攻防世界web新手之cookie

最新推荐文章于 2025-05-13 20:38:19 发布

彬彬逊

最新推荐文章于 2025-05-13 20:38:19 发布

阅读量7.4k

点赞数 2

CC 4.0 BY-SA版权

分类专栏： ctf总结文章标签： ctf 攻防世界

本文链接：https://blog.youkuaiyun.com/qq_40481505/article/details/89408819

ctf总结专栏收录该内容

43 篇文章

订阅专栏

攻防世界web新手之cookie

背景知识cookie：HTTP cookie详解

打开题目链接，提示我们查看cookie，cookie是HTTP协议中的一个重要参数，（对HTTP协议不是很熟悉的friends可以看看这个“HTTP协议其实就是这么简单”）

查看cookie的方法有很多，可以通过浏览器查看，不过建议直接查看HTTP报头，以加深对HTTP协议的理解。

此处使用Burpsuit进行抓包，结果如下
在这里插入图片描述
发现cookie值提示访问cookie.php，于是进一步访问111.198.29.45:30216/cookie.php

得到提示查看response

在这里插入图片描述
得到flag

附Burpsuit安装教程burpsuite1.7 安装及简单介绍

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

彬彬逊

关注关注

2
点赞
踩
13

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

攻防世界 web cookie

Kni9hT's Blog

02-27

1882

终于用上Burp了，web题不可缺少之利器！我们启用kali来做这一题。直接打开网址，如下图所示：在URL后面加上/cookie.php，如下图所示：给的提示是"See the http response" 上Burp suite进行抓包。注意在抓包前要对浏览器进行如下设置（具体的Burp suite使用方法自行百度）打开burp suite，浏览器访问~/cookie.php,...

CTF-攻防世界web新手入门篇

weixin_45923850的博客

04-14

1万+

CTF练习题目

参与评论您还未登录，请先登录后发表或查看评论

web安全-cookie-攻防世界（详解）

最新发布

2303_80806493的博客

05-13

257

X老师告诉小宁他在cookie里放了东西，小宁误以为是夹心饼干。根据提示，通过浏览器开发者工具（F12）查看网络请求，发现一个set-cookie字段指向cookie.php。访问该页面后，提示查看HTTP响应包，最终在响应包中找到了flag：cyberpeace{de14d0d581ce671fea92d6ff4e140ffe}。

攻防世界(WEB) Cookie

qq_54929891的博客

08-23

3510

在打开这个题目的时候我查询了一下cookie是什么，英文单词是夹心饼干的意思 https://www.cnblogs.com/harrell/p/6697033.html 简单来说就是一个记事本，记录着你喜欢浏览的网页等打开题目并且习惯性F12 没有发现什么有价值的信息，想到这个题目提示是cookie，并且cookie是在http传输中的，因此用BurpSuite抓包试一下发现cookie那里提示我们去往/cookie.php下看一看根据提示叫我们去看一下http响应，在.

攻防世界 WEB 新手区（cookie）

qq_52634817的博客

12-13

527

cookie 题目描述：X老师告诉小宁他在cookie里放了些东西，小宁疑惑地想：‘这是夹心饼干的意思吗？’ 附件内容如下图：题目解析：cookie当然不能是片面的糖果的意思，百度搜索得出如下结果这次用处并不大。回到场景界面，果断F12查看源代码，又出现了Ctrl+R，我们再次按照这一方法进行尝试，选择220开头的文件点击，选择cookies得到如下由此可知，答案可能在cookie.php之中，所以在网址后输入该后缀又得到了新的提示再次在源代码中寻找线索，依旧选择220开头的文件，找到Header

攻防世界-WEB：cookie

wlw1275178332的博客

03-08

494

cookie:指某些网站为了辨别用户身份、进行session跟踪而储存在用户本地终端上的数据(通常经过加密)。直接对网页进行抓包能看见提示查看cookie.php 在URL后加上/cookie.php访问再次给了我们提示：查看http响应对网页再次抓包，这次加上Response to this request Do intercept下Response to this request功能可用于对服务端发送过来的信息做修改来欺骗浏览器。

