安全矩阵

 找回密码
 立即注册
搜索
查看: 2912|回复: 0

JWT攻击常用的两种算法

[复制链接]

145

主题

192

帖子

817

积分

高级会员

Rank: 4

积分
817
发表于 2022-3-30 21:13:55 | 显示全部楼层 |阅读模式
本帖最后由 littlebird 于 2022-3-30 21:15 编辑

什么是JWT

JWT全称JSON Web Token,是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为 JSON 对象在各方之间安全地传输信息。JWT通过将用户信息封装成token的方式进行身份验证。
JWT的组成

一个JWT实际上就是一个字符串,它由三部分组成,头部载荷签名
JWT 这种结构化体可以分为HEADER(头部)、PAYLOAD(数据体)和 SIGNATURE(签名)三部分。经过签名之后的 JWT 的整体结构,是被句点符号分割的三段内容,结构为 header.payload.signature。详情请见https://jwt.io/introduction
例如:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
https://jwt.io/网站中解密得到

HEADER:该部分其实也是一个 JSON 对象,表示装载令牌类型和算法等信息,是 JWT 的头部。其中,typ 表示第二部分 PAYLOAD 是 JWT 类型,alg 表示使用 HS256 对称签名的算法。
PAYLOAD:数据体主要是我们的结构化数据,这组数据基本上都是我们自定义的信息。但是有几个关键点大家需要注意一下:exp(令牌的过期时间戳)、iat(令牌颁发的时间戳)
而基本的payload的部分由如下部分组成:
iss: 该JWT的签发者
sub: 该JWT所面向的用户
aud: 接收该JWT的一方
exp(expires): 什么时候过期,这里是一个Unix时间戳
iat(issued at): 在什么时候签发的
SIGNATURE:表示对 JWT 信息的签名。其实就是对HEADER与PAYLOAD进行一次加密处理,主要是验证整个JWT内容有没有被篡改。首先,需要指定一个密钥(secret)。这个密钥只有服务器才知道,不能泄露给用户。然后,使用 Header 里面指定的签名算法(默认是 HMAC SHA256),按照下面的公式产生签名。
这几个部分当然不是直接写在token中,那样太明显了,而是由base64加密成字符串,JWT 作为一个令牌(token),有些场合可能会放到 URL(比如 api.example.com/?token=xxx)。Base64 有三个字符+、/和=,在 URL 里面有特殊含义,所以要被替换掉:=被省略、+替换成-,/替换成_ 。这就是 Base64URL 算法。
JWT攻击实施

从之前的JWT分析过程中我们发现我们可以伪造任意用户获得无限的访问权限,而且还可能进一步发现更多的安全漏洞,如信息泄露,越权访问,SQLi,XSS,SSRF,RCE,LFI等。
但是我们要利用这个漏洞首先就要知道这个是否是利用了JWT进行身份验证
验证是否使用JWT

首先我们需要识别应用程序正在使用JWT,最简单的方法是在代理工具的历史记录中搜索JWT正则表达式:
[= ]ey[A-Za-z0-9_-]*\.[A-Za-z0-9._-]*-稳定的JWT版本[= ]ey[A-Za-z0-9_\/+-]*\.[A-Za-z0-9._\/+-]*-所有JWT版本(可能误报)确保同时“区分大小写”和匹配“正则表达式”
这里是使用常用的burpsuit来进行演示的


JWT漏洞利用

当我们获得一个基于JWT的token时,我们可以利用什么呢?(攻击方式)
被泄露的敏感信息由于Header和Payload部分是使用可逆base64方法编码的,因此任何能够看到令牌的人都可以读取数据。可以通过base64decode分别将每个部分解码就可以去阅读token内的数据。

防御措施:由于其中明文传递的username和password都是可以看到的(因此,Token不能随意公布,发送的数据不得包含任何敏感数据(例如密码))

将算法修改为none算法是指将Header部分的alg(全称algorithm),也就是alg字段被设置为空,那么SIGNATURE的签名部分将被置空,这样的话任何token都将是有效的

设定该功能的最初目的是为了方便调试。但是,若不在生产环境中关闭该功能,攻击者可以通过将alg字段设置为“None”来伪造他们想要的任何token,接着便可以使用伪造的token冒充任意用户登陆网站。
例如:
eyJhbGciOiJub25lIiwidHlwIjoiSldUIn0.eyJ1c2VyIjoiYWRtaW4iLCJhY3Rpb24iOiJ1cGxvYWQifQ.
这就是将alg设置为none的结果,解构后的JWT为:
{"typ":"JWT","alg":"none"}.
{"user":"admin","action":"upload"}.
[No signature!]

