玩转JSON Web Token:乐趣与收益并存
大家好,希望各位一切安好。今天我想分享一些关于JSON Web Token(JWT)的内容。在这篇文章中,我将告诉大家如何在不使用确认令牌的情况下确认邮箱、重置密码以及接管公司邮箱。
让我们开始吧。
什么是JSON Web Token?
JSON Web Token(JWT)是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间作为JSON对象安全地传输信息。由于它是数字签名的,因此可以验证和信任此信息。JWT可以使用密钥(通过HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。
JSON Web Token的结构是什么?
在其紧凑形式中,JSON Web Token由用点(.)分隔的三部分组成:
- 头部(Header)
- 有效载荷(Payload)
- 签名(Signature)
因此,JWT通常如下所示:
xxxxx.yyyyy.zzzzz
现在让我们回到文章主题。
无需确认令牌验证邮箱:
在这里,我通过滥用邀请功能和更改JWT令牌,能够在不使用确认令牌的情况下确认邮箱。
假设攻击者@attacker.com是我的邮箱,我邀请了自己加入用户,并在收件箱中收到了确认令牌。
Burp中的响应类似于:
令牌类似于:
解码JWT令牌:
现在我邀请了admin@company.com,Burp中的响应是:
我在这里做的是更改了我收件箱中收到的JSON Web令牌。我将电子邮件从attacker@attacker.com更改为admin@company.com,将攻击者ID更改为管理员ID,并将时间戳更改为签发时间戳,正如你在响应“created date”:"xxxxxxxx"中看到的那样。(有时服务器会验证签发时间戳以验证令牌。)我能够确认用户并设置admin@company.com的密码。
我们可以使用这些凭据登录公司的不同SSO集成,例如支持面板等。
重置其他用户的密码:
这个方法有点棘手。然而,我能够重置我组织用户的密码,因为我能够通过用户选项卡和浏览器历史记录的物理访问看到他们的ID。
现在我使用我的邮箱attacker@attacker.com请求了一个密码重置链接,重置链接是:
将我的ID更改为目标用户ID后,我能够更改密码。
该Web应用程序没有验证计算出的签名,因此我能够重新编码JWT。
为了更深入的理解,你可以参考:
https://jwt.io/introduction/
https://hackerone.com/reports/638635
就这样吧,各位!
感谢阅读,别忘了分享你的想法。
另外,请查看 https://blog.securitybreached.org/2020/03/17/getting-started-in-android-apps-pentesting/
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