Cookie 攻防世界

天天学安全专属博客

04-07

4334

Cookie 攻防世界

攻防世界web新手题答案_攻防世界web 新手区 wp

weixin_39518840的博客

11-21

3078

view_source题目描述右击不管用，打开题目看到以下界面右击不管用，可以按F12 -> source 查看源代码，拿到flagrobots题目描述就是和robots协议有关的，直接在url中输入robots.txt 查看 robots协议，并拿到flagrobots协议robots.txt文件是一个文本文件，使用任何一个常见的文本编辑器，比如Windows系统自带的Note...

攻防世界Web新手区部分解

weixin_51334923的博客

10-20

687

好，鸽了这么旧，学业繁忙的我就出一篇简单的攻防世界Web新手区的WriteUp吧，顺带作为自己的复习笔记。攻防世界 (xctf.org.cn) 转存失败重新上传取消攻防世界，一大CTFers的网站，上面有在线靶场以及竞赛等资源，推荐初学者上去学习。我们今天看一下Web新手区的一些WP吧！ 1.view_source 基础的第一关，却是后面无数关的基础。作为一个Web手，查看网页源代码是必须会的一件事情！！点进网页一看： flag不在这里，那应该在源代码里。

攻防世界WEB新手区

qq_38969294的博客

03-23

1763

攻防世界WEB新手区 1、view-source 点击获取在线场景进入场景这个时候联想到题目的名称view_source 是不是暗示我们查看源代码呢按下F12 可以看到右边HTML代码中用注释的部分就是flag了。 CTF flag一般都被表示为 flag{xxx} / cyberpeace{xxx} 下面介绍另外一种解题方法在地址栏中输入view-source: 一样也可以获...

攻防世界之WEB新手练习区（更新至11）

热门推荐

HHH's Blogs

08-09

1万+

001 view_source

攻防世界web新手区解题 /cookie / disabled_button / weak_auth

weixin_45694388的博客

07-22

516

cookie 题目描述：X老师告诉小宁他在cookie里放了些东西，小宁疑惑地想：‘这是夹心饼干的意思吗？’ 使用burp suite抓包查看

攻防世界cookie

2302_78972359的博客

05-04

440

当用户再次访问同一网站时，浏览器会将 Cookie 发送到服务器，通过 Cookie 中的数据，服务器可以识别用户并执行相应的操作。Cookie 主要用于在网站和浏览器之间传递数据，以便网站可以根据用户的偏好、行为和状态进行个性化的处理。它由网站通过用户的浏览器在用户访问网站时创建，并存储一些用于跟踪和识别用户的信息。用户可以通过浏览器的设置来管理和控制 Cookie。尽管 Cookie 在提供个性化和便利的同时具有一定的风险，但通过适当的安全措施来管理和使用 Cookie，可以确保用户数据的隐私和安全。

【攻防世界】cookie

Bing_Geng的博客

11-13

337

难度：1 方向：web 考察内容：cookie的查看

攻防世界---＞cookie

shdbehdvd的博客

09-25

553

【题外话，在我最开始的时候，很迷茫，最先接触的是misc其次web方面。下过许多web、misc工具，也接触过sql注入、XSS漏洞、misc隐写术、伪加密等，不过感觉学的很杂、很乱，不知道怎么入手。最终转而去学习了汇编、C、CPP、win32等关于逆向的。如今在回来学习web，至少没有最初那样迷茫，也很好。因为是cookie，且是web网页，那么可以考虑直接用bp去进行抓包：(用内嵌的浏览器就好，不用配置代理、不然配置什么代理，很麻烦，虽说可以用Firefox的FoxyProxy不过我不习惯。

