西工大网安基础训练web部分之cookie

最新推荐文章于 2024-06-14 11:01:38 发布
最新推荐文章于 2024-06-14 11:01:38 发布
阅读量336 收藏 7
点赞数 3
分类专栏: 西工大网安上机实验 文章标签: 前端 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2201_75411040/article/details/138257587
版权

使用 Web 代理(提交报告)

1、实验目标

(1) 理解 HTTP 协议

(2) 掌握 BurpSuite 工具使用

实验内容

① 结合使用 BurpSuite 完成 PioCTF-2021 真题“Cookies”

进入网站,使用开发者工具查看网页源代码和cookie,发现cookie的值为-1
在这里插入图片描述

打开burp suite中内置的浏览器,将url输入进去,可以查看到访问记录,
在这里插入图片描述

将访问申请发到repeater里面,然后试着修改其中cookie的值,比如说’1’

在这里插入图片描述

在这里插入图片描述

点击send后查看服务器响应结果,可以得知输出结果在url/check目录下可视

于是在捕获内容中查看/check的内容,发现值并不正确。但是我们可以挨个调试

在这里插入图片描述

在这里插入图片描述

一直到试到18的时候,发现在服务器回应中终于输出了flag的字符串

在这里插入图片描述

在这里插入图片描述

② 结合使用 BurpSuite 完成 PioCTF-2022 真题“Power Cookie”

进入网站,使用开发者工具查看网页源代码和cookie,发现cookie的值为isAdmin = 0

若要获得管理员权限,我们需要将其中的0,改为1

在这里插入图片描述

刷新界面。。。得到flag

在这里插入图片描述

③ 结合使用 BurpSuite 完成 PioCTF-2022 真题“Most Cookies”

