Cookie 攻防世界

已于 2022-04-14 17:02:10 修改
阅读量4.2k 收藏 6
点赞数 4
分类专栏: CTF 文章标签: web安全 安全
于 2022-04-07 11:23:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53568983/article/details/124009863
版权

1.第一步还是看题:

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5LuK5aSp5LiN5a2m5Lmg77yM5piO5aSp5Y-Y6IWK6bih,size_20,color_FFFFFF,t_70,g_se,x_16

由题目信息我们可以知道,这次题目和Cookie有关

2. 进入题目进行分析:

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5LuK5aSp5LiN5a2m5Lmg77yM5piO5aSp5Y-Y6IWK6bih,size_20,color_FFFFFF,t_70,g_se,x_16

 题目问我们知道什么是Cookie,Cookie:(比如说你进入一个网站,输入你的密码和用户名,客户端就会把你的信息传递给服务器,传递信息(用户名,密码)的载体就是Cookie,request就是一串数据,其中就会包括Cookie等信息,服务器接收request信息后,就会给客户端发送response应答(密码正确还是错误))

Request 和 Response 对象起到了服务器与客户机之间的信息传递作用。
Request 对象用于接收客户端浏览器提交的数据,
Response 对象的功能则是将服务器端的数据发送到客户端浏览器。
比如说你进入一个网站,输入你的密码和用户名,客户端就会把你的信息传递给服务器,传递信息(用户名,密码)的载体就是Cookie,request就是一串数据,其中就会包括Cookie等信息,服务器接收request信息后,就会给客户端发送response应答(密码正确还是错误)

response:(一般有服务器名称)
Connection: Keep-Alive
Content-Encoding: gzip
Content-Length: 253
Content-Type: text/html
Date: Thu, 07 Apr 2022 03:06:36 GMT
flag: cyberpeace{b96c80999a82b4f8eb5b2241cabde6b8}
Keep-Alive: timeout=5, max=99
Server: Apache/2.4.7 (Ubuntu)
Vary: Accept-Encoding
X-Powered-By: PHP/5.5.9-1ubuntu4.26

request:
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Cache-Control: max-age=0
Connection: keep-alive
Cookie: look-here=cookie.php
Host: 111.200.241.244:50280
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Linux; Android 6.0; Nexus 5 Build/MRA58N) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.60 Mobile Safari/537.36 Edg/100.0.1185.29

然后我们查看Cookie:

按f12,再按照如下图所示:(在控制台输入alert(document.cookie))

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5LuK5aSp5LiN5a2m5Lmg77yM5piO5aSp5Y-Y6IWK6bih,size_20,color_FFFFFF,t_70,g_se,x_16

 cookie放在cookie.php文件中:(进入文件:网址加\cookie)

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5LuK5aSp5LiN5a2m5Lmg77yM5piO5aSp5Y-Y6IWK6bih,size_20,color_FFFFFF,t_70,g_se,x_16

 题目要我们看http response:

按如下图所示进行操作:

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5LuK5aSp5LiN5a2m5Lmg77yM5piO5aSp5Y-Y6IWK6bih,size_20,color_FFFFFF,t_70,g_se,x_16

最后看到flag 

 

