CTFHub | Cookie

0x00 前言

    CTFHub 专注网络安全、信息安全、白帽子技术的在线学习，实训平台。提供优质的赛事及学习服务，拥有完善的题目环境及配套 writeup ，降低 CTF 学习入门门槛，快速帮助选手成长，跟随主流比赛潮流。

    

    

0x01 题目描述

Cookie****：

    Cookie欺骗、认证、伪造

网页显示内容

    访客你好，只有管理员才能获得标志

0x02 解题过程

    根据题目描述内容，这是一道关于浏览器 Cookie 的问题。网页提示只有管理员才能获得flag,那么可以通过修改 Cookie 值，将 0(False) 改为 1(True) 获得此题 flag 。

    

1.Web控制台修改

Ⅰ打开开发者工具并选择控制台，修改管理员 admin 的 Cookie 值为 1(True)

document.cookie        #查看cookie
document.cookie = 'admin=1';

Ⅱ刷新浏览器网页，得到此题flag

F5        #刷新浏览器快捷键

2.存储探查器修改

Ⅰ打开开发者工具并选择存储，列表选择Cookie存储，修改admin值0为1

Ⅱ刷新浏览器网页，得到此题flag

F5        #刷新浏览器快捷键

3.Burp suite工具修改

Ⅰ打开Burpsuite开启抓包，先放行再刷新网页查看Cookie并修改0为1

Ⅱ放行网页得到此题flag

0x03 HTTP Cookie

1.HTTP Cookie

    HTTP Cookie 又称饼干 ，是服务器发送给用户浏览器并保存在本地的一个数据，如果下一次访问浏览器向服务器发送请求时就会被传送到服务器中。经常用于浏览器网页保持登录或记录数值，例如账户密码、用户行为需求等。

HTTP Cookie 请求过程示意图

2.Cookie 生命周期

    Cookie 有会话期 Cookie 和持久性 Cookie 两种，会话期会在浏览器关闭之后自动销毁，而持久性的 Cookie 生命周期会根据设定的有效期对数据进行保存，超过有效期将无法使用 Cookie 。注意，设定 Cookie 的有效期时间根据客户端来计算，而不是服务端。

    

    

0x04 参考文献

[1].mdn web docs. Using HTTP cookies[EB/OL]. [2022-09-29]. https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookies#security.

[2].shiyan. 浅谈cookie安全[EB/OL]. [2022-09-29]. https://zhuanlan.zhihu.com/p/58666986.

0x05 总结

文章内容为学习记录的笔记，由于作者水平有限，文中若有错误与不足欢迎留言，便于及时更正。