从CTFHub靶场实战，聊聊JWT那些“不安全”的默认配置（附工具与脚本）-编程实验室

从CTFHub靶场实战，聊聊JWT那些"不安全"的默认配置

在Web安全领域，JSON Web Token（JWT）作为一种轻量级的身份验证机制，被广泛应用于现代Web应用和API接口中。然而，正是这种看似简单的技术，却因为开发者的疏忽和默认配置的不安全性，成为了攻击者眼中的"香饽饽"。本文将通过CTFHub靶场中的实战案例，深入剖析JWT常见的安全隐患，并提供实用的工具和脚本，帮助读者在实战中快速识别和利用这些漏洞。

1. JWT基础与安全风险概述

JWT由三部分组成：头部（Header）、载荷（Payload）和签名（Signature），这三部分通过点号连接，形成一个完整的令牌。看似简单的结构背后，却隐藏着多个可能被攻击者利用的安全隐患。

典型的JWT结构示例：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

在实际应用中，JWT的安全风险主要来自以下几个方面：

算法选择不当：使用弱加密算法或允许算法为空（none算法）
密钥管理不善：使用默认密钥、弱密钥或密钥泄露
令牌验证不严：未验证签名、未检查过期时间
信息泄露风险：敏感数据存储在未加密的载荷中

提示：JWT本身是明文传输的，头部和载荷部分只是Base64编码，而非加密。任何能够截获令牌的人都可以轻松解码查看内容。

2. "无签名"漏洞：算法置空的危险

在CTFHub的JWT题目中，最常见的一类漏洞就是"无签名"攻击，即利用JWT支持"none"算法的特性绕过验证。

2.1 漏洞原理

JWT规范允许使用"none"算法，这意味着令牌可以不进行签名验证。当服务器配置不当，未明确禁用none算法时，攻击者可以篡改令牌内容后，将算法改为none，从而绕过服务器的签名验证。

修改算法为none的步骤：

获取原始JWT令牌
解码头部，将alg字段改为"none"
修改载荷中的任意内容（如将普通用户改为管理员）
删除签名部分（或保留空签名）
将修改后的令牌发送给服务器

2.2 实战案例：CTFHub JWT题目解析

假设我们遇到一个CTFHub题目，要求通过JWT漏洞获取管理员权限。以下是具体操作步骤：

获取原始令牌：通过登录获取普通用户的JWT令牌：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6Imd1ZXN0Iiwicm9sZSI6InVzZXIifQ.7Z6Jz4hX6d9gRtj5l7K8m9n0o1p2q3r4s5t6u7v8w9x0y

解码分析：使用jwt.io解码：
- 头部：{"alg":"HS256","typ":"JWT"}
- 载荷：{"username":"guest","role":"user"}

构造攻击令牌：修改头部和载荷：

{ "alg": "none", "typ": "JWT" } { "username": "guest", "role": "admin" }

生成攻击令牌：将修改后的头部和载荷进行Base64编码，并去掉签名部分：
```
eyJhbGciOiJub25lIiwidHlwIjoiSldUIn0.eyJ1c2VybmFtZSI6Imd1ZXN0Iiwicm9sZSI6ImFkbWluIn0.
```
提交测试：将生成的令牌替换原有Authorization头中的令牌，成功获取管理员权限。

2.3 防御措施

为了防止"无签名"攻击，开发者应该：

明确指定允许的算法列表，禁用none算法
使用成熟的JWT库，避免自行实现验证逻辑
在验证令牌时，严格检查算法是否与预期一致

Python代码示例：安全的JWT验证

import jwt from jwt.exceptions import InvalidAlgorithmError def verify_jwt(token, secret): try: # 明确指定允许的算法 payload = jwt.decode(token, secret, algorithms=['HS256']) return payload except InvalidAlgorithmError: raise Exception("不安全的算法类型")

3. 弱密钥与密钥爆破攻击

另一个常见的JWT安全问题是对称加密中使用弱密钥或默认密钥。在CTFHub靶场中，这类题目往往要求通过爆破方式获取HS256算法的密钥。

3.1 漏洞原理

HS256（HMAC with SHA-256）是一种对称加密算法，使用同一个密钥进行签名和验证。如果密钥强度不足（如短密码、常见单词），攻击者可以通过暴力破解或字典攻击获取密钥，从而伪造任意令牌。

