PythonServer-Flask decode token

最新推荐文章于 2024-08-06 13:15:16 发布
最新推荐文章于 2024-08-06 13:15:16 发布
阅读量243 收藏
点赞数
分类专栏: ctfweb Flask 文章标签: flask web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013457794/article/details/88997027
版权
这是一篇关于Flask应用的黑盒测试记录,讲述了如何通过解密获取admin的session token,从而实现密码修改。文章提到了利用Python3解密脚本,并指出在Python2和Python3环境下的不同运行结果。还描述了构造带有软链接文件的tar包来获取敏感信息的过程。
摘要由CSDN通过智能技术生成

一道有关Flask的黑盒题目,通过解密获得token。可惜没有及时截图,现在只剩下文字了,凑合记录一下。

2019年3月7日11:18:30

  1. 注册账户测试发现有admin,后登陆发现发现有上传页面,但提示说管理员才可以上传tar包

  2. 通过在修改密码页面填写‘admin’,在响应cookie里找到admin的session,运用python3的解密脚本解出token,即可成功修改密码,需注意flask脚本有在python2,python3环境下运行结果不同,需要测试后运行。脚本如下:

     #!/usr/bin/env python3
 import sys
 import zlib
 from base64 import b64decode
 from flask.sessions import session_json_serializer
 from itsdangerous import base64_decode
 
 def decryption(payload):
     payload, sig = payload.rsplit(b'.', 1)
     payload, timestamp = payload.rsplit(b'.', 1)

 decompress = False
 if payload.startswith(b'.'):
     payload = payload[1:]
     decompress = True

