20.Guess Next Session
分析:
观察代码,在代码中并没有什么函数,关键就在于:password = $_session['password']。
问题到了这一步,让我们把这放下,先来分析一下PHP中的Session和Cookie。
Cookie与 Session,一般都会认为这是两个独立完全不同的东西,Session采用的是在服务器端保持状态的方案,而Cookie采用的是在客户端保持状态的方案。在PHP配置中的默认情况下,Session是用Session ID来确定当前对话所对应的服务器Session,而Session ID是通过Cookie来传递的,禁用Cookie相当于失去了Session ID,也就得不到Session了。
说到这里我们再回到题目,这里小编还是先用Burp Suite进行抓包:
从抓包的内容中我们就能看见在Cookie中已经是包含了Sessid,并且发送的password在URL中以Get的方式传值。
那这里我们就可以以这样的思路来求解。首先我们删除所有的Cookie,将PHPSessid值直接删掉,这样的结果就会使得$_session['password']值为空,接下来我们将URL中的password值清空,这样我们就能达到password = $_session['password']的效果。
右键,发送到Repeater,删掉Cookie和password,点击go就能得到我们的结果:
或者这样理解:
代码要求,当参数值等于$_SESSION[‘password’]获取的值时,可以获得flag
1.session的工作原理
(1)首先使用session_start()函数进行初始化,启动会话
(2)当执行PHP脚本时,通过使用$_SESSION变量注册session文件。
(3)当PHP脚本执行结束时,未被销毁的session变量会被自动保存在本地一定路径下的session库中, 这个路径可以通过php.ini文件中的session.save_path指定,下次浏览网页时可以加载使用。
2.session_start()做了什么
(1)读取名为PHPSESSID(默认)的cookie值,假使为abc123
(2)若读取到PHPSESSID这个COOKIE,创建$_SESSION变量,并从相应的目录中(可以再php.ini中设置)读取SESS_abc123(默认是这种命名方式)文件,将字符装在入$_SESSION变量中; 若没有读取到PHPSESSID这个COOKIE,也会创建$_SESSION变量,同时创建一个sess_abc321(名称为随机值)的session文件,同时将abc321作为PHPSESSID的cookie值返回给浏览器端。
所以源码中的第一个函数上来就读取cookie的PHPSESSID的值,然后就进入判断语句,比对两个参数是否相等。
我们抓包,将cookie的PHPSESSID的值改为空,Password改为空。返回flag。
处理过程
1、当我们发送请求的时候,服务器以session_start()来开启会话,产生cookie相应头信息(默认为PHPSESSID),记录到新的session文件中,这里我们给的参数值是空,获取的$SESSION[‘password’]的值也为空。
2、然后再看脚本执行,使用$_SESSION[‘password‘]读取session文件的password的空值。
3、最后,将get的password的空值与$SESSION[‘password’]读取的空值比较,相等,得到flag。
扫一扫
2048
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
