文章总结： JWT_Decode-wuwu是一款专注于JWT密钥爆破的安全工具，支持HS256/384/512、RS256/384/512、ES256/384/512和PS256/384/512等多种算法，但不支持EdDSA。该工具支持CPU并行爆破和PEM证书爆破，在12代i7处理器上，1400万行字典可在2分钟内完成爆破。使用步骤包括载入字典、配置性能、填入JWT字符串并查看结果。工具的GitHub链接为[https://github.com/3wdsys-cyber/JWT_Decode-wuwu。","type":"安全工具,渗透测试,WEB安全,漏洞分析,代码审计","score":91}](https://github.com/3wdsys-cyber/JWT%5FDecode-wuwu。 综合评分： 91 文章分类： 安全工具,渗透测试,WEB安全,漏洞分析,代码审计

JWT_Decode-wuwu：全算法覆盖的硬核 JWT 密钥爆破神器

原创

JunYi

毅心安全

2025年12月22日 14:57 广东

JWT_Decode-wuwu：全算法覆盖的硬核 JWT 密钥爆破神器

在网络安全渗透测试中，JWT（JSON Web Token）的安全性往往取决于其签名的密钥强度。JWT_Decode-wuwu 是一款专注于极致性能与全算法支持的爆破工具，旨在帮助安全研究员在面对各种签名算法时，实现高效的“暴力拆解”。

💡 核心逻辑：除了 EdDSA，全线支持

本工具最大的亮点在于其算法兼容性。它打破了传统工具仅支持对称加密（HS系列）的局限，将非对称加密的公私钥也纳入了爆破范畴。

支持算法一览 对称加密：HS256, HS384, HS512（基于 Secret Key）

非对称加密（RSA）：RS256, RS384, RS512（基于 PEM 证书）

椭圆曲线（ECDSA）：ES256, ES384, ES512

概率签名方案：PS256, PS384, PS512

注意：目前仅暂不支持 EdDSA 算法。

🛠 核心功能与使用指南

1. 1. 字典决定成功率 爆破的本质是概率学。使用 wuwu 时，你只需关注两点：

字典数量：建议起步一千万行。对于高性能电脑，建议直接上亿规模，“火力覆盖”是通往成功的捷径。

字典质量：结合目标特征生成的定制字典（如包含域名、年份、特定关键词）往往比通用字典更有效。

1. 2. CPU 并行爆破（多线程） 开启建议：大多数现代 CPU 建议勾选。它利用多核心性能实现真正的并行运算。

关闭场景：如果你的 CPU 核心数极少，或者由于字典文件过大导致磁盘读取速度（I/O）成为瓶颈，取消勾选反而能提升文件读取效率。

1. 3. 颠覆认知：支持 PEM 证书爆破 传统观念认为 RSA 签名无法爆破，但 wuwu 支持将 —–BEGIN PUBLIC KEY—– 这种证书作为字典的一行进行尝试。

场景分析：如果目标存在敏感信息泄露，你收集到了大量的公钥/私钥文件，只需将它们整合成一行一式的字典，wuwu 就能帮你验证哪把“钥匙”能开哪把“锁”。

📊 性能表现（参考值）

在 12代 i7 处理器 环境下，1400万行 规模的字典可以在 2分钟 内爆破完成。这意味着只要你的字典足够给力，时间不再是阻碍。

⚠️ 使用步骤简述

载入字典：选择你的 *.txt 字典（UTF-8 编码）。

配置性能：根据 CPU 核心数决定是否开启并行模式。

填入 JWT：将截获的完整 JWT 字符串粘贴至文本框。

查看结果：静候扫描。若成功，密钥将显示在以 [+] 开头的行中。

拿到密钥只是第一步，真正的艺术在于随后的 Payload 篡改与重签名。

GITHUB

https://github.com/3wdsys-cyber/JWT_Decode-wuwu

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：毅心安全 JunYi《JWT_Decode-wuwu：全算法覆盖的硬核 JWT 密钥爆破神器》