CTFHub | Cookie

最新推荐文章于 2024-06-06 13:35:40 发布
最新推荐文章于 2024-06-06 13:35:40 发布
阅读量2.3k 收藏 11
点赞数 7
分类专栏: CTF精进之路 文章标签: 安全 http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51191308/article/details/127104189
版权

0x00 前言

        CTFHub 专注网络安全、信息安全、白帽子技术的在线学习,实训平台。提供优质的赛事及学习服务,拥有完善的题目环境及配套 writeup ,降低 CTF 学习入门门槛,快速帮助选手成长,跟随主流比赛潮流。

        

        

0x01 题目描述

Cookie

        Cookie欺骗、认证、伪造

网页显示内容

        访客你好,只有管理员才能获得标志

        

        

0x02 解题过程

        根据题目描述内容,这是一道关于浏览器 Cookie 的问题。网页提示只有管理员才能获得flag,那么可以通过修改 Cookie 值,将 0(False) 改为 1(True) 获得此题 flag 。

        

1.Web控制台修改

打开开发者工具并选择控制台,修改管理员 admin 的 Cookie 值为 1(True)

document.cookie        #查看cookie
document.cookie = 'admin=1';

         

刷新浏览器网页,得到此题flag

F5        #刷新浏览器快捷键

        

        

2.存储探查器修改

打开开发者工具并选择存储,列表选择Cookie存储,修改admin值0为1

         

刷新浏览器网页,得到此题flag

F5        #刷新浏览器快捷键

        

        

3.Burp suite工具修改

打开Burpsuite开启抓包,先放行再刷新网页查看Cookie并修改0为1

 放行网页得到此题flag

        

        

0x03 HTTP Cookie

1.HTTP Cookie

        HTTP Cookie 又称饼干 ,是服务器发送给用户浏览器并保存在本地的一个数据,如果下一次访问浏览器向服务器发送请求时就会被传送到服务器中。经常用于浏览器网页保持登录或记录数值,例如账户密码、用户行为需求等。

HTTP Cookie 请求过程示意图

        

2.Cookie 生命周期

        Cookie 有会话期 Cookie 和持久性 Cookie 两种,会话期会在浏览器关闭之后自动销毁,而持久性的 Cookie 生命周期会根据设定的有效期对数据进行保存,超过有效期将无法使用 Cookie 。注意,设定 Cookie 的有效期时间根据客户端来计算,而不是服务端。

        

        

0x04 参考文献

[1].mdn web docs. Using HTTP cookies[EB/OL]. [2022-09-29]. https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookies#security.

[2].shiyan. 浅谈cookie安全[EB/OL]. [2022-09-29]. https://zhuanlan.zhihu.com/p/58666986.

         

         

