169 похожих чатов

Кто нибудь встречал сервисы брута JWT токенов? Существуют такие?

19 ответов

27 просмотров

Можно попробовать на какие то дефолтные значения перебирать, для этого куча тулз есть. Но если более сложный то полный перебор невозможно делать, криптография у JWT слишком мощная.

А что там брутить кроме секрета ?

Lipton-Ice Tea Автор вопроса
Кека
Можно попробовать на какие то дефолтные значения п...

Мне достаточно чтобы его прогнали по большому хорошему словарю. Понятное дело что полный перебор тухлая тема

Lipton Ice Tea
Мне достаточно чтобы его прогнали по большому хоро...

https://github.com/irgoncalves/jwtbf вот например приблуду сделали чтобы по словарю перебирать

Lipton-Ice Tea Автор вопроса
Кека
https://github.com/irgoncalves/jwtbf вот например ...

У меня нет большого и хорошего словаря, а еще нет сетапа под брут) Так бы конечно я обошелся hashcat`ом и не спрашивал

Lipton Ice Tea
У меня нет большого и хорошего словаря, а еще нет ...

Да что там сетапить если полный перебор несобрался делать. Просто ставишь и перебираешь дефолтные миллион, это недолжно занять больше минут 10 на нормальном компутаторе.

Lipton Ice Tea
Мне достаточно чтобы его прогнали по большому хоро...

Ты знаешь, из most common есть словарь, лежит у портсвигеров. Но я если честно, ещё ни одного отчёта не встретил, чтоб кто-то сбрутил секрет )))

Lipton Ice Tea
Имхо мало кто пытается))

Ну хз, может и так. Утверждать не могу. Можешь попробовать взять то что в академии лежит ну и пройтись по гитхабу и дополнить

Кека
Можно попробовать на какие то дефолтные значения п...

Я пробовал перебор ключа по вордлисту на 150к, кот вроде что то нашел, но когда этот секрет пихаю в ключ, все равно подпись не работает, хотя подписано симметрично. Или кот мне херню выдал, или что то еще там есть

.
Я пробовал перебор ключа по вордлисту на 150к, кот...

Наверно херню выдал, надо попробовать тогда JWT токен который ты брутил создать с ключом который ты нашел. На jwt.io например можно такое сделать.

Кека
Наверно херню выдал, надо попробовать тогда JWT то...

Я так и пробовал, все равно подпись кривая по итогу

.
Я так и пробовал, все равно подпись кривая по итог...

Надо тогда попробовать ещё посмотреть что в проге выходит. Видимо там баг в генерации jwt.

Кека
Надо тогда попробовать ещё посмотреть что в проге ...

Новый ключ я генерирую в плагине бурпа, а перебираю хэшкэтом, может надо другой вордлист? Самый большой что я на гите нашел, на 150к, есть где то больше вордлист?

.
Новый ключ я генерирую в плагине бурпа, а перебира...

Есть вообще вордлисты на террабайт, ты просто плохо ищешь. Хешкэт может неправильно настроил, поэтому правильное не выдёт.

Кека
Есть вообще вордлисты на террабайт, ты просто плох...

Эм  hashcat -m 16500 -w /wordlist, какие еще флаги могут помочь?

Андрей Чернобров
Ты знаешь, из most common есть словарь, лежит у по...

По работе исследовал апи компании, с которого в свой конвеер данные надо было тянуть. Мне там бурп в аассивном режиме его сбрутил пока я дела свои делал :D

Похожие вопросы

Обсуждают сегодня

Господа, а что сейчас вообще с рынком труда на делфи происходит? Какова ситуация?
Rꙮman Yankꙮvsky
29
А вообще, что может смущать в самой Julia - бы сказал, что нет единого стандартного подхода по многим моментам, поэтому многое выглядит как "хаки" и произвол. Короче говоря, с...
Viktor G.
2
30500 за редактор? )
Владимир
47
а через ESC-код ?
Alexey Kulakov
29
Чёт не понял, я ж правильной функцией воспользовался чтобы вывести отладочную информацию? но что-то она не ловится
notme
18
У меня есть функция где происходит это: write_bit(buffer, 1); write_bit(buffer, 0); write_bit(buffer, 1); write_bit(buffer, 1); write_bit(buffer, 1); w...
~
14
Добрый день! Скажите пожалуйста, а какие программы вы бы рекомендовали написать для того, чтобы научиться управлять памятью? Можно написать динамический массив, можно связный ...
Филипп
7
Недавно Google Project Zero нашёл багу в SQLite с помощью LLM, о чём достаточно было шумно в определённых интернетах, которые сопровождались рассказами, что скоро всех "ибешни...
Alex Sherbakov
5
Ребят в СИ можно реализовать ООП?
Николай
33
https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_h_common.erl#L174 https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_olp.erl#L76 15 лет назад...
Maksim Lapshin
20
Карта сайта