常见弱密钥示例：

secret
password
123456
qwerty
supersecret

3.2 实战工具：hashcat爆破JWT密钥

hashcat是一款强大的密码恢复工具，可以用来爆破JWT密钥。以下是具体操作步骤：

准备JWT令牌和字典文件：假设我们有令牌：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6Imd1ZXN0Iiwicm9sZSI6InVzZXIifQ.7Z6Jz4hX6d9gRtj5l7K8m9n0o1p2q3r4s5t6u7v8w9x0y

以及一个包含常见密钥的字典文件wordlist.txt

使用hashcat爆破：
```
hashcat -m 16500 -a 0 jwt.txt wordlist.txt --force
```
参数说明：
- -m 16500：指定JWT爆破模式
- -a 0：使用字典攻击
- jwt.txt：包含JWT令牌的文件
- wordlist.txt：字典文件
获取爆破结果：如果爆破成功，hashcat会输出找到的密钥。

3.3 防御措施

为了防止密钥被爆破：

使用足够长且复杂的密钥（至少32个随机字符）
避免使用默认密钥或常见单词
定期轮换密钥
考虑使用非对称加密算法（如RS256）

密钥生成建议：

# 生成32字节随机密钥 openssl rand -hex 32

4. 算法混淆攻击

算法混淆攻击是一种利用服务器在验证JWT时，未正确处理算法类型而导致的漏洞。在CTFHub靶场中，这类题目通常涉及从HS256到RS256的算法转换。

4.1 漏洞原理

当服务器预期使用RS256（非对称加密）算法，但实际上接受HS256（对称加密）算法时，攻击者可以利用这一不一致性进行攻击。具体步骤：

获取服务器的公钥
使用公钥作为HS256的密钥
伪造令牌并将算法改为HS256
服务器使用公钥验证HS256签名，错误地认为令牌有效

4.2 实战工具：jwt_tool的使用

jwt_tool是一款专门用于JWT测试的工具，可以方便地进行各种攻击尝试。

算法混淆攻击步骤：

获取公钥：通常可以从应用的/static目录或/.well-known端点找到公钥。
使用jwt_tool生成恶意令牌：
```
python3 jwt_tool.py <原始JWT> -X k -pk public.pem
```
参数说明：
- -X k：指定算法混淆攻击
- -pk public.pem：指定公钥文件
测试令牌：将生成的令牌替换原有令牌，测试是否能够绕过验证。

4.3 防御措施

为了防止算法混淆攻击：

在验证令牌时，严格检查算法是否与预期一致
不要将公钥用于对称加密验证
使用专门的JWT库，避免自行实现验证逻辑

Java代码示例：安全的算法验证

Jwts.parser() .setSigningKey(secret) .require("alg", "RS256") // 明确要求特定算法 .parseClaimsJws(token);

5. 其他常见JWT安全问题

除了上述主要漏洞外，JWT在实际应用中还存在其他安全问题，值得开发者注意。

5.1 令牌过期问题

JWT通常包含exp（过期时间）字段，但如果服务器未正确验证，攻击者可以使用过期的令牌继续访问系统。

防御措施：

始终验证exp字段
设置合理的令牌有效期
考虑使用刷新令牌机制

5.2 敏感信息泄露

由于JWT的载荷部分是明文（Base64编码），如果在其中存储敏感信息（如密码、API密钥），可能导致信息泄露。

防御措施：

不要在JWT中存储敏感信息
必要时对载荷进行加密
使用HTTPS传输令牌

5.3 令牌撤销问题

JWT一旦签发，在有效期内无法单独撤销，这是其设计上的一个局限性。

解决方案：

使用短有效期令牌配合刷新令牌
维护令牌黑名单
采用分布式会话存储检查令牌状态

6. JWT安全最佳实践

基于CTFHub靶场和实际应用中的经验，我们总结出以下JWT安全最佳实践：

开发配置清单：

安全措施	具体实施	备注
算法选择	禁用none，优先使用RS256	非对称加密更安全
密钥管理	使用强密钥，定期轮换	建议32字节以上随机密钥
令牌验证	检查算法、签名、过期时间	完整验证链
信息存储	避免敏感数据，最小化声明	只存储必要信息
传输安全	始终使用HTTPS	防止中间人攻击
令牌有效期	设置合理短的有效期	通常1-2小时