前言:JWT 签名核心机制
JWT(JSON Web Token)由 Header.Payload.Signature 三部分组成,签名是保障令牌完整性与真实性的核心:
- 作用:防止客户端篡改令牌内容,确保令牌在传输与存储过程中未被恶意修改
- 常用算法
- 对称加密:
HMAC-SHA256(HS256) - 非对称加密:
RSASSA-PKCS1-v1_5、ECDSA、RSASSA-PSS
- 对称加密:
- 关键原则:令牌在交付客户端前必须签名,服务端接收后必须先验证签名再执行其他操作
Session 与 Token 的区别:
- Session:服务器存信息,给用户一个 '编号'(依赖服务器存储)
- Token:用户带信息,服务器只验真伪(不依赖服务器存储,更适合多服务器 / APP 场景)
攻击示例:
- 攻击者拿到自己的 JWT:
header.payload.signature - 解码 payload 看到:
{"user_id":123, "role":"user"}(普通用户) - 把
role改成"admin",重新编码 payload - 构造新 Token:
原 header.篡改后的 payload.随便填(甚至把 signature 删掉) - 服务器收到后,直接解析 payload 就用,没验证签名 → 攻击者变成管理员。
- 认证方式:
Authorization头携带 JWT 令牌,且令牌采用了alg: none无签名模式(从响应反馈可佐证)
靶场第六关:服务器没验证签名
'未签名 Token 提权',
靶场第六关是一个投票重置关卡,我们需要以一个普通用户的身份,行使管理员权限,造成水平越权。
先登录一个普通用户 Tom 进行投票重置,系统提示需要管理员权限。
使用 Yakit 抓包,显示 "feedback": "Only an admin user can reset the votes"。
因此只需要改变 Cookie 即可。打开 https://www.jwt.io/ 对 JSON WEB 解码并验证 JWT。
运用解码网站进行修改。
进行 base 编码 Cookie:access_token=ewogICJhbGciOiAibm9uZSIKfQ.ewogICJpYXQiOiAxNzU1MDczNDY5LAogICJhZG1pbiI6ICJ0cnVlIiwKICAidXNlciI6ICJUb20iCn0.; JSESSIONID=E414E813D2B635E7F35FD26AB0F1DF2C
