JWT(JSON Web Token)

从其名字就可以看出来，它具有表示身份的作用，其本质是将用户信息储存到一串json字符串中再将其编码得到一串token

JWT由三部分组成，分别是

Header，Payload，Signatrue

JWT=Base64(Header).Base64(Payload).加密函数(base64UrlEncode(header)+"."+base64UrlEncode(payload),secret)

例如： 

Header部分

{

"kid":"4ff7ccb9-58a2-47de-8f91-cfc7582ebe41",

"alg":"RS256"

}

 Payload部分

{

"iss":"portswigger",

"exp":1745253912,

"sub":"administrator"

}

Signature部分

#一大堆加密后的信息（签名）

u9e8ddhECxkGzuvGk9u78LcmBmLK4apCDh84l2BgYjauMcWkzSF2A9rqDEzqdBDiBMyHkUYeLiVF7Nu7km94PfMskQlIeVxuSF0MxI3a7I53mJ7woT3ypQm3Jw6VAOlqapLEC7VRa3Vfgv7H_dJpbFJkrHwE9KfW3TzdQeVAz-QKglJritq5WAPXP4oGAu5lSK8QUVECvUcnTYYzGS_TYYuOewbqgiq1w_dm5wn0M1LEYu1QM1fu7l8kOcDnkw7nMxeBM3iiZpAESvhd2myN_MCuIFFkC5OKghsWqIRehMKG3qR1X2YWnem04_ki6YMRA1jqEcvp5acH58rhGrDEyQ

1.JWT authentication bypass via unverified signature

本关要求我们进入管理员界面/admin并且删除用户carlos

我们访问admin，会发现提示只有administrator可以访问

那么我们登录wiener用户并且抓包，在放行了第一个包后第二个抓到的包就是我们所要的包

我们要去到管理员的/admin界面，就需要以管理员身份去访问

先登录到我们的账号wiener

这一步的目的是先让我们得到自己的cookie以查看jwt信息以让我们可以去分析其构成

再访问/admin界面，同时抓包

我们在burp里双击jwt的内容可以在inspector栏里看到对应的信息以及对应的解码结果，这里我们就查看payload信息，也就是第一个句点.后的内容，可以看到里面有个sub参数对应的值为wiener

我们将其修改为administrator后应用

再放行这个包会发现访问/admin成功，网站将我们认成了administrator

我们要删除carlos用户，执行删除操作也要以管理员的身份执行，具体方法和前面一样，抓包修改jwt信息为administrator

放行后成功过关

2.JWT authentication bypass via flawed signature verification

本关要求也和上一关一样要去/admin里删除carlos

但是本关还会校验jwt里的签名信息，所以单单修改用户名是没有用的，我们还是先登录wiener用户然后访问/admin再抓包

修改payload部分里的用户名为administrator

再修改header里的加密方式为none

修改为none后我们需要把jwt里的签名信息给删掉，但别把句点.也删了，不然jwt格式错误

随后放行，发现成功访问admin界面

删除carlos时也要重复前面一样的操作

放行后成功过关

3.JWT authentication bypass via weak signing key

本关要求也一样是删除carlos

同时将签名加密类型修改为none给过滤掉了，也就是不得不破解加密用的密钥了，并且本关也是提示弱签名，可以爆破

同样的步骤登录账号，访问/admin然后抓包，此时将jwt信息复制出来，使用hashcat工具破解

使用命令

hashcat -a 0 -m 16500 <jwt信息> <爆破字典>

得到密钥为secret1

于是前往json编辑网站JSON Web Tokens - jwt.io进行修改

将原有的jwt复制进去后修改decoded的内容，encoded的内容就是我们要的

将其替换原有的jwt

放行后成功绕过验证

再以一样的操作删除carlos用户

放行后成功过关

4.JWT authentication bypass via jwk header injection

本关也一样要求在/admin下删除carlos

并且本关也同样限制了none加密方式，同时加密很复杂很难爆破，那么根据本关题目提示，应该是通过修改jwt的header部分实现绕过，题目提示服务器支持jwk也就是JSON Web Key，它可以作为jwt里header的一部分，在这里用于数字签名身份验证

一下就是一串jwk结构（以RSA为例）

{"kty": "RSA",           // 密钥类型（RSA/EC/oct）"alg": "RS256",         // 算法（如 RS256、ES256、HS256）"kid": "2023-01",       // 密钥唯一标识（用于轮换）"n": "Modulus...",      // RSA 模数（Base64URL）"e": "AQAB",            // RSA 公钥指数（通常为 65537）"d": "PrivateExponent", // 私钥参数（仅私钥包含）"p": "Prime1",          // 私钥参数（仅私钥包含）"q": "Prime2",          // 私钥参数（仅私钥包含）"use": "sig",           // 用途（sig 签名/enc 加密）
}

如果服务器没有对用于验证的公钥做筛选（比如白名单），我们可以通过构造管理员的签名来欺骗服务器认为我们是administrator

一样我们先登录wiener，然后抓取前往/admin的包

我们这里要先安装一个burp插件叫做JWT editor

安装后我们抓的包会发现多了一栏选项叫做json web token也就是jwt

我们要构造jwk，就需要用到jwt editor来生成一个rsa密钥

进入jwt editor界面在右边选择new rsa key

选择类型为JWK，然后生成

随后我们要先修改我们的身份信息为administrator

然后在json web token栏内的攻击方式里选择Embedded JWK（嵌入式JWK）

注意要先修改身份信息在配置攻击方式，不然jwk验证出来会是修改之前的wiener

随后选择我们刚生成的rsa密钥，通过kid来选择

确认后可以看到我们的JWT信息已经被修改

随后放行，发现我们已经成功进入/admin了

然后删除carlos，也使用和前面一样的操作，密钥就不用重新生成了

注意要先修改身份信息再配置攻击模式

放行后成功过关