0x05 总结

文章内容为学习记录的笔记,由于作者水平有限,文中若有错误与不足欢迎留言,便于及时更正。

尼泊罗河伯
关注
  • 7
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CTFHUB-WEB前置技能-HTTP协议-Cookie
K_ShenH的博客
06-09 772
CTFHUB-WEB前置技能-HTTP协议-Cookie
js简单设置与使用cookie的方法
11-29
本文实例讲述了js简单设置与使用cookie的方法。分享给大家供大家参考,具体如下: 一、js设置cookie的用处 php可以设置cookie的,用js来设置cookie有什么好处呢?在前端进行操作时,有的时候要传很多参数,这个时候...
ctf-攻防世界-web:cookie
一只菜鸟的博客
11-01 4094
提示在cookie里放了东西,那么就去查看cookie吧。F12打开开发者工具,在储存里有名为look-here,值为cookie.php的cookie 访问cookie.php,提示See the http response,即查看http返回包。 在开发者工具的网络一栏查看cookie.php,即可发现flag 或者用burp抓包,右键send to repeater 可查看返回包的headers发现flag ...
CTFHub:web前置技能-HTTP协议-Cookie
最新发布
wdnmddbl的博客
06-06 342
路漫漫其修远兮,吾将上下而求索。本文涉及以下知识点,去引用文章学习即可:Cookie是什么:cookie的中文翻译是曲奇,小甜饼的意思。cookie其实就是一些数据信息,类型为“小型文本文件”,存储于电脑上的文本文件中。Cookie有什么用:我们想象一个场景,当我们打开一个网站时,如果这个网站我们曾经登录过,那么当我们再次打开网站时,发现就不需要再次登录了,而是直接进入了首页。例如bilibili,csdn等网站。
Burpsuite测试中的小技巧-1
Aevery的博客
05-21 3105
日常测试中我们经常使用burpsuite去替换高低权限的Cookie值去测越权漏洞,手动替换Cookie在测试系统功能模块较多时比较繁琐和容易出错,可以使用burpsuite的intrude模块去实现自动替换我们鼠标所点击请求中的Cookie值,如果返回正常则存在越权(先获取低权限的Cookie值,我们鼠标去正常点击高权限账号所拥有的功能模块)。 ...
burpsuite渗透测试一
antyuki的博客
07-04 388
保姆级安装破解:https://blog.csdn.net/weixin_54438700/article/details/131297315。保姆级抓包:https://zhuanlan.zhihu.com/p/411437957。这里可以修改入参,或者cookie进行验证。模拟爆破攻击,有四种攻击类型。未完待续,待补充-----
CTFweb篇-Cookies欺骗
热门推荐
weixin_44597701的博客
08-06 1万+
什么是cookie 其实cookies是由网络服务器存储在你电脑硬盘上的一个txt类型的小文件,它和你的网络浏览行为有关,所以存储在你电脑上的cookies就好像你的一张身份证,你电脑上的cookies和其他电脑上的cookies是不一样的;cookies不能被视作代码执行,也不能成为病毒,所以它对你基本无害。 cookie可以在报文头的前面进行设置。 例题: 打开是一连串字母,没有用处 于是从URL入手,http://123.206.87.240:8002/web11/index.php?line=&a
“黑客”入门学习之“Cookie技术详解”
Y525698136的博客
06-10 1883
今天就以本篇文章详细给大家介绍一下Cookie是什么?Cookie基本原理与实现?Cookie到底存在哪些安全隐患,我们该如何防御,有没有其他技术替代方案?
Python库 | cookiemanager-0.3.tar.gz
05-13
资源分类:Python库 所属语言:Python 资源全名:cookiemanager-0.3.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
cookie实现自动登入
10-10
在互联网应用中,实现用户自动登录功能通常会利用Cookie这一技术。Cookie是由服务器发送到用户的浏览器并存储在本地的一小块数据,它包含了用户的一些关键信息,如用户名、登录状态等,以便下次用户访问时,服务器能...
易语言cookie管理
08-20
易语言cookie管理系统结构:存COOKIES,读COOKIES, ======窗口程序集1 || ||------__启动窗口_创建完毕 || ||------存COOKIES || ||------读COOKIES
jquery.cookie.js
09-03
引入JS文件操作cookie更加便捷,可以直接 $.cookie获取和设置cookie对象
CTFHub - Cookie注入
Have_a_great_day的博客
09-10 798
