01

什么是JWT

02

结构组成

JWT分为三部分：头部（Header）、声明（Claims）、签名（Signature），三个部分以英文句号隔开。JWT内容以Base64URL进行了编码。

03

环境搭建

这里使用Webgoat

访问127.0.0.1:8080/WebGoat

04

JWT伪造攻击

找到靶场

尝试更改您收到的令牌并通过更改令牌成为管理员用户，一旦您成为管理员，就会重置投票

可以看到我们现在的用户是tom用户

点击重置并抓包
数据包中使用JWT作身份验证

抓取返回包提示只有管理员才有重置权限

将那段Cookie中的JWT字段解密一下这里使用Burp商店自带的JWT解密

将false改为true发包测试

提示签名不对
将签名算法HS512改为none
因为签名算法为空，所以JWT第三部分签名部分直接去掉

放包
成功重置。

05

JWT身份验证攻击

JWT密钥爆破攻击

将该JWT数据解密

https://jwt.io/ 在线转化网址
将username改为WebGoat 将exp字段改大

爆破密钥
用hashcat爆破
https://github.com/hashcat/hashcat

hashcat -m 16500 jwt.txt -a 3 dict.txt

• -m 16500：这里的16500对应的就是JWT的爆破

• -a 3：代表蛮力破解

• -w 3：可以理解为高速破解，就是会让桌面进程无响应的那种高速（可省略）

• jwt.txt：要求破解的JWT文件

• dict.txt：字典文件

爆破出密钥之后，替换密钥生成新JWT

通过修改令牌让tom进行付款

点击checkout抓包

看到Authorization字段为空

查看日志

里面出现JWT字段

解密

修改字段

成功让tom购买

JWT不仅可以验证身份还可以传输数据，因此JWT还可以结合SQL注入进行攻击

06

JWT结合SQL注入

让Jerry越权删除Tom
点击删除抓包

复制JWT查看内容

通过查询源码可以看到查询sql语句

构造sql注入语句

同时通过源码，可以看到密钥在用于检查 JWT 声明之前已进行 base64 解码，因此我们反推，在数据库中存储的是经过base64编码的。
对delete进行base64编码后，新sql语句为

hacked' UNION select 'ZGVsZXRl' from INFORMATION_SCHEMA.SYSTEM_USERS --

修改JWT内容

替换发包
成功删除tom