CTF练习题[WEB]-cookies

已于 2022-02-21 10:36:20 修改
阅读量2.7k 收藏 1
点赞数
分类专栏: CTF练习题 文章标签: 安全 web安全
于 2022-02-10 11:12:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45246254/article/details/122855172
版权

https://ctf.bugku.com/challenges/detail/id/87.html

拿到题目如下,提示:Cookies欺骗
在这里插入图片描述

访问跳转到以下地址
http://114.67.175.224:15773/index.php?line=&filename=a2V5cy50eHQ=

filename看起来就是base64,拿去解码
在这里插入图片描述
扫目录没有发现其他可疑文件
在这里插入图片描述
推测攻破点就在这个filename这里了,另外还有个line变量

先把line拿去遍历,没有发现什么
在这里插入图片描述

已知的还有一个文件就是index.php,把字段base64加密后,再拿去遍历line

在这里插入图片描述
确实有东西,导出看看(短的不导出也能看hh)
设置一下grep,再遍历一次
在这里插入图片描述

这不就来了吗
在这里插入图片描述

讲究人再给导出一下

在这里插入图片描述

拿着获得的cookie,去遍历keys.php的line,别忘了keys.php拿去base64加密一下

在这里插入图片描述

抱着flag去提交了✔

适好 "
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF|BugkuCTF-WEB解题思路
这里是一处长期不更新的博客
06-15 1937
截止至练习题【login4】,仅提供解题思路。 WEB2 按F12直接可得flag 计算器: 直接按F12,将maxlength修改,输入正确结果即可得到flag web基础$_GET URL输入:http://123.206.87.240:8002/get/?what=flag web基础$_POST 使用hackbar工具,按F12,打开Post data,传递what=flag。 矛盾 这里是使用is_numeric遇到%00截断的漏洞,这里构造 http://120.24.86.145:8002.
ctf web5 练习_CTF web题型总结 第六课 CTF WEB实战练习(二)
weixin_39636176的博客
12-20 1392
继上一篇总结:CTF web题型总结-第五课 CTF WEB实战练习(一)以下也是我在bugku练习的解题过程。以下内容大多是我在Bugku自己操作练习,有部分来源于网络,我只是在前人的基础上,对CET WEB进行一个总结;----------------------------------------------------------------------------------------...
CTF_WEB(习题)
若比邻的博客
12-15 5083
一、bugku_web_cookie欺骗:https://ctf.bugku.com/challenges/detail/id/87.html 地址栏filename一看为base64,解密为keys.php 尝试index.php加密为base64:aW5kZXgucGhw,读取一下,啥也没有 观察地址栏,将line赋值为1试试,发现是将index.php按行读取了 将index.php读取出来,读读取结果 #cookies欺骗 import requests php=""
CTF web练习题
00勇士王子的博客
12-28 2303
CTF web每日一题 第一天:BUGKU Web13(2020.12.28) 打开题目环境 提示让看源码,于是直接F12查看源码: 发现一段js代码,里面p1和p2的值应该是url编码,用url解码试试: 得到一段代码。 var p1 = 'function checkSubmit(){var a=document.getElementById("password");if("undefined"!=typeof a){if("67d709b2b'; var p2 = 'aa648cf6e87a7
CTF-Web基础题
weixin_52182264的博客
04-21 6495
CTF-Web基础题
CTF-web Xman-2018 第四天 WEB 初讲
iamsongyu的博客
12-11 857
web作为CTF中的一类大题目,涉及的面非常广,前面具体也说过一些类别的题目。 https://blog.csdn.net/iamsongyu/article/details/82968532 l给定一个web网站 l根据题目所给提示信息,找到网站上的flag字符串 l做题方式类似于真实渗透,可能涉及信息收集、各类漏洞发现与利用、权限提升等等 l为了获取flag,可能需要拿到管理员权限,...