下载python文件并打开,下载并安装所需要的框架flask-unsign

阅读代码文件,得知,cookie的解码字典为cookie_names的一个列表,将列表单独复制出来形成一个.txt文件,并处理好其中的内部结构

在这里插入图片描述

在这里插入图片描述

在网页中f12查看cookie的加密后的值

在这里插入图片描述

打开电脑中的windows powershell,运行命令,将cookie的明文解密出来

在这里插入图片描述

然后在网页中将密文替代,并保存,刷新界面,得到flag

在这里插入图片描述

Chuwing_Lim
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2021-08-30 网安实验-WEB专题-后台
时光隧道
08-30 4万+
页面上可以点击的只有一个按钮 点击之后出来一句话提示:Only Member with Admin rights is allow to enter,只有管理员权限的成员才能进入。 我们直接用brupsuit抓包,看看数据包的发送情况 看到返回的数据包中设置了cookie值,Member的值经过了base64加密,直接用brupsuit的decoder模块解一下 接下来就简单了,根据之前的提示,我们把Admin进行base64加密,得到QWRtaW4=,构造这样一个请求包,发送。 稳稳的得到fla
Java Web学习之Cookie和Session的深入理解
08-27
主要给大家介绍了关于Java Web学习之Cookie和Session的相关资料,需要的朋友可以参考下
JAVA WEBcookie
fyk的博客
07-04 2992
java中,把cookie封装成了javax.servlet.http.Cookie类。每个Cookie都是该类的对象。服务器通过操作cookie类对象向客户端Cookie进行操作。 通过request.getCookie()获得客户端提交的所有Cookie(以数组的形式返回); 通过response.addCookie(Cookie cookie)向客户端设置CookieCookie具...
Web笔记-session及cookie
IT1995的博客
02-13 4720
此博文笔记并不全(对于像本人这样开发经验不足的已经够了),只是记录了本人目前对session和cookie的理解,以及在开发时,应该注意些什么。 首先看下两个概念: session:对象存储特定用户会话所需的属性及配置信息。 session是服务器如何产生的? 当访问服务器否个网页的时候,会在服务器端的内存里开辟一块内存,这块内存就叫做session,而这个内存是跟浏览器关联在...
网络安全CTFWeb基础
晓梦林的博客
09-21 7028
Web类的考试,在CTF比赛中十分常见。本人从计算机专业转网络安全发展,属于半路出家,一知半解,如有总结不到位的地方,欢迎交流分享。
【网络安全】XSS之Cookie外带攻击姿势及例题详析
等风来
05-19 6985
XSS 的 Cookie 外带攻击就是一种针对 Web 应用程序中的 XSS(跨站脚本攻击)漏洞进行的攻击,攻击者通过在 XSS 攻击中注入恶意脚本,从而窃取用户的 Cookie 信息。攻击者通常会利用已经存在的 XSS 漏洞,在受害者的浏览器上注入恶意代码,并将受害者的 Cookie 数据上传到攻击者控制的服务器上,然后攻击者就可以使用该 Cookie 来冒充受害者,执行一些恶意操作,例如盗取用户的账户信息、发起钓鱼攻击等。
web前端怎么获取cookie?新手前端开发者需了解
xiaoxijinger的博客
03-29 2850
前端开发中有些情况下需要获取用户的cookies,这样当用户下次登录网站的时候就不需要重复的去调整功能,那么你知道如何去实现吗? 先放一段完整的JS代码,后面都有功能备注,大家可以自己先看一下。 下面再介绍一下cookies的设置和获取方式,帮助新手前端开发者了解和使用 1.设置cookie的方法为:cookie.set(key,val,time) key可以理解为cookie的变量名 val可以理解为这个cookie所带有的值 time是cookie的超时时间,单位为天 2.获取cookie的方法为:
web存储详解(cookie、sessionStorage、localStorage、indexedDB)
夕山雨的博客
03-01 4879
目录一、web存储概念简介1. 什么是web存储?2. 为什么需要web存储?二、web存储详解1. cookie2. sessionStorage和localStorage(1). 相同点(2). 不同点3. indexedDB三、前端存储与后端存储的关系 一、web存储概念简介 1. 什么是web存储? web存储指的是在web通信过程中,由客户端(如浏览器)对少量数据进行的本地存储(注:本文...
asp.net 之Cookie的“Value”=“xxxxxxxxxx”部分无效解决方法
ydm东方旭日的专栏
04-24 3849
今天做公司项目模拟一个网站数据提交时,老是显示提交失败,单步调试发现是报了Cookie的异常: Cookie的“Value”=“hyloginstate=success, &hybh=J15010710453125&hyqq=”部分无效。 既然是提示Values值部分无效,解决方向就可以大致确定了。我首先是拿到了对方真实网站上的Cookie数据信息。user Cookie的Value如下:
CTFHub-web(cookie注入)
m0_64444909的博客
04-11 5071
文章目录前言一、解题步骤二、使用步骤1.引入库2.读入数据总结 前言 一、解题步骤 (1)题目为cookie注入,我们首先先看一下cookie里的值有没有什么可以帮助我们思考的东西,id=i,很明显存在sql注入 (2)我们抓包来一步步的进行注入会更方便一些 1.我们用order by 语句来排序查询数据库有几行 (1,2都可以回显,直到3时无法回显,说明数据库有两行) id=1 order by 3; 2.接下来用联合查询语句union select语句来注入,从而判断显示位 (回显Data:2 正常)
JavaScript学习教程之cookiewebstorage
10-16
主要给大家介绍了关于JavaScript学习教程之cookiewebstorage的相关资料,文中通过示例代码介绍的非常详细,对大家学习或者使用JavaScript具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
Python Web框架之Django框架cookie和session用法分析
01-20
本文实例讲述了Python Web框架之Django框架cookie和session用法。分享给大家供大家参考,具体如下: part 1 概念 在Django里面,cookie和session都记录了客户端的某种状态,用来跟踪用户访问网站的整个回话。 两者...
web技术之cookie讲解
08-31
这是我见过的讲cookie讲得最好的课程了,对cookie不太了解的朋友可以拿去,从此不再对cookie陌生。
JS中一个dom元素能绑定多少事件
ggq53219的博客
06-10 564
在JavaScript中,一个DOM元素可以绑定的事件数量并没有明确的限制,这主要取决于浏览器的实现和内存限制。然而,在实际应用中,为同一个DOM元素绑定过多的事件监听器可能会导致性能问题,尤其是在事件处理函数执行复杂操作的情况下。总之,虽然JavaScript中DOM元素可以绑定的事件数量没有明确的限制,但在实际应用中应注意避免过度绑定和优化事件处理函数,以确保良好的性能和用户体验。
Web前端网站设计案例:深入剖析创意与技术的完美融合
liyrbtqe_66w的博客
06-12 294
在性能优化方面,设计师通过压缩代码、减少HTTP请求、使用CDN等技术手段,提升了网站的加载速度和响应性能,为用户提供了更加流畅的访问体验。综上所述,本Web前端网站设计案例通过视觉设计、用户体验、技术实现、性能优化、创意表达、响应式设计和跨平台兼容等方面的综合考量,成功打造了一款既美观又实用的网站。这个案例充分展示了Web前端设计的魅力和潜力,为未来的网站设计提供了有益的借鉴和启示。设计师通过独特的视觉元素和创意构思,将品牌理念和文化内涵融入其中,使得整个网站在传达信息的同时,也展现出品牌的独特魅力。
HTML入门教程:深度解析HTML,开启你的前端技术之旅
最新发布
zhangwenok的博客
06-14 1270
HTML(HyperText Markup Language,超文本标记语言)是前端开发的基础,它负责构建网页的结构和内容。作为前端技术栈的基石,HTML的掌握程度直接影响到网页的开发效率和用户体验。本教程将带你从零开始,逐步深入了解HTML的各个方面,帮助你打下坚实的前端技术基础。HTML是一种用于创建网页的标准标记语言,它通过一系列的元素(elements)和标签(tags)来定义网页的结构和内容。HTML文档由一系列的元素组成,这些元素通过标签来标识。
Harmony 开发的艺术 面向对象
不懂先生的博客
06-13 1063
然后你可以创建多个子类,如“圆形”、“矩形”和“三角形”,它们都继承自“形状”类并实现了自己的“绘制”方法。尽管每个对象的类型可能不同(圆形、矩形、三角形等),但由于它们都继承了“形状”类并实现了相同的“绘制”方法,因此你可以通过父类引用来统一调用它们的方法。然后你可以创建一个“狗”类,它继承自“动物”类,并添加或覆盖一些特定的属性和方法(如“叫”和“摇尾巴”)。所以面向对象的三大特征(封装、继承、多态)在java语言中很容易实现的设计,搬到早期的JavaScript中,就变噩梦一样的存在。
web编程cookie
06-07
好的,你想了解关于 web 编程中的 cookie。 在 web 编程中,cookie 是一种存储在客户端浏览器中的小型数据文件。它们通常用于存储用户的偏好设置、登录状态、购物车内容等信息。当用户访问网站时,服务器会将 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值