【wp】2023第七届HECTF信息安全挑战赛 Web - 码农知识堂 - 文章详情页

【wp】2023第七届HECTF信息安全挑战赛 Web

伪装者

考点：http协议+flask的session伪造+ssrf读取文件

首先根据题目要求就行伪造HTTP

这里不多说，比较基础然后下面得到是个登入页面，我们输入zxk1ing

得到说什么要白马王子，一眼session伪造

看到ey开头感觉是jwt 输入看看

得到key 那就直接flask session伪造就行

看到ey开头感觉是jwt 输入看看

得到key 那就直接flask session伪造就行

然后我们就得到 flag在这个路径下试了下伪协议读取无果，发现有个url读取

测试一下ssrf读取成功获得flag
相关阅读:
使用接口包装器模块简化在FPGA上实现PCIe的过程
 layui中使用JavaScript监听下拉框（select）的变化，根据选中的值来决定是否显示或隐藏input元素
 分析几道关于死锁的真题
 BOT模块论文阅读
 Java实现经纬度坐标转换(GPS-高德)
Git详解（持续更新）
机器视觉运动控制一体机应用例程|柔性电路板自动上料解决方案
 【牛客网】递归/回溯
 Kubeapps 安装测试
 【Hadoop】Hadoop 调优
原文地址：https://blog.csdn.net/m0_63138919/article/details/134497229