Jwt认识与攻击
今天看到2018强网杯的题目,因此总结一下。
Json Web Token
Json Web Token简称jwt
那么怎么样可以让HTTP记住曾经发生的事情呢?
这里的选择可以很多:cookie,session,jwt
对于一般的cookie,如果我们的加密措施不当,很容易造成信息泄露,甚至信息伪造,这肯定不是我们期望的。
那么对于session呢?
对于session:客户端在服务端登陆成功之后,服务端会生成一个sessionID,返回给客户端,客户端将sessionID保存到cookie中,例如phpsessid,再次发起请求的时候,携带cookie中的sessionID到服务端,服务端会缓存该session(会话),当客户端请求到来的时候,服务端就知道是哪个用户的请求,并将处理的结果返回给客户端,完成通信。
但是这样的机制会存在一些问题:
1、session保存在服务端,当客户访问量增加时,服务端就需要存储大量的session会话,对服务器有很大的考验;
2、当服务端为集群时,用户登陆其中一台服务器,会将session保存到该服务器的内存中,但是当用户的访问到其他服务器时,会无法访问,通常采用缓存一致性技术来保证可以共享,或者采用第三方缓存来保存session,不方便。
所以这个时候就需要jwt了
在身份验证中,当用户使用他们的凭证成功登录时,JSON Web Token将被返回并且必须保存在本地(通常在本地存储中,但也可以使用Cookie),而不是在传统方法中创建会话服务器并返回一个cookie。
JWT一般包括三部分:header,payload,Signature
一般jwt模样,以.号分为三部分。我们用https://jwt.io/来解密下看看
eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyYW1lIjoiYWRtaW5za3kiLCJwcml2Ijoib3RoZXIifQ.AoTc1q2NAErgqk6EeTK4MGH7cANVVF9XTy0wLv8HpgUfNcdM-etmv0Y9XmOuygF_ymV1rF6XQZzLrtkFqdMdP0NaZnTOYH35Yevaudx9bVpu9JHG4qeXo-0TXBcpaPmBaM0V0GxyZRNIS2KwRkNaxAQDQnyTN-Yi3w8OVpJYBiI
Header
通常由两部分组成:令牌的类型,即JWT和正在使用的散列算法,如HMAC SHA256或RSA。
{ "alg":"RS256", "typ":"JWT" }
alg为算法的缩写,typ为类型的缩写
然后,这个JSON被Base64编码,形成JSON Web Token的第一部分。
Payload
令牌的第二部分是包含声明的有效负载。声明是关于实体(通常是用户)和其他元数据的声明。
这里是用户随意定义的数据
例如上面的举例
{ "name":"adminsky", "priv":"other" }
然后将有效载荷Base64进行编码以形成JSON Web Token的第二部分。
但是需要注意对于已签名的令牌,此信息尽管受到篡改保护,但任何人都可以阅读。除非加密,否则不要将秘密信息放在JWT的有效内容或标题元素中。
Signature
要创建签名部分,必须采用header,payload,密钥
然后利用header中指定算法进行签名
例如HS256(HMAC SHA256),签名的构成为
HMACSHA256( base64Encode(header) + "." + base64Encode(payload), secret)
然后将这部分base64编码形成JSON Web Token第三部分
这里采用的是私钥签名,公钥验证的方法。
这里讲解三种常见攻击方式
修改算法RS256为HS256(非对称密码算法 => 对称密码算法)
算法HS256使用秘密密钥对每条消息进行签名和验证。
算法RS256使用私钥对消息进行签名,并使用公钥进行验证。
如果将算法从RS256更改为HS256,后端代码会使用公钥作为秘密密钥,然后使用HS256算法验证签名。
由于公钥有时可以被攻击者获取到,所以攻击者可以修改header中算法为HS256,然后使用RSA公钥对数据进行签名。
后端代码会使用RSA公钥+HS256算法进行签名验证。
同样的,可以通过一个例子来理解这种攻击方式 http://demo.sjoerdlangkemper.nl/jwtdemo/hs256.php
RSA公钥:http://demo.sjoerdlangkemper.nl/jwtdemo/public.pem
该例子解法如下
import jwt # eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiJ9 # {"typ":"JWT","alg":"RS256"} # eyJpc3MiOiJodHRwOlwvXC9kZW1vLnNqb2VyZGxhbmdrZW1wZXIubmxcLyIsImlhdCI6MTUwNDAwNzg3NCwiZXhwIjoxNTA0MDA3OTk0LCJkYXRhIjp7ImhlbGxvIjoid29ybGQifX0 # {"iss":"http:\/\/demo.sjoerdlangkemper.nl\/","iat":1504007874,"exp":1504007994,"data":{"hello":"world"}} public = open('public.pem.1', 'r').read() print public print jwt.encode({"data":"test"}, key=public, algorithm='HS256') //修改payload中的明文信息
