实战 | 记录一次JWT的越权渗透测试 - 网安 - 专业的网络安全产业、社区、知识平台

简单介绍：

在一次某行动暂停之后，某单位重新对自身的业务进行了评估，系统业务使用SSO进行登录，而这个SSO登录后的子系统访问采用JWT进行认证，因此有了这一个漏洞的发生，漏洞利用较为简单，各位师傅请见谅。

Oracle WebCenter

在这个业务中，登陆口的校验是采用Oracle WebCenter进行认证的，也就是说在系统最初的登录，流量是走到Oracle WebCenter中进行认证的。

Oracle WebCenter是面向社交业务的用户参与平台。其上下文相关的协作工具可优化人员、信息和管理软件间连接，帮助员工更高效地协作，并可确保用户在其所处的业务流程环境下访问适当的信息。简单的来说它有点像一个简单的OA系统。

JWT

JTW全程是Json Web Token,是目前最流行的跨域认证解决方案。之前遇到的JWT漏洞情况，可能大多数都是在一开始的登录验证下，通过修改token字段以三个点分割的BASE64字符串。

第一个字符串为JWT头，一般base64解码后长这样

{“kid”:”keys/3c3c2ea1c3f213f649dc9389dd71b851",”typ”:”JWT”,”alg”:”RS256"}

第二个字符串为账户

第三个字符串为签名

签名一般不能直接用base64解出来，因为它可能常带有下划线，签名获取的过程稍微比较复杂，不过我们可以知道签名是为了防止数据被篡改，而签名使用的算法就是我们的哥字符串JWT头的Json字段alg。

大部分JWT常用的三种关于利用Token的攻击方式：未校验签名，禁用hash，爆破弱秘钥

此部分内容可以参考https://xz.aliyun.com/t/2338

其中，未校验签名的情况，我们可以直接修改的那个账户字符串，既

{"sub":"xxxx11111这里修改，然后重新生成Token，如果没有校验签名则可以进行越权"}

禁用Hash,既第一个JWTheader头的alg值为None,我们可以将HS256篡改为None，然后使用Python pyjwt进行Token的生成。

最后爆破弱秘钥是最常见的，也是比较现实的一种情况

利用脚本来进行爆破 https://github.com/ticarpi/jwt_tool

本次的场景

首先打开网页，需要通过SSO的oracle webcenter认证，在进入系统中，存在许多业务，而对于子业务系统的认证，则采用的是JWT的认证。接下来将从流程来讲解此次漏洞的挖掘。

1、因为这里没有截图了，所以只能用文字描述。首先，在进入系统后，很多业务选项按钮，比如物流系统，金融系统。我们点击金融系统的时候，会发出第一个包，通过Oracle Webcenter来校验当前账户是不是有效，如果有效，则返回一个Json格式的S。

2、在验证了当前的账户有效的时候，会发出第二个包，请求一个OAM接口想获取一个JWT token，这个OAM接口会带上Cookie字段的Sessionid值，证明自己账户现在的状态真的是有效的，当这个OAM接口后接受SessionId的值后，就会返回一个JWT authorizationToken值。