文章总结: 本文档为CTFHub平台JWT敏感信息泄露题目的实战指南,通过解码JWT的Header和Payload部分获取flag。核心步骤包括登录靶场、截获数据包、解码JWT三部分中的前两部分,拼接得到flag。操作性强,适合CTF入门练习。 综合评分: 75 文章分类: CTF,WEB安全,漏洞分析
CTFHub:第八十二章——JSON Web Token——敏感信息泄露
原创
君陌社区 君陌社区
君陌社区渗透安全笔记
2026年7月11日 19:30 江苏
在小说阅读器读本章
去阅读
CTFHub网址:【https://www.ctfhub.com/#/index】
登录账号 点击技能树
选择“web进阶- JSON Web Token-敏感信息泄露”开启题目
题目描述: JWT 的头部和有效载荷这两部分的数据是以明文形式传输的,如果其中包含了敏感信息的话,就会发生敏感信息泄露。试着找出FLAG。格式为 flag{}
点击打开链接进入靶场实战练习环境
输入用户名admin密码随机登录
打开Yakit截获数据包,注意到token中内容似乎是加密编码后内容,这就是一个JWT由点号.分隔的三部分组成的长字符串,格式为
Header.Payload.Signature
选择复制第一部分,用上方的解码工具解码
得到明文数据
{"AG":"e73a2eae07f7300}","typ":"JWT","alg":"HS256"}
在选择第二部分解码,得到铭文数据
{"username":"admin","password":"123456","FL":"ctfhub{04ed80bc8"}
将两者拼接后就得到了flag数据
ctfhub{04ed80bc8e73a2eae07f7300}
上传flag数据完成靶场实战练习
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:君陌社区渗透安全笔记 君陌社区 君陌社区《CTFHub:第八十二章——JSON Web Token——敏感信息泄露》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。







评论