【网络安全 | CTF】攻防世界 cookie 解题详析

已于 2024-05-31 09:49:18 修改
阅读量7k 收藏 5
点赞数 2
CC 4.0 BY-SA版权
分类专栏: CTF新手入门实战教程 文章标签: CTF 网络安全
于 2023-05-20 21:48:36 首次发布
原创文章,禁止转载,否则保留追究法律责任的权利。
本文链接:https://blog.youkuaiyun.com/2301_77485708/article/details/130786240
本文详述了如何在攻防世界CTF挑战中解析Cookie数据。题目要求通过查看HTTP响应获取页面Cookie信息,介绍了两种方法:1) 使用浏览器开发者工具观察状态代码、头信息和正文;2) 利用Burp Suite抓包工具进行更全面的分析。通过这些方法,可以找到隐藏的flag。

文章目录

题目描述:X老师告诉小宁他在cookie里放了些东西,小宁疑惑地想:这是夹心饼干的意思吗?

在这里插入图片描述
根据提示,获取页面Cookie中的数据即可

在这里插入图片描述

页面提示look here:cookie.php,于是GET/cookie.php

在这里插入图片描述提示查看HTTP响应

HTTP响应的查看方法

method 1

HTTP响应通常可以在浏览器的开发者工具中找到。

  • 按下F12键打开浏览器的开发者工具(或右键单击页面,选择检查选项)。
  • 切换到网络选项卡,并刷新页面(或直接点击
了解本专栏 订阅专栏 解锁全文 超级会员免费看
网络安全 | CTF攻防世界 supersqli 解题
等风来
05-27 5181
堆叠注入(stacked injection)是一种SQL注入攻击的技术手段,它会在同一行代码中多次使用已知的SQL注入漏洞,从而达到绕过安全措施、执行恶意代码和窃取数据库信息等目的。堆叠注入攻击利用了SQL语句的连贯性,通过在查询语句中嵌入多个SELECT语句或在UPDATE语句中嵌入多个SET赋值的情况来强行插入额外的恶意代码段。表示注释掉其后面的内容,因此程序会执行两次SQL语句,并忽略掉密码的条件,最终返回敏感数据的行数,从而达到了窃取数据库敏感信息的目的。断开原有语句,再插入新的SQL语句。
网络安全 | CTF攻防世界 shrine 解题
等风来
07-24 5883
进入环境:格式化代码:这段代码创建了一个 Flask 应用对象,并设置了一个名为 FLAG 的配置项,其值来自环境变量。然后定义了两个路由,一个用于返回当前文件的内容,另一个用于渲染 Jinja2 模板。推测flag在名为FLAG的config中,但黑名单过滤了config,通过Jinja2联想SSTI注入在这个程序中,/shrine/ 是定义的路由路径,会匹配到处理该路径的函数。于是构造路径:回显如下:说明SSTI可行在 Flask 中,url_for 函数是定义在 Flask 的全局命名空间中的
CTF攻防世界WEB精选基础入门:cookie
最新发布
weixin_46417756的博客
10-10 384
摘要:CookieCTF中常用于身份伪造、权限提升和会话劫持。常见手段包括修改用户身份字段、解码Base64加密信息、窃取会话Cookie等。解题时需检查响应头中的Cookie信息,可能存在flag或关键数据。例如通过查看网络响应标头而非源代码,可发现隐藏的flag信息。
CTF-WEB篇 攻防世界题目实战解cookie
2301_76565920的博客
04-18 2429
题目:cookie 难度:1
攻防世界 web cookie
Kni9hT's Blog
02-27 1921
终于用上Burp了,web题不可缺少之利器! 我们启用kali来做这一题。直接打开网址,如下图所示: 在URL后面加上/cookie.php,如下图所示: 给的提示是"See the http response" 上Burp suite进行抓包。 注意在抓包前要对浏览器进行如下设置(具体的Burp suite使用方法自行百度) 打开burp suite,浏览器访问~/cookie.php,...
CTFshow Web入门 part.1信息搜集
qq_61758260的博客
12-19 1591
1.Web1 描述:开发注释未及时删除 直接查看源码就可以得到flag 2.Web2 描述:js前台拦截 === 无效操作 可在开发者工具栏查看到flag 3.Web3 描述:没思路的时候抓个包看看,可能会有意外收获 可使用bp也可在开发者工具栏查看: ...
攻防世界题目cookie
qq_53030229的博客
12-23 404
