寻找常见的公钥分发手段#

1. 首先可以关注一些常用路由，例如 publickey.pem、publickey.php、public.key 等等，可能可以直接获取公钥
2. 如果服务器使用了 jwk 来分发公钥，则可以在 jwt Header 处找到公钥信息
3. 会不会有开发人员蠢到把公钥硬编码到前端呢？emmm… 好像不能排除这个可能性(ciscn初赛还真这么干了)

利用 CVE-2017-11424 破解公钥#

对于使用较旧版本 jwt 库的 python 服务，可以利用 CVE-2017-11424 来破解公钥。首先需要获取两个使用不同 payload 的 token，可以简单注册两个不同的用户来获取。然后利用工具 rsa_sign2n 尝试计算公钥

获得公钥后能进行的攻击#

可以尝试篡改 Header 中的加密方式（alg 的值），将 RS256，改为 HS256。如果开发人员配置不当的话，服务器可能会将 RS256 使用的公钥作为 HS256 的密钥。此时我们利用获取的 publickey 对修改的 payload 进行签名，就有机会通过校验，达成 token 伪造的目标

可能的私钥泄露#

1. 通过各种信息搜集手段获取源码包后，可能在其中找到私钥文件或私钥的值
2. 配合目录穿越等漏洞读取私钥文件

破解较弱密钥对的私钥#

如果 RSA 中的 p/q 值选取不当，则会导致生成的密钥对容易被攻破。在获取有弱点的公钥后，能通过密码学手段计算出其私钥

那怎么判断拿到的公钥弱不弱呢？其实我也不太清楚，这里更多涉及到密码学的知识，如果队内有密码手的话可以请教一下，如果没有相应的知识支撑，其实我的建议是不管它到底弱不弱，先拿工具一把梭了再说

比较好用的工具有 RsaCtfTool，能通过多种算法来尝试破解 RSA