【picoCTF]cookies write up

原创 已于 2022-03-25 21:00:22 修改 · 2.4k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web #经验分享

于 2022-03-25 19:31:20 首次发布
本文介绍了一种通过修改Cookie值和使用Burpsuite拦截来解决登录页面挑战的方法,成功获取了隐藏的flag。

顾名思义,这一挑战涉及对cookie的简单操作。登录页面会显示一个搜索框,其中包含一个输入字段,用于检查您为其提供的 Cookie 类型。

点击链接,页面如下:

随便在框里输入内容,显示如下:

输出返回无效的cookie

这题也有两种写法!!!!

一、检查开发人员工具的选项卡(查看储存值)

显示cookie为-1,我们修改为正值,得到如下页面:

 一直试到了18,刷新页面得到flag

 

二、burpsuit拦截

我拦截的是这个页面,原页面也可以

 

 得到flag:picoCTF{3v3ry1_l0v3s_c00k135_96cdadfd}

补充:原页面拦截:

 

 

 

 

Chrome浏览器删除网站cookies的解决方案
weixin_43178406的博客
09-23 7万+
本文主要介绍了Chrome浏览器删除网站cookies的解决方案,希望能对同学们有所帮助。 文章目录 1. 问题描述 2. 解决方案
http.cookiejar.LoadError: Cookies file must be Netscape formatted,not JSON.解决方案
热门推荐
weixin_43178406的博客
07-01 8万+
本文主要介绍了http.cookiejar.LoadError: Cookies file must be Netscape formatted,not JSON.解决方案,希望能对使用Python的同学们有所帮助。 文章目录 1. 问题描述 2. 解决方案
PicoCTF——Most Cookie思路讲解
npu2022303155的博客
04-25 1668
1. 并没有手把手的步骤,只有一些经验。 2. 会有一些抓包图片来帮助理解,只是不知道有没有多此一举。
picoCTFWeb Exploitation,网页开发类,39/45
Allezima阿力代码
02-10 4966
记录一下自己做的CTF,最初将所有题目放在一个帖子里,帖子太长了,为了方便后期编辑和阅读。2023年02月10日,将帖子拆分……
picoCTF:picoCTF挑战的解决方案
03-31
微微CTF 您好,我将尽可能详细地发布针对picoCTF问题的解决方案。 我建议您先尝试自己解决问题,如果遇到困难,可以按照我的详细解决方案进行操作!
picoCTF-Web Exploitation-Most Cookies
huckers的博客
05-11 878
该网站上要指出的另一件事是有一个“验签”部分。由于Flask Cookie 涉及加密,因此设置了一个。将得到签名后的token替换到网页cookie→session中,刷新页面得到flag。使用flask-unsign及cookie_names转换的wordlist解签找到。安装flask-unsign(我是windows,cmd环境,请注意引号相关)wordlist.txt(放到cmd运行目录即可,我的是。这里的逻辑表示,本站使用Python的Flask框架。进行签名,使用我们解密出的secret。
PicoCTF2024 Web Writeup
Err0r233的博客
04-01 3403
清一下存货
攻防世界 cookie writeup
m0_73605862的博客
05-07 318
Step1:点击Editthecookie这个插件,查看到文件cookie.php,发现提示为查看http response。Step2:用burpsuite抓包,然后点击proxy history,点击URL,查看response,发现flag。【来源】(攻防世界)https://adworld.xctf.org.cn/challenges/list。【思路】根据提示查看cookie。【题目】cookie。
picoCTF 2022 web
qq_61768489的博客
04-10 3730
Includes 看题目以为文件包含啥的 很简单,直接看源码,然后里面有 两个源码链接,点进去就是flag Inspect HTML 直接看源码。。 Local Authority 打不开网页 不过也是源码类的题目 Search source js源码找了半天没找到,还是在css翻到了 Forbidden Paths We know that the website files live in/usr/share/nginx/html/and ...
[CISCN 2021] 部分 write up
Anton__1的博客
05-16 1393
easy_source 抓包扫目录干都干了,发现什么都拿不到 预期猜测flag在注释里(也给了提示): 你能发现我嘛 所以我们可以试着用PHP内置类中的ReflectionMetho来读取类中函数的注释: 参考自https://r0yanx.com/2020/10/28/fslh-writeup/ payload如下: ?rc=ReflectionMethod&ra=User&rb=a&rd=getDocComment 因为不知道到底在那个函数中,随即手工爆破直到拿到flag