最全CTF Web题思路总结(更新ing)
热门推荐
yjprolus的博客
02-12 4万+
个人向CTF Web题思路总结笔记
CTF-web 简介
iamsongyu的博客
10-08 5513
web部分是CTF的重要组成部分之一,素有WEB大魔王之称,题目种类繁多,关键是如何发现漏洞的类型和怎样构造特殊的负载绕过过滤。 CTF分为三种模式 解题模式 攻防模式 混合模式 在线工具 https://www.ctftools.com/down/ http://tool.bugku.com/jiemi/ 在线代码执行(各种网页语言 C C++) https://tool.lu/coderunn...
ctf_show笔记篇(web入门---jwt)
whale_waves的博客
04-02 1323
JSON Web Token(JWT)通常由三部分组成简单地说jwt就是一串字符串,类似于序列化这种,把用户的信息保存在字符串里JWT全称是,如果从字面上理解感觉是基于JSON格式用于网络传输的令牌。实际上,JWT是一种紧凑的Claims声明格式,旨在用于空间受限的环境进行传输,常见的场景如HTTP授权请求头参数和URI查询参数。JWT会把Claims转换成JSON格式,而这个JSON内容将会应用为JWS结构的有效载荷或者应用为JWE结构的(加密处理后的)原始字符串,通过消息认证码(或者简称MAC。
ctf-all-in-one
01-30
ctf-all-in-one
CTF-Web-Challenge:使用PHP在Web中进行CTF挑战
03-25
在这个"CTF-Web-Challenge"中,你将有机会学习和实践如何在Web环境中识别和利用漏洞。 PHP是一种广泛使用的服务器端脚本语言,特别适合开发动态网站。在CTF挑战中,你可能会遇到的PHP相关知识点包括: 1. **PHP...
CTF-100题.-天天练习-学习
11-01
CTF-100题.-----------------天天练习------------------学习 100小题,试例练习
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛中,可利用该工具自动识别编码类型并解码,快速解决misc类别的密码题目。 其他说明: 该工具具备智能判断密码...
CTF-AWD-WEB:AWD 模式下的WEB试题仓库
05-17
在"CTF-AWD-WEB"中,重点在于Web安全领域,涵盖了各种Web应用漏洞和防护技巧。 本资源"CTF-AWD-WEB"是一个包含了多个AWD模式下Web试题的仓库,这些试题可能来源于不同的CTF线下赛事。通过这些试题,学习者可以深入...
Lianwei 安全周报|2024.07.22
联蔚盘云的博客
07-22 763
新的一周又开始了,以下是本周「Lianwei周报」,我们总结推荐了本周的政策/标准/指南最新动态、热点资讯和安全事件,保证大家不错过本周的每一个重点!
轨道式智能巡检机器人,助力综合管廊安全运维
配电房综合监控
07-25 578
管廊巡检往往处于昏暗、潮湿、幽闭且狭长的空间环境,巡检过程中容易遇到有毒有害气体、泄露的燃气和强电等危险,同时不可避免会对巡检人员的心理构成一定负面影响。)实时性:地下管廊短则几公里、长则数十公里,其内部空间结构复杂,具有设备多、定位难的特点。综合管廊内部环境复杂而恶劣,给水、排水、热力、燃气、电力、电信等管道排布其中,空间狭窄、昏暗、潮湿,甚至会出现有毒害气体泄漏的环境。)环境检测功能:基于各类环境传感器,对于廊体内温湿度、有害气体含量、空气含氧量、烟雾浓度、光照度、井盖等状态进行检测。
保障企业数据主权:安全可控的爬虫工具与管理平台
最新发布
zhou6343178的博客
07-25 448
在数据驱动的时代,企业对数据的需求日益增长,但如何在保障数据主权的前提下高效采集数据?本文深入探讨了选择安全可控爬虫工具与管理平台的重要性,分析了关键特性,并提出实用建议,助力企业维护数据安全,实现数据价值最大化。
数据库安全:MySQL安全配置,MySQL安全基线检查加固
wangyuxiang946的博客
07-23 1916
MySQL基线检查,基线配置,安全加固
CTFHub 命令注入-无过滤
07-25
CTFHub 命令注入-无过滤是一个题目,它的源代码中存在一个命令注入漏洞。在这个题目中,用户可以通过输入IP地址执行ping命令。\[1\]由于没有采用过滤,用户可以直接进行命令拼接,例如输入"192.168.43.222;ls"可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值