首页
社区
课程
招聘
[原创]2021 春季赛 第三题 统一门派
2021-5-14 08:54 5038

[原创]2021 春季赛 第三题 统一门派

2021-5-14 08:54
5038

第三题 统一门派

前期一直redis 连不上,看了群里才知道有人搅屎

 

登录redis以后可以发现有login_tokens

 

image-20210514083501467

 

搜索发现这是一套开源的代码,搜索发现了有介绍关于用户登录校验的文章,登录成功后会缓存一个token到redis,里面存储了用户信息,前端发送发后端的Admin-token 需要先进行jwt的解码 然后在redis中查询是否包含这个token值

 

image-20210514083922815

 

去官网的演示站里面登录一下,提取Admin-token,解码jwt,可以发现login_user_key,这个值也是对应的redis里面的token

 

image-20210514084417919

 

发现源码中签名使用的key是固定值,尝试伪造Admin-token ,发现并不行

 

image-20210514084708089

 

本地搭建一个环境 然后获取Admin-token,和redis中的login_tokens ,将login_tokens 覆盖到redis中,Admin-token添加到cookie中,替换后进入后台

 

1


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 3
打赏
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回