那么如果返回页面为有效页面那么攻击成功,存在此种漏洞,反之不存在

防御措施:JWT配置应该指定所需的签名算法,不要指定”none”。(也就是必须是用此种算法得来的token才会被接受s)

密钥混淆攻击JWT最常用的两种算法是HMACRSA

HMAC(对称加密算法)用同一个密钥对token进行签名和认证。

而RSA(非对称加密算法)需要两个密钥,先用私钥加密生成JWT,然后使用其对应的公钥来解密验证。
如果将alg参数改成HS256,这样就将算法RS256修改为HS256,让服务器不使用对称加密,转而使用非对称加密算法
那么,后端代码会使用公钥作为秘密密钥,然后使用HS256算法验证签名。由于公钥有时可以被攻击者获取到,所以攻击者可以修改header中算法为HS256,然后使用RSA公钥对数据进行签名。
后端代码会使用RSA公钥+HS256算法进行签名验证。进而攻击者将达到目的。

防御措施:JWT配置应该只允许使用HMAC算法或公钥算法,决不能同时使用这两种算法。

无效签名攻击无效签名是指当用户端提交请求给应用程序,服务端可能没有对token签名进行校验,这样,攻击者便可以通过提供无效签名简单地绕过安全机制。

实际上,就和上面将算法置空很像,同样是签名无效了,导致攻击者只需要更换user参数就可以实现越权访问,可能是横向越权也可能是纵向越权

防御措施:严格审核JWT签名

暴力破解密钥或密钥泄露HMAC签名密钥(例如HS256 / HS384 / HS512)使用对称加密,这意味着对令牌进行签名的密钥也用于对其进行验证。由于签名验证是一个自包含的过程,因此可以测试令牌本身的有效密钥,而不必将其发送回应用程序进行验证。
我们可以利用github上的工具c-jwt-cracker来完成,但是局限性很大。
首先秘钥不能太复杂,其次还需要一段已知的签过名的token。
如果可以破解HMAC密钥,则可以伪造令牌中的任何内容,攻击者就可以随意的进行越权。
如果我们无法通过暴力破解,那么可以通过其他手段得到密钥也可以实现伪造令牌的任何内容,实现各种操作
修改KIDkid(key ID)是JWT的header部分的可选参数,作用是用来指定加密算法秘钥。
开发人员可以用它标识认证token的某一密钥
例如:
{"alg": "HS256","typ": "JWT","kid": "1"         //使用密钥1验证token//“kid”:”/home/jwt/1.pem”  //这个kid参数还可以是文件路径}由于kid参数是用户可控的,那么攻击者就可以用来构造攻击,比如服务器更新了密钥,但是旧的密钥并未删除且该密钥已经被攻击者所知,或者通过ftp等渠道上传了密钥,那么就会导致攻击者能够直接控制签名验证从而绕过签名
KID的其他攻击利用方式:
  • sql注入
KID也可以用于在数据库中检索密钥。在该情况下,攻击者很可能会利用SQL注入来绕过JWT安全机制。
通过对KID的修改,导致数据库信息泄露
例如:
“kid”:”1 ' UNION SELECT 'key';--”    //使用字符串"key"验证token
这个注入会导致应用程序返回字符串“ key”,因此我们得到了key字符串的值,服务器也将以key的值来验证token
举例:
【网鼎杯2020玄武组】js_on
通过提示,我们知道存在token注入,token分为三段,第一段为header,第二段为payload,第三段为签名,header可以不变,payload存在自定义字段
将payload的进行base64解码
{"user":"admin","news":"key: xRt*YMDqyCCxYxi9a@LgcGpnmM2X8i&6"}
这里的user字段实际就是注入点
写入payload:
{"user":"admin'/**/and/**/'1'='2'#","news":"key: xRt*YMDqyCCxYxi9a@LgcGpnmM2X8i&6"}
将其进行base64加密,之后通过jwt官方网站得到token
jwt官网:https://jwt.io/#debugger


  • RCE(任意命令执行)
有时候服务器会直接通过函数对KID文件进行调用,这时候我们可以通过这类函数执行系统命令,例如Ruby open()。攻击者只需在输入的KID文件名后面添加命令,即可执行系统命令
“kid”: "key_file" | whoami;
理论上,每当应用程序将未审查的头部文件参数传递给类似system(),exec()的函数时,都会产生此种漏洞。
操纵头部参数除KID外,JWT标准还能让开发人员通过URL指定密钥。
下面是可以用来进行密钥指定的头部参数:
JKUJKU全称JWKSet URL,它是头部的一个可选字段,用于指定链接到一组加密token密钥的URL。若允许使用该字段且不设置限定条件,攻击者就能托管自己的密钥文件,并指定应用程序,用它来认证token。
JWKJWK全称JSON Web Key,使得攻击者能将认证的密钥直接嵌入token中
X5U,X5C和JKU,JWK类似,攻击者可以通过对这种头部参数的控制决定验证Token的公钥证书或证书链。但是不同的是x5u以URI形式指定信息,而x5c允许将证书值嵌入token中。

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-27 22:38 , Processed in 0.015081 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表