flask-unsign 这个工具比上一个多了自动爆破秘钥的功能,而且是添加到pip包管理器中的,可以直接使用(但是似乎没有在已知cookie情况下破解的功能). 安装到了windows下,通过powshell使用. 安装: pip install flask-unsign[wordlist] 破解秘钥并解密: flask-unsign --decode --cookie'eyJ1c2VybmFtZSI6ImxieiJ9.Zo...
进入super().unsign 方法调试可以发现 sig 变量为 Flask Session 组成结构中的 Cryptographic Hash ,value 变量为 Flask Session 组成结构中的 Session Data + "." + Timestamp : 至此,我们成功得知 Flask Session 结构中的 Session Data 和 Timestamp 是如何划分的,接下来我们需要得知 Flask Session 是如何进行校...