前不久研究websocket時發現port-swigger出了新的靶場,一看,發現是關于jwt安全的,剛好來總結回憶一下
JWT簡介
Json web token (JWT),是為了在網路應用環境間傳遞宣告而執行的一種基于JSON的開放標準(RFC 7519)
RFC 7519:https://datatracker.ietf.org/doc/html/rfc7519
他定義了一種緊湊且自包含的方式,用于在各方之間安全地傳輸資訊作為 JSON 物件,特別適用于分布式站點的單點登錄(SSO)場景
JWT與cookie/session的異同
● JWT與cookie/session一樣,都是作用于前后端認證
● cookie/session:后端有個session,前端有個cookie,這樣的基于session的認證會要求服務端不斷存盤用戶登錄資訊,而隨著不同客戶端用戶的增加,獨立的服務器會逐漸無法承載更多的用戶,導致其服務器的壓力十分巨大,且cookie一旦被竊取還可能造成CSRF攻擊
● JWT:當我們把前后端分離開來,后端不再有session,當不再需要保存session檔案,這就降低了服務端的負擔,而我們就可以利用JWT這么一個基于token的鑒權認證,而基于token認證機制的應用就不需要去考慮用戶在哪個服務器登錄,客戶端也可以將通過服務器認證后的json物件存盤起來,下次訪問時連同請求內容一同發送即可
JWT格式
JWT由Header、Payload、Signature組成
Header.Payload.Signature
Header
{"alg":"加密演算法","typ":"JWT"}
Payload
iss: The issuer of the token sub: The subject of the token aud: The audience of the token exp: JWT expiration time defined in Unix time nbf: "Not before" time that identifies the time before which the JWT must not be accepted for processing iat: "Issued at" time, in Unix time, at which the token was issued jti: JWT ID claim provides a unique identifier for the JWT //可以自定義其它欄位
Signature
Signature = HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload),"secret")
secret保存在后端,就是來決議確定驗證的key
JWT&JWS&JWE
● JWS,即JSON Web Signature,只是 JWT 的一種實作
● JWE,即JSON Web Encryption,也只是 JWT 的一種實作
潛在漏洞
● 簽名未校驗
● 演算法被篡改
● 敏感資訊泄露
● 加密演算法不安全
● 偽造密鑰(CVE-2018-0114)
【----幫助網安學習,以下所有學習資料免費領!加vx:yj009991,備注 “博客園” 獲取!】
① 網安學習成長路徑思維導圖
② 60+網安經典常用工具包
③ 100+SRC漏洞分析報告
④ 150+網安攻防實戰技術電子書
⑤ 最權威CISSP 認證考試指南+題庫
⑥ 超1800頁CTF實戰技巧手冊
⑦ 最新網安大廠面試題合集(含答案)
⑧ APP客戶端安全檢測指南(安卓+IOS)
JWT安全問題
未對簽名進行驗證
我們前面說過,JWT存在一個Signature 簽名,如若沒對簽名進行認證,就可能存在越權情況
靶場
Lab: JWT authentication bypass via unverified signature
解法
To solve the lab, modify your session token to gain access to the admin panel at /admin, then delete the user carlos.
我們需要把carlos刪掉,而這就需要登錄管理員賬號,但是又沒有給管理員的賬號,只有一個普通用戶,那我們就要想辦法提升權限
先抓包
觀察確定為JWT,將payload處字符base64解碼得
把sub的wiener修改為administrator,重新傳參
成功越權,然后就是洗掉用戶即可
未對加密演算法進行強驗證
回顧一下Header的構成
{"alg":"加密演算法","typ":"JWT"}
這里alg可以說明加密演算法,但如果對該設定不進行強認證也會造成越權問題
我們可以把加密演算法設成none來進行驗證繞過
靶場
Lab: JWT authentication bypass via flawed signature verification
解法
先和上題一致,將sub內容修改為administrator,然后發現還是沒能成為管理員,接著修改header的alg為none,把后續的Signature洗掉,因為Signature是通過alg演算法生成的,既然alg都為none了,那Signature也應該為空了
成功變成管理員
然后就是正常洗掉用戶就行
繞過弱簽名密鑰進行越權
Signature = HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload),"secret")
我們知道,簽名存在一個secret密鑰,這個一般都會保存在后端,別人無法查看,但是類同于弱口令,一旦這個密鑰不復雜就有可能被爆破,gayhub上也有很多爆破的字典
靶場
Lab: JWT authentication bypass via weak signing key
解法
還是一樣先抓包得到JWT
