小迪安全21WEB 攻防-JavaWeb 项目&JWT 身份攻击&组件安全&访问控制

#知识点：

1、JavaWeb 常见安全及代码逻辑

2、目录遍历&身份验证&逻辑&JWT

3、访问控制&安全组件&越权&三方组件

---

Java：大部分都是第三方插件出现漏洞

webgoat的搭建：——java靶场

JDK版本要求：11.0以上

需先启动webgoat-server：java -jar webgoat-server-8.1.0.jar --server.port=8080

然后访问http://127.0.0.1:8080/WebGoat，进行登录/创建

账号：atwood

Pw：123456

---

通过路径注入进行说明

本题只：需上传图片，路径需要再指定的路径下

通过直接上传，得知，上传的文件位置

通过bp进行抓包

通过对应的url中的地址，找到对应的文件

.jar:也是一个封装模式

通过反编译，可以获得从中的文件

先看文件中的配置文件

再看包，找到对映的包，点击添加到库，即将包解压开

找到配置文件，发现与POST中的地址一样，因此可知道此页面为数据文件

对数据的操作的代码

查看bp，进行对照

再根据直接上传的文件进行分析得知，我们输入的Fullname会直接为文件名进行上传，若要上传到指定的文件位置的话，可以进行数据更改

更改成功，因此完成本题要求

需要往前进2个文件../test

还有些对其进行了一定的过滤

可通过双写绕过等

---

身份验证

根据POST中的文件路径进行查找

验证结果（静态）

分析：

验证问题：

Question1：xxx？

Question2：xxx？

以字典的形式进行传送，接收键名 键值

即：question1=xx&question2=xx——先是键名正确，后键值正确——验证成功

固定的接受数据：question1、question2判断验证数据

不固定的：

写入问题本身以外的：

Question3=xxx&Question4=xxx——不存在

数据库会判断他们为question3=null&question4=null

若数据库没有对数据值为null进行异常捕获，则会直接通过

正常输入

进行参数更改

通过

---

JWT缺陷

Json web令牌进行身份验证——通常是对JAVA、Python的web应用程序进行运用

https://www.cnblogs.com/yokan/p/14468030.html

jwt由三个部分组成：header.payload.signature

如果判断网站用JWT进行验证

通过bp抓取数据包，看Cookie头，由.连接的三段字符串组成。

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.

eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ

.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

以base64加密

解密地址：JSON Web Tokens - jwt.io

若要成为管理员账户，则需对admin的值改为true，并加密将此值放到bp中替换掉以前的参数——这种思路是不对的，要考虑到签名之类的

攻击方式一：

空密钥算法破解：

将对alg的值改为None，即让此算法失效，只有两段有效字符串(header+'.'+payload，去掉了'.'+signature字段）

JWT是支持None值的，一般都用来进行调试。

生成字符串：算法模式+密匙

每一个字符串的生成都会伴随着一些密钥、签名等，所以如果我们直接对admin的值进行更改，是改不成的，因为我们没有密钥；那么我们可以不要密钥去生成，需要服务器的支持，这就是空密钥算法加密

如何判断服务器是否支持空密钥呢？

Bp抓包，查后端文件，进行分析

最后对alg值设为None，admin值为true，再进行base64加密

2.爆破

对JWT解析

得到后，发现密钥是不知道的，只有找到了正确的密钥，字符串生成才是正确的

利用相关工具进行破解（一般是字典爆破）：

a.一个脚本

b.相关工具：c-jwt-cracker

破解之后，

查看文件中显示已经设置好的算法密钥

c.KID攻击

Kid是JWT header中的一个可选参数，用于指定加密算法的密钥

从而暴漏出了三个漏洞安全：

A.任意文件读取

B.SQL注入

C.命令注入

https://www.cnblogs.com/HAN91/p/14585449.html

---

安全组件：

组件：java库和JavaScript库等

通过bp抓包，查找对应的文件位置

查看对应的组件：

判断是第三方库还是java自身的库

1.这种就明显为java自身的库了

2.这种则为第三方库

查看第三方库，收集信息

查到历史漏洞

CVE 2013-7285 Poc——对其漏洞进行利用：对此服务器进行植入木马

foo



java.lang.Comparable







calc.exe ——启动服务器的计算器





start

如：最近的Log4j2

访问控制：

-隐藏属性：前端页面的自卫限制显示

-水平越权：同一级别用户权限的查看

Java通常都是爆中低危的漏洞