JWT Vulnerabilities (Json Web Tokens)
Last updated
Last updated
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Eğitim AWS Kırmızı Takım Uzmanı (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Eğitim GCP Kırmızı Takım Uzmanı (GRTE)
Hacking kariyerine ilgi duyuyorsanız ve hacklenemez olanı hacklemek istiyorsanız - işe alıyoruz! (akıcı Lehçe yazılı ve sözlü gereklidir).
Bu yazının bir kısmı harika bir yazıya dayanmaktadır: https://github.com/ticarpi/jwt_tool/wiki/Attack-Methodology JWT'leri pentest etmek için harika aracın yazarı https://github.com/ticarpi/jwt_tool
jwt_tool aracını All Tests! modu ile çalıştırın ve yeşil satırları bekleyin.
Eğer şanslıysanız, araç web uygulamasının JWT'yi yanlış kontrol ettiği bir durumu bulacaktır:
Sonra, isteği proxy'nizde arayabilir veya o istek için kullanılan JWT'yi jwt_ tool ile dökebilirsiniz:
You can also use the Burp Extension SignSaboteur to launch JWT attacks from Burp.
Veriyi manipüle edebilir, imzayı olduğu gibi bırakabilir ve sunucunun imzayı kontrol edip etmediğini kontrol edebilirsiniz. Örneğin, kullanıcı adınızı "admin" olarak değiştirmeyi deneyin.
Bir JWT'nin imzasının doğrulanıp doğrulanmadığını kontrol etmek için:
Devam eden doğrulamayı öneren bir hata mesajı; ayrıntılı hatalardaki hassas bilgiler gözden geçirilmelidir.
Dönen sayfadaki bir değişiklik de doğrulamayı gösterir.
Değişiklik olmaması, doğrulama olmadığını gösterir; bu, payload iddialarını manipüle etmek için deneme yapma zamanıdır.
Token'ın sunucu tarafında mı yoksa istemci tarafında mı oluşturulduğunu belirlemek için proxy'nin istek geçmişini incelemek önemlidir.
İstemci tarafında ilk kez görülen token'lar, anahtarın istemci tarafı koduna maruz kalabileceğini gösterir ve daha fazla araştırma gerektirir.
Sunucu tarafında kaynaklanan token'lar, güvenli bir süreci gösterir.
Token'ın 24 saatten fazla sürüp sürmediğini kontrol edin... belki de hiç süresi dolmuyor. "exp" alanı varsa, sunucunun bunu doğru bir şekilde işleyip işlemediğini kontrol edin.
Kullanılan algoritmayı "None" olarak ayarlayın ve imza kısmını kaldırın.
Bu açığı denemek ve JWT içindeki farklı değerleri değiştirmek için "JSON Web Token" adlı Burp eklentisini kullanın (isteği Repeater'a gönderin ve "JSON Web Token" sekmesinde token'ın değerlerini değiştirebilirsiniz. "Alg" alanının değerini "None" olarak ayarlamak için de seçebilirsiniz).
HS256 algoritması, her mesajı imzalamak ve doğrulamak için gizli anahtarı kullanır. RS256 algoritması, mesajı imzalamak için özel anahtarı kullanır ve kimlik doğrulama için genel anahtarı kullanır.
Algoritmayı RS256'dan HS256'ya değiştirirseniz, arka uç kodu genel anahtarı gizli anahtar olarak kullanır ve ardından imzayı doğrulamak için HS256 algoritmasını kullanır.
Sonra, genel anahtarı kullanarak ve RS256'yı HS256'ya değiştirerek geçerli bir imza oluşturabiliriz. Bunu gerçekleştiren web sunucusunun sertifikasını alabilirsiniz:
Bir saldırgan, token'ın başlığına yeni bir anahtar yerleştirir ve sunucu bu yeni anahtarı imzayı doğrulamak için kullanır (CVE-2018-0114).
Bu, "JSON Web Tokens" Burp eklentisi ile yapılabilir. (Isteği Repeater'a gönderin, JSON Web Token sekmesinde "CVE-2018-0114" seçin ve isteği gönderin).
Talimatlar, özellikle "jku" başlık iddiasını kullanan JWT token'larının güvenliğini değerlendirmek için bir yöntem detaylandırmaktadır. Bu iddia, token'ın doğrulaması için gerekli olan kamu anahtarını içeren bir JWKS (JSON Web Key Set) dosyasına bağlantı sağlamalıdır.
"jku" Başlığı ile Token'ları Değerlendirme:
"jku" iddiasının URL'sini doğrulayarak uygun JWKS dosyasına yönlendirdiğinden emin olun.
Token'ın "jku" değerini kontrol edilen bir web hizmetine yönlendirecek şekilde değiştirin, böylece trafik gözlemlenebilir.
