Openharmonyctf-2025 web

OneZ3r0 Lv3
  2025-06-08 13:13:18 2025-06-08 13:13:18 创建   2025-07-29 18:03:58 2025-07-29 18:03:58 更新    

前言

期末周没忍住,还是跟着坐牢去了,第一天是真坐牢(我怎么这么菜啊,什么时候才能支楞起来啊😭)。想着第二天不看了,但是又是忍不住…

ez_APP&Server

一开始拿到反编译abc,发现看不明白,后面决定装个deveco模拟看看,还真有收获。用burp可以抓包,就发现了client和server的api

大概就是要伪造admin,然后以为要伪造data数据,和cyz学长看了半天反编译的加密逻辑,什么pubkey的,后面发现post的data和user的data没啥关系……(误导了)不过也确实得看secert_key,只不过浪费了挺多时间TT

最后还是学长发现可以直接sql拿到admin的uuid(真没想到居然是sql…)

image-20250608132910681
image-20250608132910681

伪造jwt就秒掉了

image-20250608132345809
image-20250608132345809

  • 标题: Openharmonyctf-2025 web
  • 作者: OneZ3r0
  • 创建于 : 2025-06-08 13:13:18
  • 更新于 : 2025-07-29 18:03:58
  • 链接: https://blog.onez3r0.top/2025/06/08/openharmonyctf-2025/
  • 版权声明: 本文章采用 CC BY-NC-SA 4.0 进行许可。
目录
Openharmonyctf-2025 web
  1. 前言
  2. ez_APP&Server