 try:
     payload = base64_decode(payload)
 except Exception as e:
     raise Exception('Could not base64 decode the payload because of '
最低0.47元/天 解锁文章
young9222
关注
专栏目录
python flask token_Flask 用户名密码登录获取token
weixin_35981962的博客
01-15 2164
#简单的用户名密码登录获取token的方式importloggingfromflaskimportFlask,request,g,make_response,jsonifyfromflask_httpauthimportHTTPBasicAuth,HTTPTokenAuthfromitsdangerousimportTimedJSONWebSignatureSeri...
python-flask简单服务器框架
hadxu的博客
10-31 3635
python-flask简单服务器框架     最近在学校在跟老师做一个项目,是关于识别的系统,大概就是将手机拍到的图片上传服务器,然后判断此物品是什么返回给客户端也就是android端。由于以前没有开发服务器的经验,一直在寻找能够提供帮助的朋友,最后在百度的帮助下,实现flask的http服务器框架,接收get,post请求,并处理请求。Get是客户端向服务器发送请求,并不改变服务器的资
python token flask_flask 实现token机制
weixin_39675215的博客
12-05 762
token 的生成用token校验身份,是前后端交互的常用方式。它有以下特性:会失效加密可以根据它拿到用户的信息生成方式( 内部配置的私钥+有效期+用户的id )#导入依赖包from flask import request,jsonify,current_appfrom itsdangerous import TimedJSONWebSignatureSerializer as Serializ...
FLASK服务器配置
最新发布
qq_61726551的博客
08-06 819
Flask 是一个轻量级的 Web 应用框架,非常适合快速开发小型到中型的应用程序。需要下载下面的。
python flask项目搭建web server
热门推荐
无效的博客
12-16 1万+
一、flask的自带web server 这是最简单的方式,用法: from flask import Flask app = Flask(appname) if __name__ == '__main__':          app.run(host='0.0.0.0',port=8000,debug=True) 这语句是flask框架的初始化语句,也是框架webser
基于python Flask搭建mockServer服务_mock server flask
2401_84247726的博客
04-16 918
”"1)参数为空2)用户名密码正确3)用户密码错误“”"“”"Flask 框架里,可以用jsonify 返回 json数据使用 jsonify 时,返回的 http response 的 Content-Type 是application/json这样做是符合 HTTP 协议的规定的,这就是使用 jsonify 的原因之一“”"“msg”: “用户名和密码不能为空”})“city”: “北京”},“info”: {
python token验证失败百分百解决_flask-restful基于token认证遇到的问题记录
weixin_39657125的博客
12-05 1191
先把错误信息贴出来127.0.0.1 - - [29/Nov/2017 09:13:32] "GET /admin/loginlogs?page_index=1 HTTP/1.1" 500 -Traceback (most recent call last):File "C:\Users\jyd\py3work\lib\site-packages\flask\app.py", line 1997,...
python flask 令牌token原理及代码实现
w1054230914的博客
02-03 1515
python flask 令牌token原理及代码实现
python token flask_Flaskflask_httpauth(HTTPTokenAuth)
weixin_32771631的博客
02-03 703
写一个简单的FlaskAPI,Token验证下载flask-httpauth包,itsdangerous包后者是用来生成临时身份令牌,检验token的pip install flask-httpauthpip install itsdangerousmodel.py文件:(在model文件中user类下添加生成token方法)# 生成token@staticmethoddef generate_a...
Python Flask-RESTPlus 工程化实践
pydby01的博客
12-15 2139
本指南将逐步介绍构建用于测试、开发和生产环境的 Flask RESTPlus Web 应用程序的方法。 将使用基于 Linux 的操作系统(Ubuntu),但是大多数步骤都可以在 Windows 和 Mac 上执行。 在继续阅读本指南之前,你应该对 Python 编程语言和 Flask 框架有基本的了解。如果你不熟悉这些内容,建议阅读介绍性文章 -如何使用 PythonFlask 构建 Web 应用程序。 本指南的结构 本指南分为以下几部分: 功能 Flask-RESTPlus ...
PythonFlask框架中SERVER_NAME域名项的配置教程
09-21
SERVER_NAME项在Flask的路由配置中至关重要,特别是在配置绝对url和子域名的操作中,这里我们就来看一下PythonFlask框架中SERVER_NAME项的配置教程:
python token flask_flask 实现token机制的示例代码
weixin_39810901的博客
12-05 146
token 的生成用token校验身份,是前后端交互的常用方式。它有以下特性:会失效加密可以根据它拿到用户的信息生成方式( 内部配置的私钥+有效期+用户的id )#导入依赖包from flask import request,jsonify,current_appfrom itsdangerous import TimedJSONWebSignatureSerializer as Serializ...
Python Flask token身份认证
Saki_Python的博客
10-10 597
Python Flask是一个使用Python编写的轻量级Web应用框架,它可以非常方便地搭建Web应用。在Web应用中,经常需要进行身份认证,以确保只有授权用户才能访问某些资源。本文将介绍如何使用token进行身份认证,以及如何在Python Flask实现token身份认证。一、什么是token身份认证token身份认证(Token-based authentication)是一种常见的Web身份认证方式,它是利用token来确保用户的身份。
python基于Flask搭建Mock_server
qq_38571773的博客
03-29 897
python基于Flask搭建Mock_server
python自动化之用flask校验接口token(把token作为参数)
2301_76297780的博客
07-13 311
分享代码
基于python Flask搭建mockServer服务
分享测试知识
05-24 3399
前言: 为什么要用mockserver呢!我们自己内部接口需要使用微信,支付宝的支付功能,就需要验证和打钱才能返回固定的成功返回信息,成本太高,我们就可以用MockServer来模拟返回,绕过验证。 需要环境:python 、pycharm(其他编译器也是可以的)、flask。 需要了解概念: 一、MockServer是什么? 答:为实现mock概念而搭建的一个服务,Mock Server 在被测系统与外部系统之间搭建。 MockServer不是一个真实的后端系统, ...
token验证 python flask
05-25
data = jwt.decode(token, app.config['SECRET_KEY']) except: return jsonify({'message': 'Token is invalid!'}), 401 return f(*args, **kwargs) return decorated ``` 3. 在需要进行 token 验证的路由上...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值