http://54.223.83.192:8877/
jwt
登陆问题
JSON Web Token(JWT)是一个开放式标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间以JSON对象安全传输信息。这些信息可以通过数字签名进行验证和信任。可以使用秘密(使用HMAC算法)或使用RSA的公钥/私钥对对JWT进行签名。
这道题的解题方式就是对其进行登陆抓包
将token进行base64解码之后修改成这种方式
{"typ":"JWT","alg":"HS256"}{"name":"admin","admin":"true"}.Ē[(oHDՎg4]|䤍
在进行编码得到一个base64编码后的
替换之前得到的token burpsuite去go之后得到了这个
使用在线工具
将获得的encode放进burpsuite的token,得到flag
http://54.223.83.192:9999
刚开始我的思路是要么抓包修改,要么就是绕过。
然后就是一直在尝试
就是你自己先买进来动物
绕过卖出一堆,得到INF的money买flag
黑客游戏
http://www.cn-hack.cn/qs/5.htm
第一关
F12查看源码,在js框架可以出js代码,代码要求打开 2sdfadf.htm 那么
payload:http://www.cn-hack.cn/qs/2sdfadf.htm 进入第二关
第二关
提示很明显就在图片中,我并没有直接拿着winhex分析图片,而是修改了后缀txt ,ctl+f 查找htm 找到
or3.htm
payload:http://www.cn-hack.cn/qs/or3.htm 进入第三关
第三关
提示的密码 直接url解码
http://www.cn-hack.cn/qs/4dfsa.htm
第四关
源代码中并没有发现什么 然后就随便输入用户名以及密码
显示输入用户名和密码错误,进行burpduite抓包
payload:http://www.cn-hack.cn/qs/789.htm
我刚发现这就是智障题 md进页面查看源码就有了 ,真是有点蠢哭自己了
第五关
通用密码or