攻防世界题目cookie 首先,我们要先了解cookie是什么然后再让我们回到题目通过题目的提示,我们就能够联系到cookie的文件,然后联系最后通过shift+Ctrl+i此文章借用许多相关事务,如有冒犯,请通知一下。 ...
攻防世界新手题——Cookie
qq_62248023的博客
10-24 1420
Cookie是当主机访问Web服务器时,由 Web 服务器创建的,将信息存储在用户计算机上的文件。一般网络用户习惯用其复数形式 Cookies,指某些网站为了辨别用户身份、进行 Session 跟踪而存储在用户本地终端上的数据,而这些数据通常会经过加密处理。
网络安全 | CTF攻防世界 inget 解题
等风来
07-23 6746
由于该语句为真,却无回显,故可排除数字型注入。语句,再根据回显做下一步判断。思路:尝试利用or构造。使用sqlmap爆数据。
网络安全 | CTF攻防世界 upload1 解题
等风来
05-24 6732
其中用到了 JavaScript 中的 Array 原型对象和条件判断语句。该代码通过扩展 Array 原型对象添加了一个名为 contains 的函数,用于判断一个对象是否在数组中,主要应用于判断上传文件的扩展名是否属于指定的图片格式,这里是 [‘jpg’,‘png’]这段代码的作用是检查上传文件的扩展名是否符合要求,如果是图片格式(jpg或png),则启用提交按钮,否则禁用提交按钮并弹出提示消息。上传时抓包,修改filename文件后缀为。考察文件上传,具体原理及姿势不再赘述。
Cookie 攻防世界
天天学安全专属博客
04-07 4363
Cookie 攻防世界
攻防世界(WEB) Cookie
qq_54929891的博客
08-23 3906
在打开这个题目的时候我查询了一下cookie是什么,英文单词是夹心饼干的意思 https://www.cnblogs.com/harrell/p/6697033.html 简单来说就是一个记事本,记录着你喜欢浏览的网页等 打开题目并且习惯性F12 没有发现什么有价值的信息,想到这个题目提示是cookie,并且cookie是在http传输中的,因此用BurpSuite抓包试一下 发现cookie那里提示我们去往/cookie.php下看一看 根据提示叫我们去看一下http响应,在.
[CTF攻防世界] WEB区 关于Cookie的题目
weixin_43586169的博客
04-14 2148
描述关于Cookie的题目
攻防世界题目:cookie
彼岸花苏陌的博客
04-09 2241
题目:X老师告诉小宁他在cookie里放了些东西,小宁疑惑地想:‘这是夹心饼干的意思吗?’ 点开,发现这个 内心:不知道… 打开burpsuite,作为萌新当然要了解怎么用:https://www.cnblogs.com/nieliangcai/p/6692296.html(超细,不懂英文的直接去看就懂了) 配置好浏览器和burpsuite代理后开抓(开抓前请先看看lntercept选项中的...
攻防世界--->cookie
shdbehdvd的博客
09-25 639
【题外话,在我最开始的时候,很迷茫,最先接触的是misc其次web方面。下过许多web、misc工具,也接触过sql注入、XSS漏洞、misc隐写术、伪加密等,不过感觉学的很杂、很乱,不知道怎么入手。最终转而去学习了汇编、C、CPP、win32等关于逆向的。如今在回来学习web,至少没有最初那样迷茫,也很好。因为是cookie,且是web网页,那么可以考虑直接用bp去进行抓包:(用内嵌的浏览器就好,不用配置代理、不然配置什么代理,很麻烦,虽说可以用Firefox的FoxyProxy不过我不习惯。
六、攻防世界-cookie
pcmbyn的博客
03-21 1969
上的 Cookie。在这个文件夹里每一个文件都是一个由“名/值”对组成的文本文件,另外还有一个文件保存有所有对应的 Web 站点的信息。在这里的每个 Cookie 文件都是一个简单而又普通的文本文件。透过文件名, 就可以看到是哪个 Web 站点在机器上放置了Cookie(当然站点信息在文件里也有保存)。所谓“cookie”数据是指某些网站为了辨别用户身份,储存在用户本地终端上的数据(通常经过加密),由用户客户端计算机暂时或永久保存的信息。, 然后以 Cookie 文件的形式保存在每个用户的机器上。
攻防世界cookie
Bing_Geng的博客
11-13 428
难度:1 方向:web 考察内容:cookie的查看
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值