概述
HackTheBox 网站CTF靶场Web相关题目baby auth,题目地址https://app.hackthebox.com/challenges/baby-auth,主要漏洞利用点为不安全的cookie。
题目
题目概述
开启程序实例后,提示访问138.68.161.230:31594
访问http://138.68.161.230:31594跳转到http://138.68.161.230:31594/login
题目解法
通过注册功能,注册新用户1:1
,以1:1
登陆后显示
查看burp得到Cookie: PHPSESSID=eyJ1c2VybmFtZSI6IjEifQ%3D%3D
base64解码后得到
修改为{"username":"admin"}
,编码得到eyJ1c2VybmFtZSI6ImFkbWluIn0%3D
,修改cookie
刷新页面得到flag