HTTP Etkileşimini İzleme:
Belirttiğiniz URL'ye yapılan HTTP isteklerini gözlemlemek, sunucunun sağladığınız bağlantıdan anahtarları almaya çalıştığını gösterir.
Bu süreçte jwt_tool kullanırken, testin kolaylaştırılması için kişisel JWKS konumunuzu jwtconf.ini dosyasını güncelleyerek belirtmek önemlidir.
jwt_tool için Komut:
jwt_tool ile senaryoyu simüle etmek için aşağıdaki komutu çalıştırın:
kid olarak bilinen isteğe bağlı bir başlık iddiası, belirli bir anahtarı tanımlamak için kullanılır ve bu, token imza doğrulaması için birden fazla anahtarın bulunduğu ortamlarda özellikle önemlidir. Bu iddia, bir token'ın imzasını doğrulamak için uygun anahtarın seçilmesine yardımcı olur.
kid iddiası başlıkta mevcut olduğunda, karşılık gelen dosya veya varyasyonları için web dizininde arama yapması önerilir. Örneğin, "kid":"key/12345" belirtilmişse, web kökünde /key/12345 ve /key/12345.pem dosyaları aranmalıdır.
kid iddiası, dosya sisteminde gezinmek için de istismar edilebilir ve bu, rastgele bir dosyanın seçilmesine olanak tanıyabilir. kid değerini belirli dosyaları veya hizmetleri hedef alacak şekilde değiştirerek bağlantıyı test etmek veya Sunucu Tarafı İstek Sahteciliği (SSRF) saldırıları gerçekleştirmek mümkündür. JWT'yi, orijinal imzayı koruyarak kid değerini değiştirmek için -T bayrağını kullanarak değiştirmek mümkündür, aşağıda gösterildiği gibi:
By targeting files with predictable content, it's possible to forge a valid JWT. For instance, the /proc/sys/kernel/randomize_va_space file in Linux systems, known to contain the value 2, can be used in the kid parameter with 2 as the symmetric password for JWT generation.
If the kid claim's content is employed to fetch a password from a database, an SQL injection could be facilitated by modifying the kid payload. An example payload that uses SQL injection to alter the JWT signing process includes:
non-existent-index' UNION SELECT 'ATTACKER';-- -
This alteration forces the use of a known secret key, ATTACKER, for JWT signing.
A scenario where the kid parameter specifies a file path used within a command execution context could lead to Remote Code Execution (RCE) vulnerabilities. By injecting commands into the kid parameter, it's possible to expose private keys. An example payload for achieving RCE and key exposure is:
/root/res/keys/secret7.key; cd /root/res/keys/ && python -m SimpleHTTPServer 1337&
jku, JWK Set URL anlamına gelir. Eğer token “jku” Header claim'ini kullanıyorsa, o zaman sağlanan URL'yi kontrol edin. Bu, token'ı doğrulamak için Public Key'i içeren JWKS dosyasını barındıran bir URL'ye işaret etmelidir. Token'ı, jku değerini trafiği izleyebileceğiniz bir web servisine yönlendirecek şekilde değiştirin.
Öncelikle yeni özel ve genel anahtarlarla yeni bir sertifika oluşturmanız gerekiyor.
Sonra, örneğin jwt.io kullanarak oluşturulan genel ve özel anahtarlarla yeni bir JWT oluşturabilir ve jku parametresini oluşturulan sertifikaya yönlendirebilirsiniz. Geçerli bir jku sertifikası oluşturmak için, orijinalini indirebilir ve gerekli parametreleri değiştirebilirsiniz.
"e" ve "n" parametrelerini bir genel sertifikadan şu şekilde alabilirsiniz:
X.509 URL. PEM formatında kodlanmış bir dizi X.509 (bir sertifika format standardı) genel sertifikasına işaret eden bir URI. Set içindeki ilk sertifika, bu JWT'yi imzalamak için kullanılan sertifika olmalıdır. Ardışık sertifikalar, her biri bir öncekini imzalayarak sertifika zincirini tamamlar. X.509, RFC 52807'de tanımlanmıştır. Sertifikaların aktarımı için taşıma güvenliği gereklidir.
Bu başlığı kontrolünüz altındaki bir URL ile değiştirin ve herhangi bir isteğin alınıp alınmadığını kontrol edin. Bu durumda JWT'yi değiştirebilirsiniz.
Kontrolünüz altındaki bir sertifika kullanarak yeni bir token oluşturmak için, sertifikayı oluşturmanız ve genel ile özel anahtarları çıkarmanız gerekir:
Sonra, örneğin jwt.io kullanarak oluşturulan genel ve özel anahtarlarla yeni bir JWT oluşturabilir ve x5u parametresini oluşturulan .crt sertifikasına yönlendirebilirsiniz.
Bu iki güvenlik açığını da SSRF'ler için kötüye kullanabilirsiniz.