三年之约-第一年
关注
专栏目录
【网络安全 | CTF】攻防世界 cookie 解题详析
等风来
05-20 5012
使用Burp Suite抓包可以更全面地查看HTTP响应及其它与网络通信相关的信息,具体操作本文不再赘述。题目描述:X老师告诉小宁他在cookie里放了些东西,小宁疑惑地想:这是夹心饼干的意思吗?HTTP响应通常可以在浏览器的开发者工具中找到。根据提示,获取页面Cookie中的数据即可。如图,flag存在于。
攻防世界 web高手进阶区 10分题 xss1
闵行小鱼塘
11-10 759
继续ctf的旅程,开始攻防世界web高手进阶区的10分题,本文是xss1的writeup
攻防世界 web cookie
Kni9hT's Blog
02-27 1778
终于用上Burp了,web题不可缺少之利器! 我们启用kali来做这一题。直接打开网址,如下图所示: 在URL后面加上/cookie.php,如下图所示: 给的提示是"See the http response" 上Burp suite进行抓包。 注意在抓包前要对浏览器进行如下设置(具体的Burp suite使用方法自行百度) 打开burp suite,浏览器访问~/cookie.php,...
攻防世界 cookie
zhongjl666的博客
09-30 986
攻防世界 cookie
攻防世界-web引导模式-难度:1-cookie详细解答
2301_79794812的博客
09-12 333
1.正常来说,cookie会在每个浏览器的-》检查(右键)--》网络(然后点重新加载)--》点击网站--》点cookie(本题点cookie会显示一个php文件cookie.php)-->url+/cookie.php--》显示让你去看响应头,还是在检查页面,得到flag。
攻防世界(WEB) Cookie
qq_54929891的博客
08-23 2526
在打开这个题目的时候我查询了一下cookie是什么,英文单词是夹心饼干的意思 https://www.cnblogs.com/harrell/p/6697033.html 简单来说就是一个记事本,记录着你喜欢浏览的网页等 打开题目并且习惯性F12 没有发现什么有价值的信息,想到这个题目提示是cookie,并且cookie是在http传输中的,因此用BurpSuite抓包试一下 发现cookie那里提示我们去往/cookie.php下看一看 根据提示叫我们去看一下http响应,在.
六、攻防世界-cookie
pcmbyn的博客
03-21 1531
上的 Cookie。在这个文件夹里每一个文件都是一个由“名/值”对组成的文本文件,另外还有一个文件保存有所有对应的 Web 站点的信息。在这里的每个 Cookie 文件都是一个简单而又普通的文本文件。透过文件名, 就可以看到是哪个 Web 站点在机器上放置了Cookie(当然站点信息在文件里也有保存)。所谓“cookie”数据是指某些网站为了辨别用户身份,储存在用户本地终端上的数据(通常经过加密),由用户客户端计算机暂时或永久保存的信息。, 然后以 Cookie 文件的形式保存在每个用户的机器上。
攻防世界cookie
Bing_Geng的博客
11-13 200
难度:1 方向:web 考察内容:cookie的查看
攻防世界cookie
07-29
回答: 在攻防世界中,"cookie"是指某些网站为了辨别用户身份、进行Session跟踪而储存在用户本地终端上的数据。它通常是以文本文件的形式保存在用户的机器上,可以通过浏览器访问硬盘上的Cookie文件夹来查看。每个...
攻防世界web
热门推荐
kid的博客
05-23 2万+
攻防世界web 前言 准备ctf比赛,这里把攻防世界分值低于5分的基本刷了一遍(分值再高刷不动了…) 练习 view_source 没难度知识禁用了右键点击,ctrl+u查看源码拿到flag get_post 这题没什么好说的,按着提示来就能拿flag 但我发现下面的hackbar不能用后用burp来进行post传参不返回flag…迷了我很久… 结果我下了左边那个hackbar后重来一...
cookie 攻防世界详细版
qq_60905276的博客
09-10 348
首先这题对于我这样的初学者来说有点崩溃,就算查攻略也是颇为麻烦。 1.下载Java.jdk-8u301-windows-x64 Java官网有, 不过呢,要注意安装的路径,要不然只能和我一样选择重装一次。 2.配置Java环境 这个也是有点麻烦,控制面板-系统-高级系统设置 然后就是配环境变量, 用户变量 JAVA_HOME接Java.jdk的安装路径 系统变量 Path接2遍Java.jdk的安装路径 3.局域网设置 首先是浏览器的设置里找到网络设置 火狐的是这样的 ...
攻防世界--->cookie
最新发布
shdbehdvd的博客
09-25 250
【题外话,在我最开始的时候,很迷茫,最先接触的是misc其次web方面。下过许多web、misc工具,也接触过sql注入、XSS漏洞、misc隐写术、伪加密等,不过感觉学的很杂、很乱,不知道怎么入手。最终转而去学习了汇编、C、CPP、win32等关于逆向的。如今在回来学习web,至少没有最初那样迷茫,也很好。因为是cookie,且是web网页,那么可以考虑直接用bp去进行抓包:(用内嵌的浏览器就好,不用配置代理、不然配置什么代理,很麻烦,虽说可以用Firefox的FoxyProxy不过我不习惯。
cookie-攻防世界
szhangliwenya的博客
03-21 666
那么问题来了,总不能每一次客户端的请求都要证明自己是自己吧,所以这里就要引入cookie的概念,用cookie来管理用户的状态,通过cookie让服务端知道这次客户端的请求到底是那个用户发出的,以及当前用户的其他的状态等等。在Web开发中,Session通常用于跟踪用户的活动状态,保存用户的相关信息,如登录状态、购物车内容等。浏览器会存储Cookie,并在之后的请求中将其发送回服务器。因此,在生成Cookie时使用HttpOnly标志有助于降低客户端脚本访问受保护Cookie的风险,增强网站的安全性。
攻防世界——cookie以及PHP2
e111111111128的博客
07-22 372
打开题目,发现题目与cookie有关方法一(1)使用bp抓包,发现存在cookie.php文件,在bp里访问cookie.php,得到答案;(2)在网站上访问cookie.php, 在网络中查找响应头,得到答案。方法二编写Python脚本,脚本与前面baby_web写法相同。print("存在flag:" + flag)else:print("未找到flag")
攻防世界-Web-新手-cookie
weixin_45653478的博客
03-11 259
当客户端再次发送同类请求(即资源路径和域名相同的请求)时,它会在请求中携带这些保存在本地的Cookie数据。此外,网站还可以利用Cookie记住用户的单次访问(使用会话Cookie)或多次访问(使用永久Cookie),并保存用户的设置,如计算机或移动设备的语言、字体大小和其他浏览偏好。同时,Cookie是同步的,不能从Web worker进行访问,且其存储的数据量有限,一般仅限于字符串形式,并受到个数和大小的限制。在进行页面Cookie操作时,建议尽量保持Cookie的个数小于20个,总大小小于4KB。
CTF-WEB攻防世界题目实战解析cookie
2301_76565920的博客
04-18 1423
题目:cookie 难度:1
攻防世界cookieweb简单)
my_name_is_sy的博客
05-26 330
攻防世界的简单区web题,按f12,查看消息头,就可以了
Cookie注入攻防实战
junjie1595的专栏
09-24 1369
Web攻防系列教程之 Cookie注入攻防实战 2012-08-23 17:01:09 摘要:随着网络安全技术的发展,SQL注入作为一种很流行的攻击方式被越来越多的人所知晓。很多网站也都对SQL注入做了防护,许多网站管理员的做法就是添加一个防注入程序。这时我们用常规的手段去探测网站的SQL注入漏洞时会被防注入程序阻挡,遇到这种情况我们该怎么办?难道就没有办法了吗?答案是否定
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

三年之约-第一年

你的鼓励是对我最大的鼓励

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值