JWT泄露渗透测试实战指南：从主站到旁站的全流程分析<\/h1>

1. 漏洞发现与初步测试<\/h2>

1.1 JWT泄露发现<\/h3>

通过浏览器开发者工具检查网络请求，发现JWT令牌泄露<\/li>

典型位置：Authorization头、Cookie或响应体中<\/li> <\/ul>

1.2 初步利用尝试<\/h3>

尝试将泄露的JWT用于主站API访问<\/li>

常见响应：

401 Unauthorized：令牌无效或过期<\/li>
404 Not Found：接口路径错误<\/li> <\/ul> <\/li>

当主站利用失败时，考虑横向扩展测试范围<\/li> <\/ul>

2. 信息收集与旁站发现<\/h2>

2.1 同IP站点发现<\/h3>

使用工具和技术：

IP反查：nslookup<\/code>、dig<\/code><\/li>
网络扫描：nmap<\/code>、masscan<\/code><\/li>

在线服务：censys.io<\/code>、shodan.io<\/code><\/li>
<\/ul>
<\/li>
<\/ul>
2.2 相似站点识别<\/h3>

分析域名模式：

admin.example.com<\/code> vs console.example.com<\/code><\/li>
相同父域名的不同子域名<\/li>
<\/ul>
<\/li>
检查相同开发框架的特征<\/li>
<\/ul>
3. JWT跨站利用技术<\/h2>
3.1 令牌有效性验证<\/h3>

在旁站登录接口抓取请求<\/li>
添加Header：token: {泄露的JWT}<\/code><\/li>
观察响应状态码和数据<\/li>
<\/ol>
3.2 接口路径推测<\/h3>

常见API路径模式：

\/api\/v1\/list<\/code><\/li>
\/rest\/user\/info<\/code><\/li>
\/graphql<\/code><\/li>
<\/ul>
<\/li>
使用工具：dirsearch<\/code>、gobuster<\/code>进行路径枚举<\/li>
<\/ul>
3.3 参数构造技巧<\/h3>

将POST body参数转为GET query参数：

{"id":123}<\/code> → ?id=123<\/code><\/li>
<\/ul>
<\/li>
测试参数位置：

Headers<\/li>
URL路径<\/li>
Query参数<\/li>
Body参数<\/li>
<\/ul>
<\/li>
<\/ul>
4. 权限提升与密码重置<\/h2>
4.1 账户信息获取<\/h3>

关键字段识别：

platAccountId<\/code><\/li>
userId<\/code><\/li>
username<\/code><\/li>
<\/ul>
<\/li>
<\/ul>
4.2 密码重置漏洞利用<\/h3>

找到密码重置端点<\/li>
构造包含必要参数的请求：
POST \/api\/resetPassword
Headers:
  Authorization: Bearer {JWT}
Body:
  {
    "platAccountId": "获取的ID",
    "password": "新密码"
  }
<\/code><\/pre>
<\/li>
<\/ol>
5. 管理员账户接管<\/h2>
5.1 管理员识别<\/h3>

通过接口响应中的权限字段识别高权限账户<\/li>
常见字段：isAdmin<\/code>、role<\/code>、privileges<\/code><\/li>
<\/ul>
5.2 凭证修改<\/h3>

修改管理员密码后直接登录<\/li>
或使用泄露的JWT直接访问管理员接口<\/li>
<\/ul>
6. 后续漏洞挖掘<\/h2>
6.1 SQL注入<\/h3>

Druid防火墙绕过技术：

报错注入payload：

\/0 or updatexml(1,concat(0x7e,user(),0x7e),1)=1<\/code><\/li>
可获取信息：

数据库用户<\/li>
数据库名<\/li>
表结构<\/li>
<\/ul>
<\/li>
<\/ul>
<\/li>
<\/ul>
6.2 XSS绕过<\/h3>

Vue框架下的XSS限制：

寻找v-html<\/code>指令的使用<\/li>
富文本编辑器漏洞利用<\/li>
上传HTML文件测试<\/li>
<\/ul>
<\/li>
<\/ul>
6.3 敏感信息泄露<\/h3>

云存储凭证泄露：

检查响应中的aksk<\/code>(Access Key\/Secret Key)<\/li>
STS临时凭证<\/li>
使用工具验证：

AWS CLI<\/li>
OBS浏览器<\/li>
Aliyun ossutil<\/li>
<\/ul>
<\/li>
<\/ul>
<\/li>
<\/ul>
6.4 越权漏洞验证<\/h3>

获取低权限用户token<\/li>
替换高权限操作中的token<\/li>
测试功能点权限而非菜单权限<\/li>
<\/ol>
7. 防御建议<\/h2>
7.1 JWT安全<\/h3>

设置合理的过期时间<\/li>
使用HTTPS传输<\/li>
实现token吊销机制<\/li>
避免客户端存储敏感token<\/li>
<\/ul>
7.2 接口安全<\/h3>

严格的权限验证<\/li>
接口访问日志记录<\/li>
敏感操作二次验证<\/li>
<\/ul>
7.3 基础设施安全<\/h3>

定期轮换云服务凭证<\/li>
最小权限原则配置存储桶<\/li>
网络隔离不同系统<\/li>
<\/ul>
8. 工具推荐<\/h2>


JWT工具<\/strong>：<\/p>

jwt.io<\/li>
jwt_tool<\/li>
<\/ul>
<\/li>

接口测试<\/strong>：<\/p>

Burp Suite<\/li>
Postman<\/li>
curl<\/li>
<\/ul>
<\/li>

信息收集<\/strong>：<\/p>

Amass<\/li>
Subfinder<\/li>
Assetfinder<\/li>
<\/ul>
<\/li>

云存储测试<\/strong>：<\/p>

AWS CLI<\/li>
OBS Browser+<\/li>
ossbrowser<\/li>
<\/ul>
<\/li>
<\/ol>
本指南详细记录了从JWT泄露到系统完全控制的完整渗透流程，强调了信息收集和横向移动的重要性，为安全测试人员提供了实用的技术参考。<\/p>