六、攻防世界-cookie

pcmbyn的博客

03-21

1840

上的 Cookie。在这个文件夹里每一个文件都是一个由“名/值”对组成的文本文件,另外还有一个文件保存有所有对应的 Web 站点的信息。在这里的每个 Cookie 文件都是一个简单而又普通的文本文件。透过文件名, 就可以看到是哪个 Web 站点在机器上放置了Cookie(当然站点信息在文件里也有保存)。所谓“cookie”数据是指某些网站为了辨别用户身份，储存在用户本地终端上的数据（通常经过加密），由用户客户端计算机暂时或永久保存的信息。, 然后以 Cookie 文件的形式保存在每个用户的机器上。

攻防世界题目cookie

qq_53030229的博客

12-23

387

攻防世界题目cookie 首先，我们要先了解cookie是什么然后再让我们回到题目通过题目的提示，我们就能够联系到cookie的文件，然后联系最后通过shift+Ctrl+i此文章借用许多相关事务，如有冒犯，请通知一下。 ...

攻防世界web新手题backup

03-27

<think>好的，我现在需要解决用户在攻防世界Web新手题中关于“backup”的解题思路或资源的问题。首先，我需要回忆一下相关的CTF题目解题方法，尤其是备份文件相关的常见技巧。用户提到的题目可能涉及备份文件，比如常见的备份文件后缀名有.bak、.swp、.swo等。通常在Web题目中，访问这些备份文件可能会得到源码或其他关键信息，从而找到flag。根据引用[1]，在攻防世界练习区的第12题中，通过备份文件得到了flag。例如，访问index.php的备份文件index.php.bak，下载后分析源码可能发现flag。另外，引用[2]中提到查看网页源代码的方法，虽然题目不同，但思路类似，可能需要查看备份文件的源代码。接下来，我应该整理解题步骤。首先，尝试常见的备份文件路径，比如在URL后添加.bak，或者检查是否有备份文件被遗留。然后，下载备份文件并分析内容，查找flag的位置。同时，可能涉及到使用工具如curl或wget来获取文件，或者直接浏览器访问。需要确认用户提到的backup题目具体是哪一个，但一般来说，备份文件相关的解题步骤比较通用。可能还需要注意文件名的大小写，或者尝试不同的备份后缀，如~、.tar.gz等。最后，要确保回答符合用户的要求，结构清晰，并且引用提供的参考资料。还要生成相关问题，帮助用户进一步学习。</think>### 攻防世界 Web 新手题 "backup" 解题思路在CTF题目中，“backup”通常指通过网站备份文件（如`.bak`、`.swp`等）获取敏感信息或源码，进而发现flag。以下是常见的解题步骤： #### 1. **备份文件探测** - **常见备份文件名**：尝试在目标URL后添加备份文件后缀，例如： - 若题目页面为`index.php`，尝试访问`index.php.bak`、`index.php~`、`index.php.swp`等[^1]。 - 若题目涉及文件下载功能，可尝试路径遍历漏洞（如`download.php?file=../../backup.sql`）。 #### 2. **下载并分析备份文件** - **直接访问**：若备份文件存在，浏览器可能直接下载或显示源码。例如，访问`http://example.com/index.php.bak`，若返回文件内容，则用文本编辑器查看。 - **代码审计**：在备份文件中搜索关键字如`flag`、`cyberpeace{`或敏感函数（如`exec()`、`system()`），定位flag逻辑。 #### 3. **工具辅助** - **目录扫描工具**：使用`DirBuster`、`gobuster`等工具扫描网站目录，寻找备份文件。 ```bash gobuster dir -u http://example.com -w /usr/share/wordlists/common.txt -x bak,swp,php~ ``` - **手动验证**：结合题目提示（如页面注释、报错信息）缩小文件范围。 #### 4. **实战示例** 根据引用[1]，在攻防世界某题中，通过访问`index.php.bak`下载备份文件，发现flag直接硬编码在源码中： ```php <?php $flag = "cyberpeace{cfd7a84acc3b0314e85b47a2af6987fd}"; ?> ``` ---