WebGoat-JWT最新版过关教程/帮你学习gwt逻辑越权漏洞原理（第六关和第十一关）

前言：可以下载一个灵境靶场，不需要复杂的安装环境，进入靶场看，

网址：https://github.com/414aaj/LingJing/releases/tag/0.4.7

1. JWT 签名核心机制

JWT（JSON Web Token）由 Header.Payload.Signature 三部分组成，签名是保障令牌完整性与真实性的核心：

• 作用：防止客户端篡改令牌内容，确保令牌在传输与存储过程中未被恶意修改
• 常用算法
  • 对称加密：HMAC-SHA256（HS256）
  • 非对称加密：RSASSA-PKCS1-v1_5、ECDSA、RSASSA-PSS
• 关键原则：令牌在交付客户端前必须签名，服务端接收后必须先验证签名再执行其他操作在完成搜索jwt密钥爆破脚本，尝试通关webgoat密钥伪造关卡，我们可以先试着了解一下，cookie，token，session通俗的说session，就是用户输入的账号号密码，在服务器，防止不明身份的用户执行违法的操作，但是用户的每一次操作不可能输入一次账号和密码于是有了token验证生成签名和时间戳等，确保身份的合法性Session：服务器存信息，给用户一个 “编号”（依赖服务器存储）Token：用户带信息，服务器只验真伪（不依赖服务器存储，更适合多服务器 / APP 场景）
• 比如：1.攻击者拿到自己的 JWT：header.payload.signature
  1. 解码 payload 看到：{"user_id":123, "role":"user"}（普通用户）
  2. 把 role 改成 "admin"，重新编码 payload
  3. 构造新 Token：原header.篡改后的payload.随便填（甚至把 signature 删掉）
  4. 服务器收到后，直接解析 payload 就用，没验证签名 → 攻击者变成管理员。
  5. 认证方式：Authorization 头携带 JWT 令牌，且令牌采用了 alg: none 无签名模式（从响应反馈可佐证）

靶场第六关：服务器没验证签名

“未签名 Token 提权”，

靶场第六关：翻译过后我们可以看出，这是一个可以投票重置的关卡，我们需要以一个普通用户的身份，行使管理员权限，造成水平越权

先登录一个普通的用户Tmo行使（重置投票），他会告诉我们：管理员的权限

打开用yakit抓包，看显示： "feedback": "Only an admin user can reset the votes",

所以我们只需要改变Cookie就可以了，打开：https://www.jwt.io/，这个网站可以对JSON WEB 解码并验证 JWT

运用解码网站，进行

进行base编码Cookie:access_token=ewogICJhbGciOiAibm9uZSIKfQ.ewogICJpYXQiOiAxNzU1MDczNDY5LAogICJhZG1pbiI6ICJ0cnVlIiwKICAidXNlciI6ICJUb20iCn0.; JSESSIONID=E414E813D2B635E7F35FD26AB0F1DF2C

使用Yakit：修改cookie后，Tom就有了管理员的权限，投票也被重置

靶场第十一关：时间戳与“none”

这关能简单，能用易理解，我们来尝试第13关，可以使用同样的方法

结账发现身份令牌无效，于是就想能不能让别人给我们付钱，我们只需要知道别人的身份令牌正好，这个网页的漏洞可以看到日志中有汤姆的身份令牌，那就尝试

抓包，修改

alg: none的解释

是 JSON Web Signature (JWS) 规范中定义的一种无签名算法，核心含义是：JWT（JSON Web Token）仅做 Base64 编码和结构化组织，不进行任何数字签名 / 验签，仅传递明文信息（Header + Payload），不保证数据的完整性、真实性和不可篡改。

时间戳

• iat (Issued At)：令牌签发时间，Unix 时间戳（秒）。
• exp (Expiration Time)：令牌过期时间，Unix 时间戳（秒）。通常服务器会拒绝当前时间晚于 exp 的令牌。
• 你看到的像 1701234567 这样的数字，代表的是从 1970-01-01 00:00:00 UTC 到指定时间经过的秒数。
• 优点：不受时区影响（统一为 UTC），便于计算机存储和比较大小。

我们在对继续对第11关进行解答