picoCTF 2022 一些题目的wp】
aoao331198的博客
03-27 2234
picoCTF 2022 一些题目的wp 这里记录一下picoCTF 2022 中做出来的题目 文章目录WEB1.Includes2.Inspect HTML3.Local Authority4.Search source5.Forbidden Paths6.Power CookieCrypto1. WEB 1.Includes 打开开发者工具,在style.css中看见flag 2.Inspect HTML 查看源代码 3.Local Authority 密码找到 4.Search source C
【CTF Web】XCTF GFSJ0478 cookie Writeup(HTTP协议+信息收集+Cookie)
HEX9CF的技术博客
05-08 487
X老师告诉小宁他在cookie里放了些东西,小宁疑惑地想:‘这是夹心饼干的意思吗?
攻防世界-web-cookie writeup
m0_48108919的博客
02-08 196
访问网站 F12打开控制台 输入document.cookie获取当前网站的cookie,提示存在cookie.php文件 访问/cookie.php,提示查看response 查看请求头得到flag cyberpeace{337c91c6dad7b0e423fd99edc59a5bd1}
【CTF Web】CTFShow cookie泄露 Writeup(cookie泄露+URL解码)
HEX9CF的技术博客
08-23 521
10cookie 只是一块饼干,不能存放任何隐私数据。
picoCTF-WP
luoluopeach
10-17 2880
The Numbers Description:The numbers… what do they mean? Hints:The flag is in the format PICOCTF{} a-1 b-2 c-3 d-4 e-5 f-6 g-7 h-8 i-9 j-10 k-11 l-12 m-13 n-14 o-15 p-16 q-17 r-18 s-19 t-20 u-21 v-22 w-23 x-24 y-25 z-26 大括号前数字对应的字母是PICOCTF GET FLAG!
picoCTF2021 GET aHEAD
scrawman的博客
04-05 1180
题目提示: Hints1:Maybe you have more than 2 choices Hints2:Check out tools like Burpsuite to modify your requests and look at the responses 用bp抓包会发现Choose Red用的是GET方法,Choose Blue用的是POST方法(其实源码里也能看出来),结合Hints猜测可能要用其它的请求方法。查了一下发现HTTP请求还有一个HEAD方法,正好题目名字也是GET aHE.
2021 Picoctf pwn部分wp
weixin_46521144的博客
07-18 700
首先说一下,是参考了校内学长的复盘讲解hhh,这也是第一次直接接触在线的ctf而不是靶场。 Gauntlet1 在ida里面看一下。这三道Gauntlet都是一个类型的,漏洞都是一个格式化字符串+栈溢出。 那就很容易直接把shellcraft.sh()写道栈上,因为一开始给打印了背写区域的起始位置并且使可执行的栈,一溢出就会跳转到我们写的shellcraft上面执行。注意中间还要有个格式化字符串的额send,不要忘了,之前卡在这里好久啊。。。 exp from pwn import * context.
N1 CTF 2025 web 复现
最新发布
2301_79035389的博客
03-27 1420
在Linux里安装依赖遇到报错时,其实根本没必要到此ai或者搜,大多数时候它会给你解决方案,沉下心看看翻译跟着步骤走就解决了,包括脚本一定要在Linux环境里运行,window会报错,我用的是wsl,在window下开powshell后输wsl就可以了。看到这里调用了两次innerHTML进行html渲染,这里学到了一个新东西,html实体编码,即html的一些标签用其他的一些特定符号替换,那么浏览器在识别到这样的编码时,就不会将其当作html代码而渲染,将其还原为原本的惠html编码,举个例子。
2024 RSTCONCTF re 部分wp
wmr66的博客
09-16 492
Unknown Architect;Duke of the Kingdom;Keypad;Pico-Cypher
掌握Cookies对象基本知识
在当今的互联网环境中,Cookies对象是Web开发和浏览器使用中不可或缺的一个组成部分。Cookies通常用于存储用户信息,以便在浏览网站时提高用户体验。然而,由于其涉及隐私和安全问题,对Cookies对象的理解和合理使用...
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值