点击就送

伪造session即可

session: eyJuYW1lIjoicXdlcSJ9.ZqPBig.NnOWxQHbEZxe61glGwgqoD_xnN4

一眼jwt, 前两个是base64;

解码发现是乱码, 应该是使用了数字签名

关于数字签名

数字签名的安全性 不可伪造性：由于私钥只有发送者知道，其他人无法生成有效的数字签名。 不可否认性：发送者不能否认他们已经发送的消息，因为只有他们拥有私钥。 完整性：任何对消息的修改都会导致消息摘要的变化，从而签名验证失败。 反推数字签名 理论上来说，数字签名是不可逆的，也就是说，从数字签名本身无法反推出原始消息或私钥。这是因为：

哈希函数的单向性：哈希函数设计为单向函数，这意味着从哈希值很难反推回原始消息。 公钥加密算法的安全性：基于公钥加密算法（如 RSA、ECDSA 等），私钥和公钥之间存在数学上的复杂关系，使得从公钥或签名反推私钥在计算上是不可行的。

所以只能靠猜私钥

密码是LitCTF

本来是base64

python3 flask_session_cookie_manager3.py encode -s ‘LitCTF’ -t ‘{“name”:“admin”}’