-
-
[原创]2021 春季赛 第三题 统一门派
-
发表于: 2021-5-14 08:54
-
前期一直redis 连不上,看了群里才知道有人搅屎
登录redis以后可以发现有login_tokens
搜索发现这是一套开源的代码,搜索发现了有介绍关于用户登录校验的文章,登录成功后会缓存一个token到redis,里面存储了用户信息,前端发送发后端的Admin-token 需要先进行jwt的解码 然后在redis中查询是否包含这个token值
去官网的演示站里面登录一下,提取Admin-token,解码jwt,可以发现login_user_key,这个值也是对应的redis里面的token
发现源码中签名使用的key是固定值,尝试伪造Admin-token ,发现并不行
本地搭建一个环境 然后获取Admin-token,和redis中的login_tokens ,将login_tokens 覆盖到redis中,Admin-token添加到cookie中,替换后进入后台
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
赞赏记录
参与人
雪币
留言
时间
PLEBFE
为你点赞~
2022-7-30 08:06
香草0x00
为你点赞~
2021-5-20 14:28
AJISky
为你点赞~
2021-5-14 12:34
|
|
|---|---|
