文章总结: 本文记录了利用JWT密钥爆破与越权漏洞攻击某教育证书站点的过程。作者首先发现头像上传点存在存储型XSS,随后成功爆破出JWT密钥。通过伪造JWT令牌中的用户ID和用户名参数,在忘记密码功能处越权重置了管理员密码并最终接管了后台账户。 综合评分: 80 文章分类: SRC活动,漏洞分析,WEB安全,实战经验
EDUSRC之jwt密钥&越权拿下edu某证书站
安全小生
2026年1月6日 20:07 江西 标题已修改
以下文章来源于安全笑笑生 ,作者安全笑笑生
安全笑笑生 .
这条路会很长,我会尽我的力走的更远
如何利用jwt漏洞拿下edu某证书站
前言
某次挖掘过程中发现一个很简单的系统,本来是感觉可能是企业资产,但是发现title的图片居然是某证书站的校徽,那么机会让我遇见了可不能错过,果断拿下
正文
#
某在线系统,查看icon发现是证书站校徽,于是注册进去测测
存储型xss
#
进入后也不必说,看到头像必然是要测试一下个人资料的,头像上传点是首当其冲
抓包后直接上传xsspayload,这个payload自然是谁都要备一份的,能水谁不想水一个呢:
<?xml version="1.0" standalone="no"?><!DOCTYPE svg PUBLIC "-//W3C//DTD SVG 1.1//EN" "http://www.w3.org/Graphics/SVG/1.1/DTD/svg11.dtd">
<svg version="1.1" baseProfile="full" xmlns="http://www.w3.org/2000/svg"> <rect width="300" height="100" style="fill:rgb(0,0,255);stroke-width:3;stroke:rgb(0,0,0)" /> <script type="text/javascript"> javascript:top[`al`+`ert`](document.domain); </script></svg>
后缀名改成xml然后狠狠入:
弹窗:
妙哇~
爆破JWT秘钥导致重置管理员密码
#
本来都要退出系统了,因为实在没得测试了,但是退出之前依旧习惯性的爆破了一下jwt密钥:
竟然有意外之喜,可以看到载荷中的参数有user_id还有username两个参数其他的参数对于身份认证没有意义
只要把账户的uid和uname替换掉然后就可以越权操作
在忘记密码处,点击“更新”进行抓包
于是我创建了两个test账号账号,用这两个账号看看能不能进行忘记密码的操作:
在把JWT解析替换了再换掉user_id和username,直接发送:
成功了,于是尝试登录,发现果然可以
那么就看看管理员的可不可以,直接猜管理员的username是admin,user_id自然是1
没有成功?先不急,笑笑生的英语不好但是也可以看出来返回的这段话的意思是:该key对应的账户名不是admin,而是username
于是猜测username就是admin用户的名字
果断替换:
噫嘘唏!快哉快哉
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:安全小生 《EDUSRC之jwt密钥&越权拿下edu某证书站》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论