

密钥弱口令

如果我们需要密钥爆破推荐几个工具

工具:(一般第一个用的比较多，其他我也没用过)

• c-jwt-cracker
• Hashcat
• john

看见题干说是弱口令，去 jwt.io 解码

解码前

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJhZG1pbiIsImlhdCI6MTYwOTIzNzM2NiwiZXhwIjoxNjA5MjQ0NTY2LCJuYmYiOjE2MDkyMzczNjYsInN1YiI6InVzZXIiLCJqdGkiOiI3NzgzMjYzZDIxODVlYzhlYTBhYjY2MjZmMTk5MWRiOCJ9.aX8kzpC_p6HCUW60UdLVqjkDN97zmP0Ce6yETdaiv80

解码后发现还是 HS256 对称加密

{
  "alg": "HS256",
  "typ": "JWT"
}
{
  "iss": "admin",
  "iat": 1609237366,
  "exp": 1609244566,
  "nbf": 1609237366,
  "sub": "user",
  "jti": "7783263d2185ec8ea0ab6626f1991db8"
}

既然题目说是弱口令我们尝试使用最简单的弱口令 123456, 成功，接下来我们只需要拿着这个密钥去生成 jwt 即可

评论