然后生成的jwt串中,就伪造了payload信息,并且服务器端验证也会以RSA的公钥来验证HS256算法,因此伪造伪造成功
在iscc2019中,有相同题目。附上我自己的安装过程:python3 pip3 install PyJWT==1.6.0
import jwt import base64 public = "-----BEGIN PUBLIC KEY-----\nMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDMRTzM9ujkHmh42aXG0aHZk/PK\nomh6laVF+c3+D+klIjXglj7+/wxnztnhyOZpYxdtk7FfpHa3Xh4Pkpd5VivwOu1h\nKk3XQYZeMHov4kW0yuS+5RpFV1Q2gm/NWGY52EaQmpCNFQbGNigZhu95R2OoMtuc\nIC+LX+9V/mpyKe9R3wIDAQAB\n-----END PUBLIC KEY-----" print(jwt.encode({"name": "yunying666","priv": "admin"}, key=public, algorithm='HS256').decode())
生成的jwt,就可以伪造yunying666用户为admin,从而以管理员登陆
HS256(对称加密)密钥暴力破解
因为HS256只有一个密钥,解密加密都是同一个密钥,因此破解比较容易。
附上现成的破解工具链接https://github.com/brendan-rius/c-jwt-cracker
修改算法为none
签名算法保证了JWT在传输的过程中不被恶意用户修改
但是header中的alg字段可被修改为none
一些JWT库支持none算法,即没有签名算法,当alg为none时后端不会进行签名校验
将alg修改为none后,去掉JWT中的signature数据(仅剩header + '.' + payload + '.')然后提交到服务端即可
这种攻击的例子可以参考:http://demo.sjoerdlangkemper.nl/jwtdemo/hs256.php
代码可以在Github上找到 https://github.com/Sjord/jwtdemo/
这个例子的解法如下
import jwt import base64 # 原header # eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9 # {"typ":"JWT","alg":"HS256"} # 原payload eyJpc3MiOiJodHRwOlwvXC9kZW1vLnNqb2VyZGxhbmdrZW1wZXIubmxcLyIsImlhdCI6MTUwNDAwNjQzNSwiZXhwIjoxNTA0MDA2NTU1LCJkYXRhIjp7ImhlbGxvIjoid29ybGQifX0 # {"iss":"http:\/\/demo.sjoerdlangkemper.nl\/","iat":1504006435,"exp":1504006555,"data":{"hello":"world"}} def b64urlencode(data): return base64.b64encode(data).replace('+', '-').replace('/', '_').replace('=', '') # 构造算法字段为none, payload部分可以随意修改 print b64urlencode("{\"typ\":\"JWT\",\"alg\":\"none\"}") + \ '.' + b64urlencode("{\"data\":\"test\"}") + '.'
信息泄露
源于HITBCTF2017 中的一道jwt题目
jwt的header部分为
{"kid":"keys/3c3c2ea1c3f113f649dc9389dd71b851","typ":"JWT","alg":"RS256"}
kid指定了公钥的地址,kid字段(key ID),它指定了服务器用哪一个key来加密。
其实签名和验证都是在服务器端上进行的,如果是RSA,在服务器端用私钥签名,发到客户端,如果客户端修改了payload中的明文,在请求到服务端,服务端接收到,用公钥解密签名,发现明文不同,就会拒绝。
这道题的思路就是,kid用来指定服务器用哪个公钥验证签名。
所以只要伪造一对公钥私钥,修改payload,重新签名后发过去,服务器指定了你防止公钥的地方,取出公钥并且验证。解密签名后,发现都相同,从而通过,返回admin的信息
信息泄露:https://chybeta.github.io/2017/08/29/HITB-CTF-2017-Pasty-writeup/
RSA=>HS256:https://skysec.top/2018/05/19/2018CUMTCTF-Final-Web/#Pastebin
学习资料:
https://www.cnblogs.com/dliv3/p/7450057.html
https://blog.csdn.net/qq_43500877/article/details/90273139