上海响应式网站制作公司,前端开发工程师就业前景,东莞樟木头网站设计,株洲网络学院登录进入环境后是一个输入框#xff0c;可以提交名字 然后就可以点击获取flag#xff0c;结果回显提示#xff0c;需要获取管理员 可以尝试将名字改为admin 触发报错#xff0c;说明可能存在其他的验证是否为管理员的方式 通过抓包后#xff0c;在cookie字段发现了 特殊的东西…进入环境后是一个输入框可以提交名字 然后就可以点击获取flag结果回显提示需要获取管理员 可以尝试将名字改为admin 触发报错说明可能存在其他的验证是否为管理员的方式 通过抓包后在cookie字段发现了 特殊的东西前面翻译过来跟题目没有太大关系所以最后就看session字段看着不像是base64burp解码也不行 最后查看wp结果发现还是base64不过有些字符是乱码所以一般的工具解密不出来
解码后确实有不可见字符而且是json字符串 根据题目提示和本题环境为flask得知本题考察session伪造 但是没有secret_key有点离谱的是看了几个wp都说直接盲猜是比赛名称 LitCTF 拿到flag
