使用 Web 代理(提交报告)
1、实验目标
(1) 理解 HTTP 协议
(2) 掌握 BurpSuite 工具使用
实验内容
① 结合使用 BurpSuite 完成 PioCTF-2021 真题“Cookies”
进入网站,使用开发者工具查看网页源代码和cookie,发现cookie的值为-1
打开burp suite中内置的浏览器,将url输入进去,可以查看到访问记录,
将访问申请发到repeater里面,然后试着修改其中cookie的值,比如说’1’
点击send
后查看服务器响应结果,可以得知输出结果在url/check
目录下可视
于是在捕获内容中查看/check
的内容,发现值并不正确。但是我们可以挨个调试
一直到试到18的时候,发现在服务器回应中终于输出了flag的字符串
② 结合使用 BurpSuite 完成 PioCTF-2022 真题“Power Cookie”
进入网站,使用开发者工具查看网页源代码和cookie,发现cookie的值为isAdmin = 0
若要获得管理员权限,我们需要将其中的0,改为1
刷新界面。。。得到flag
③ 结合使用 BurpSuite 完成 PioCTF-2022 真题“Most Cookies”
下载python文件并打开,下载并安装所需要的框架flask-unsign
阅读代码文件,得知,cookie的解码字典为cookie_names
的一个列表,将列表单独复制出来形成一个.txt
文件,并处理好其中的内部结构
在网页中f12
查看cookie的加密后的值
打开电脑中的windows powershell
,运行命令,将cookie的明文解密出来
然后在网页中将密文替代,并保存,刷新界面,得到flag