Bu parametre base64 formatında sertifika içerebilir:
Eğer saldırgan kendinden imzalı bir sertifika oluşturursa ve ilgili özel anahtarı kullanarak sahte bir token oluşturursa ve "x5c" parametresinin değerini yeni oluşturulan sertifika ile değiştirip diğer parametreleri, yani n, e ve x5t'yi değiştirirse, esasen sahte token sunucu tarafından kabul edilecektir.
Eğer JWT, aşağıdaki senaryodaki gibi gömülü bir genel anahtara sahipse:
Aşağıdaki nodejs betiğini kullanarak bu verilerden bir genel anahtar oluşturmak mümkündür:
Yeni bir özel/genel anahtar oluşturmak, yeni genel anahtarı token içine gömmek ve bunu yeni bir imza oluşturmak için kullanmak mümkündür:
Bu nodejs betiğini kullanarak "n" ve "e" değerlerini elde edebilirsiniz:
Son olarak, kamu ve özel anahtarı ve yeni "n" ve "e" değerlerini kullanarak jwt.io ile herhangi bir bilgiyle yeni geçerli bir JWT oluşturabilirsiniz.
Bazı uygulamalar ES256 kullanıyorsa ve iki jwt oluşturmak için aynı nonce kullanıyorsa, özel anahtar geri kazanılabilir.
İşte bir örnek: ECDSA: Aynı nonce kullanıldığında özel anahtarın ifşa edilmesi (SECP256k1 ile)
JTI (JWT ID) talebi, bir JWT Token için benzersiz bir tanımlayıcı sağlar. Token'ın yeniden oynatılmasını önlemek için kullanılabilir. Ancak, ID'nin maksimum uzunluğunun 4 (0001-9999) olduğu bir durumu hayal edin. 0001 ve 10001 istekleri aynı ID'yi kullanacak. Bu nedenle, arka uç her istekte ID'yi artırıyorsa, bunu bir isteği yeniden oynatmak için kötüye kullanabilirsiniz (her başarılı yeniden oynatma arasında 10000 istek göndermeniz gerekecek).
Hizmetler Arası İletim Saldırıları
Bazı web uygulamalarının token'larının oluşturulması ve yönetimi için güvenilir bir JWT hizmetine güvendiği gözlemlenmiştir. JWT hizmeti tarafından bir istemci için oluşturulan bir token'ın, aynı JWT hizmetinin başka bir istemcisi tarafından kabul edildiği durumlar kaydedilmiştir. Üçüncü taraf bir hizmet aracılığıyla bir JWT'nin verilmesi veya yenilenmesi gözlemlenirse, aynı kullanıcı adı/e-posta ile o hizmetin başka bir istemcisinde bir hesap açma olasılığı araştırılmalıdır. Ardından, elde edilen token'ı hedefe bir istekte yeniden oynatmayı denemek gerekir.
Token'ınızın kabul edilmesi, herhangi bir kullanıcının hesabının taklit edilmesine olanak tanıyabileceğinden kritik bir sorun olabilir. Ancak, üçüncü taraf bir uygulamada kaydolunması durumunda daha geniş testler için izin gerekebileceği unutulmamalıdır, çünkü bu yasal bir gri alana girebilir.
Token'ların Süre Kontrolü
Token'ın süresi "exp" Payload talebi kullanılarak kontrol edilir. JWT'lerin genellikle oturum bilgisi olmadan kullanıldığı göz önüne alındığında, dikkatli bir şekilde ele alınması gerekir. Birçok durumda, başka bir kullanıcının JWT'sini yakalamak ve yeniden oynatmak, o kullanıcının taklit edilmesine olanak tanıyabilir. JWT RFC, token için bir son kullanma süresi belirlemek amacıyla "exp" talebinin kullanılmasını önerir. Ayrıca, uygulamanın bu değerin işlenmesini sağlamak ve süresi dolmuş token'ları reddetmek için ilgili kontrolleri uygulaması önemlidir. Token "exp" talebini içeriyorsa ve test süre sınırları izin veriyorsa, token'ı saklamak ve süresi dolduktan sonra yeniden oynatmak önerilir. Token'ın içeriği, zaman damgası ayrıştırma ve süre kontrolü (UTC'deki zaman damgası) jwt_tool'ün -R bayrağı kullanılarak okunabilir.
Uygulama hala token'ı doğruluyorsa, bu durum bir güvenlik riski oluşturabilir, çünkü bu token'ın asla süresi dolmayabileceğini ima edebilir.
hackleme kariyeri ile ilgileniyorsanız ve hacklenemez olanı hacklemek istiyorsanız - işe alıyoruz! (akıcı Lehçe yazılı ve sözlü gereklidir).
AWS Hackleme öğrenin ve pratik yapın:HackTricks Eğitim AWS Kırmızı Takım Uzmanı (ARTE) GCP Hackleme öğrenin ve pratik yapın: HackTricks Eğitim GCP Kırmızı Takım Uzmanı (GRTE)
