weixin_63231007的博客

通过 jwk header注入绕过身份验证 不同的是，这个 jku header注入多了一个漏洞利用服务器，因而我们可以通过 把 JWK set放到漏洞利用服务器上，然后通过往header里写入 "jku":"漏洞利用服务器url" 从而实现 jwk 注入到header里，有种远程文件包含的味道。Hashcat 使用 wordlist 中的每个密钥对来自 JWT 的标头和有效负载进行签名，然后将生成的签名与来自服务器的原始签名进行比较。JWE 非常相似，只是令牌的实际内容是加密的，而不仅仅是编码的。

因此，每个请求的路径可以与服务器文件系统上的目录和文件的层次结构 1:1 映射。在这种情况下，即使您需要的文件扩展名被列入黑名单，您也可以欺骗服务器将任意自定义文件扩展名映射到可执行的 MIME 类型。一种方法是上传更大的文件。如果它以块的形式进行处理，您可以通过在开始时创建一个带有有效负载的恶意文件，然后是大量的任意填充字节来利用这一点。例如，如果文件被加载到具有随机名称的临时目录中，理论上，攻击者应该不可能利用任何竞争条件。在图像上传功能的情况下，服务器可能会尝试验证图像的某些内在属性，例如其尺寸。