwt即可 密钥爆破工具: 看见题干说是爆破,猜都猜出来密钥了其实 ./jwtcrack eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJhZG1pbiIsImlhdCI6MTYwOTIzNzc0OSwiZXhwIjoxNjA5MjQ0OTQ5LCJuYmYiOjE2MDkyMzc3NDksInN1YiI6InVzZXIiLCJqdGkiOiI0ZDJlZWMwNDRiM2MxNTRjNmRjYmM5NzUzMmE3MmU3OCJ9.D0-CXOY9O1SvOvYqwYkUZ-ruOMbOMPh3dzOKiOamt2s Secret is "aaab" 得到密钥aaab,拿去生成即可 首先看代码,发现公私钥都放在了public文件夹下面,nodejs中可以直接访问此文件 /* GET home page.
https://blog.csdn.net/solitudi/article/details/112525267
![[CTFSHOW]JWT_Y4tacker的博客-CSDN博客_ctf jwt](https://img-blog.csdnimg.cn/20190927151101105.png?x-oss-process=image/resize,m_fixed,h_224,w_224&t=5e45c708-6c75-4ce7-8110-9a2de3d37819)
