/JwtDeCompress

解压缩由jjwt库压缩的jwt token,便于查看jwt token中的数据

JwtDeCompress

运行环境:

jdk8+

工具简介:

使用javafx编写的一个解码jwt的图形化工具

image-20200819133115788

工具只有decode功能,没有encode功能

此工具的主要目的是为了解决jwt.io没法解码由jjwt进行压缩的jwt token

理论上此工具能解码所有的jwt token

1,普通jwt

HS512

image-20200819133618704

RS256

image-20200819134310850

2,压缩的jwt

image-20200819134046702

案例来源于killer师傅

实际测试

在渗透测试中,往往需要测试jwt body中的数据,需要重新encode,如果后端是用了jjwt的话其实是会自动判断有没有压缩的,没有压缩也会decode成功,所以我们把内容抠出来放到jwt.io重新encode即可,当然要知道secret key

步骤如下:

将工具解出来Payload数据丢jwt.ioPayload处,至于header需要将{"alg":"HS512","zip":"DEF"} 中的zip部分替换为"typ":"JWT",也就是{"alg":"HS256","typ":"JWT"},之后填入key进行encode

image-20200819134817637

最后将得到的jwt token发到服务端进行测试即可。

注意:目标为什么用jjwt压缩body,就是因为不压缩太大了不好传输,如tomcatheader限制为8024个字节,我们不压缩情况下重新发送的话,可能会超字节,对于这个问题需要用jjwt撸代码解决,后续可能会更新工具的encode功能解决