什么是JWT？

JWT是JSON Web Token的缩写，它是一串带有声明信息的字符串，由服务端使用加密算法对信息签名，以保证其完整性和不可伪造性。Token里可以包含所有必要的信息，这样服务端就无需保存任何关于用户或会话的信息了。JWT可用于身份认证，会话状态维持以及信息交换等任务。

JWT由三部分构成，分别称为header，payload和signature，各部分用“.”相连构成一个完整的Token，形如xxxxx.yyyyy.zzzzz。

Header

使用一个JSON格式字符串声明令牌的类型和签名用的算法等，形如{"alg":"HS256", "typ": "JWT"}。该字符串经过Base64Url编码后形成JWT的第一部分xxxxx。

Base64Url编码可以用这段代码直观理解：

from base64 import *

def base64URLen(s):

t0=b64encode(s)

t1=t0.strip('=').replace('+','-').replace('/','_')

return t1

def base64URLde(s):

t0=s.replace('-','+').replace('_','/')

t1=t0+'='*(4-len(t0)%4)%4

return b64decode(t1)

Payload

使用一个JSON格式字符串描述所要声明的信息，分为registered，public，状语从句：private三类，形如{"name": "John Doe", "admin": true}，具体信息可参考RFC7519的JWT要求部分。

同样的，该字符串经过Base64Url编码形成JWT的第二部分yyyyy。

Signature

将xxxxx.yyyyy使用alg指定的算法加密，然后再Base64Url编码得到JWT的第三部分zzzzz。所支持的算法类型取决于实现，但HS256和none是强制要求实现的。

工具安装

大家可以直接下载代码库中的jwt_tool.py文件，或使用下列命令将代码库克隆至本地：

git clone https://github.com/ticarpi/jwt_tool.git

网络问题可以https://github.com/ticarpi/jwt_tool/archive/refs/tags/v2.2.6.tar.gz复制加入到https://ghproxy.com/进行代理下载

工具使用

下载好解压

tar -zvxf jwt_tool-2.2.6.tar.gz

解压后进入目录

cd jwt_tool-2.2.6

对webgoat8.1工具使用

JWT cracking

爆破密钥

有密码验证的地方就会有爆破，不过JWT的密钥爆破需要一定的前提条件：

已知JWT使用的加密算法
已知一段有效的、已签名的token
签名使用的密钥是弱密钥（可以爆破出来）

（1）已知一段JWT，进行解密得到加密算法为HS256，并且该用户为Tom：

你需要修改JWT令牌中的账户信息为"WebGoat"，然后重新加密并提交。由于JWT的第三部分是通过对header和payload进行base64编码，并使用秘钥进行哈希得到的，所以你需要破解秘钥来完成这个任务。

我们使用

jwt_tool来进行爆破

python jwt_tools.py <jwt> -C -d 字典

python3 jwt_tool.py eyJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJXZWJHb2F0IFRva2VuIEJ1aWxkZXIiLCJhdWQiOiJ3ZWJnb2F0Lm9yZyIsImlhdCI6MTY5ODExMDQyNCwiZXhwIjoxNjk4MTEwNDg0LCJzdWIiOiJ0b21Ad2ViZ29hdC5vcmciLCJ1c2VybmFtZSI6IlRvbSIsIkVtYWlsIjoidG9tQHdlYmdvYXQub3JnIiwiUm9sZSI6WyJNYW5hZ2VyIiwiUHJvamVjdCBBZG1pbmlzdHJhdG9yIl19.c-rubPlPZlUPbO__ZZkKagwxL0wS-MUXKbtl3R8LLpg -C -d jwtboom.txt

jwtboom.txt 是爆破字典

参数-C表示对JWT进行压缩，以缩短字节长度。

参数-d指定了一个字典文件jwtboom.txt，该文件包含用于尝试破解JWT的可能密钥列表。