JSON Web Token (JWT) - Weak secret

JWT 토큰 문제다. 이전에 다른 사이트에서도 다뤘던 적이 있는 문젠데.

문제 제목을 보아하니, secret key 값이 쉬운 값인가보다. 

일단 토큰을 해석해보자.

이제 role 의 값은 admin으로 수정해서 올려주면 되겠다. 

사실 그전에 토큰의 비밀값을 찾아줘야 하는데, 여기서는 jwtcat 라는 툴을 사용했다. 

다운로드는 알아서 받아보시고...!

바로 진행하겠다.

vared@DESKTOP-SGQOMCP:jwtcat$
optional arguments:
  -h, --help            show this help message and exit
  -c CHARSET, --charset CHARSET
                        User-defined charset (default: abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789)
  --increment-min INCREMENT_MIN
                        Start incrementing at X (default: 1)
  --increment-max INCREMENT_MAX
                        Stop incrementing at X (default: 8)

일단 돌려서 secret key를 찾아주면,

lol이란 키값이 나오고, 이를 이용해서 jwt.io 페이지에 가서 변환하여

입력 양식에 맞게 토큰값을 주면 된다.

 

Clear!