因为在CTFHub中web内SQL板块使用的是同一个数据库,所以列数是相同的。table_name='gzuhxxtsjy' :选择表名为【gzuhxxtsjy】的表的数据。table_schema=database() :选择当前连接的数据库(sqli)中的所有表。可以发现此处没有【flag】表,取而代之的是【gzuhxxtsjy】,查看该表中的列名。Cookie注入则是一种特定的SQL注入形式,它利用了应用程序中使用的Cookie来进行攻击。【news】表一直都存在,所以第一想法先不考虑此表中的内容。
ctfhub-HTTP协议-Cookie
m0_62094846的博客
11-06 661
这是道cookie题,又说要admin才能得到flag,应该是要伪造cookie,抓包 一开始我以为admin后面要写用户名或者密码啥的,然后就爆破,一直爆不出来 ,然后把0改成1,就可以出来flag 我在网上查时,cookie的一行应该为一条数据。也就是说这条数据的“名字”叫做admin,其值为0,改成就可以出来,但我用2,又不行了。 Cookie组成: Cookie是一段不超过4KB的小型文本数据,由一个名称(Name)、一个值(Value)和其它几个用于控制Cook...
学习记录 3 —— CTFHub Cookie
m0_56200845的博客
10-29 730
题目如上。 审题:Cookie欺骗、认证、伪造。这道题涉及到cookie的相关知识。 相关知识: Cookie简单来说就类似于现实生活中身份证这类东西,用于认证登录者的。 其产生原因与原理:HTTP 是无状态协议,它不对之前发生过的请求和响应的状态进行管理。也就是说, 无法根据之前的状态进行本次的请求处理。假设要求登录认证的 Web 页面本身无法进行状态的管理(不记录已登录的状态),那么每次跳转新页面不是要再次登录,就是要在每次请求报文中附加参数来管理登录状态。不可否认,无状态协议当然也有它的...
CTFHUB-技能树-Web前置技能-Cookie
Static______的博客
03-26 495
跟踪:购物网站使用 Cookie 来跟踪用户以前查看过的商品,使网站能够向用户推荐他们可能喜欢的其他商品,并在用户继续在网站其他部分购物时保留购物车中的商品。Cookie 存储在您的设备本地,以释放网站服务器的存储空间。您可能会查看网站的某些项目或部分内容,Cookie 使用此数据帮助制作您可能喜欢的定向广告。会话管理:例如,Cookie 使网站能够识别用户并记住他们的个人登录信息和偏好,例如体育新闻与政治。域名下的Cookie 值一般来说是最大是 4KB,存储是以 Name=Value 的形式。
CTFHub | Cookie注入,UA注入,Refer注入,过滤空格(利用hackbar插件)
qq_73861475的博客
11-18 984
User-Agent 首部包含了一个特征字符串,用来让网络协议的对端来识别发起请求的用户代理软件的应用类型、操作系统、软件开发商以及版本号。一些网站会把用户的 UA 首部信息写入数据库,用来收集和统计用户信息,如果操作不当就有可能会导致 UA 注入。【超详细版】学习SQL注入看这篇就够了(原理及思路绕过)_sql注入教程_网络安全-李彦暗的博客-CSDN博客1、界面能够回显数据库查询到的数据(必要条件);2、界面回显内容至少能够显示数据库中的某列数据(必要条件);
CTF之web——cookie
weixin_61167540的博客
11-23 1734
在cmd中输入:curl -i http://challenge-5460ffbe35aa75a0.sandbox.ctfhub.com:10800/ --cookie "admin=1"这里之所以设置cookie为admin=1,是因为上图中看到网页的请求头里admin=0,也就是设置的不是admin用户去访问的,改成1就好啦。cookie是存储再客户端上的一小段数据,浏览器(即客户端)通过HTTP协议和服务器端进行cookie交互,通常用来存储一些不敏感信息。
CTFHub技能树HTTP协议——Cookie
qq_53768302的博客
03-07 234
CTFHub技能树HTTP协议——Cookie
CTF学习之0基础入门笔记(二)
Queen_is_king的博客
07-11 1608
这一节需要花费记得东西多一点,并且主要是靶场的搭建,本人在搭建靶场过程中,主要用虚拟机,下面介绍了四种靶场,并在虚拟机上应用的方法,后续会继续讲怎么用这几种靶场。HTTP 协议(Hypertext Transfer Protocol,超文本传输协议),是一个客户端请求和响应的标准协议,这个协议详细规定了浏览器和万维网服务器之间互相通信的规则。用户输入地址和端口号之后就可以从服务器上取得所需要的网页信息。通俗来讲,HTTP协议作用的大致如下:所有HTTP消息(请求与响应)中都包含一个或者几个单行现实的消息头,

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

尼泊罗河伯

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值