然后用到hashcat來進行爆破,kali自帶
hashcat -a 0 -m 16500 <YOUR-JWT> /path/to/jwt.secrets.list
爆破得到secret為secret1
然后前往jwt.io生成我們需要的的jwt,把sub和secret進行修改
重新傳包,成功
JWT標頭注入
與很多注入一樣,JWT標頭注入也可大致分為兩種情況,一是與資料庫連接,搭配sql注入使用,一是不與資料庫連接,單獨進行越權操作
通過jwk引數注入自簽名的JWT
還記得我們說過的JWS嗎
JWS,即JSON Web Signature,只是 JWT 的一種實作
我們就可以通過JWK注入JWT,形成JWS
那什么是JWK呢
JWK 英文全稱為 JSON Web Key,是一個JSON物件,表示一個加密的密鑰,他不同于alg屬性,JWK是可選的,以下就是一個示例
{
"kid": "ed2Nf8sb-sD6ng0-scs5390g-fFD8sfxG",
"typ": "JWT",
"alg": "RS256",
"jwk": {
"kty": "RSA",
"e": "AQAB",
"kid": "ed2Nf8sb-sD6ng0-scs5390g-fFD8sfxG",
"n": "yy1wpYmffgXBxhAUJzHHocCuJolwDqql75ZWuCQ_cb33K2vh9m"
}
}
在理想情況下,服務器應該是只使用公鑰白名單來驗證JWT簽名的,但對于一些相關配置錯誤的服務器會用JWK引數中嵌入的任何密鑰進行驗證,攻擊者就可以利用這一行為,用自己的RSA私鑰對修改過的JWT進行簽名,然后在JWK頭部中嵌入對應的公鑰進行越權操作
靶場
Lab: JWT authentication bypass via jwk header injection
解法
需要先安裝一個插件,方便后續的操作
然后正常抓包,將sub內容修改為administrator
然后切換到JWT Editor Keys選項new一個RSA Key
我是已經生成的了,然后保存后回到Repeater選擇Embedded JWK攻擊
成功越權
JWT Editor
通過jku引數注入自簽名的JWT
有些服務器并不會直接使用JWK頭部引數來嵌入公鑰,而是使用JKU(JWK Set URL)來參考一個包含了密鑰的JWK Set,我們就可以借此來構造一個密鑰從而實作越權操作
靶場
Lab: JWT authentication bypass via jku header injection
解法
先還是正常抓包修改sub內容,然后去到JWT Editor Keys生成一個RSA密鑰,或者用上一道題目的也行,然后復制公鑰
然后加上key頭
{ "keys": [ ] }
保存到exploit的body中
然后將kid修改成自己生成的JWK中的kid值,將jku的值改為exploit,使其匯入
然后回到點擊下面的sign,選擇Don’t modify header 模式,Sign 即可
成功越權
通過kid引數注入自簽名的JWT
服務器可能會使用多個加密密鑰來為不同型別的資料進行簽名,出于這個原因,在JWT頭部有時會包含一個kid引數,以避免服務器驗證簽名時出現錯誤,而在JWT規范中并沒有對這個kid定義具體的結構,他僅僅是開發人員任意選擇的一個字串,可能只是一個指向資料庫中的一個特定條目,甚至只是一個檔案的名稱也有可能
而安全問題就出現在這里,一旦這個引數受到目錄遍歷影響,就易被攻擊者使用服務器任意檔案的檔案名作為驗證密鑰形成攻擊鏈
靶場
Lab: JWT authentication bypass via kid header path traversal
解法
先生成一個Symmetric Key,也就是對稱密鑰,并將 k 的值修改為 AA==即為null
然后抓包修改kid值和sub進行目錄遍歷
/dev/null是linux中的“黑洞”,代表空設備檔案
/dev/null檔案名與AA==一致都為null,對稱密鑰,應該可以成功繞過
然后回到repeater點擊sign選擇OCT8 的密鑰攻擊
成功越權
其他有趣的JWT頭部引數
● cty(內容型別)如果已經找到了繞過簽名驗證的方法,可以嘗試注入cty引數,將內容型別改為text/xml或application/x-java-serialized-object,這有可能為XXE和反序列化攻擊提供新的向量,
● x5c(X.509證書鏈)類似于上面討論的jwk頭部注入攻擊,由于此標頭引數可用于注入自簽名證書,且由于 X.509 格式及其擴展的復雜性,引入這些證書時也有可能引入漏洞,可見CVE-2017-2800 和 CVE-2018-2633
JWT演算法混淆
● 即使服務器的密碼是攻擊者無法破解的復雜密碼,但是由于JWT庫的一些原生安全問題,攻擊者可能會以開發者想不到的演算法來偽造有效的JWT
● portswigges里也有相關靶場,目前尚未完全理解,先挖個坑,后續補上
JWT攻擊的防御
我們可以看到,JWT攻擊千奇百怪,但是萬變不離其宗,主要的潛在漏洞為
● 簽名未校驗
● 演算法被篡改
● 敏感資訊泄露
● 加密演算法不安全
● 偽造密鑰
我們也可圍繞這些進行JWT攻擊進行防御
● 使用最新的 JWT 庫,雖然最新版本的穩定性有待商榷,但是安全性都是較高的
● 對 jku 標頭進行嚴格的白名單設定
● 確保 kid 標頭不容易受到通過 header 引數進行目錄遍歷或 SQL 注入的攻擊
● 始終為頒發的任何令牌設定一個到期日
● 盡可能避免通過URL引數發送令牌
● 提供aud宣告(或類似內容),以指定令牌的預期接收者,防止其應用在不同網站
● 讓頒發服務器能夠撤銷令牌
更多靶場實驗練習、網安學習資料,請點擊這里>>搜索
復制
合天智匯:合天網路靶場、網安實戰虛擬環境轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/501337.html
標籤:其他
