当前位置：首页 > news >正文

看雪靶场系列--KCTF2023_签到题--生死较量--解说

news 2026/4/20 5:16:09

记一次看雪靶场的做题记录，并附带笔者思路。本题设计cookie和本地绕过。

题目

启动靶机

解说：
根据这个页面显示，再结合经验来猜测，大一点的靶机应该会有其他页面，比如登录什么的，登录管理员页面再进行其他的操作；小一点的就没有了，可能会是其他情况。【这个是笔者的第一个思考】
下来接着寻找其他信息。【多种信息结合才可以得出正确的结论哦】

1.查看信息

F12 查看信息，发现 cookite不对劲。这个应该有用，先记着。

解说：
F12查看信息是笔者现在这个阶段必须的。因为现在大多是靶机，靶场之类的。很多出题人，会在网页源码，网络信息，请求数据包等地方放置一些解题的线索。
果然，我们发现了这个cookie中存在一个奇怪的东西（user : guest）。根据我们的经验判断，正常的网站cookie不会是这个东西，所有它必然存在问题。这个先放着，我们再去找找其他线索。【这个是笔者的第二个思考】

网页源码也没有找到有用的信息。

2.目录扫描

进行目录扫描，没有找到任何路径。

解说：
因为我们第一眼就判断，这个靶机可能存在其他页面，所有目录扫描是必要的。这个可以扫描出大多数的，较为常见的路径。
这里没有扫描出来，说明要不不存在其他路径，即其他页面；要不就是路径不常见，比较复杂，没有扫描出来。这里第一种的可能性大一些（因为这个是签到题，不会太难。由判断难度得出）【这个是笔者的第三个思考】

3.抓包

手动抓包尝试拼接，因为指纹识别网页是 php 写的，所有尝试常见的php路径。但是都是 400 响应。

解说：
这一步其实没有做的必要，因为上面目录扫描已经做过了。这个是重复操作了。
这里为什么做呢？一个是笔者解题的时候没有想透这个问题，后面写文章是才想到；另一个是没有想到其他思路，还不死心想尝试一下。（试试由不损失什么嘛。不过在比赛中，还是不建议大家这样做）

看了请求数据包和响应数据包，开始盲目尝试，没有用。还是没有意识没有经验啊。

吐槽：感觉自己好菜啊，完全没有思路。这里已经开始撞运气了。（为什么呢？因为不知道下来该干什么了）
所以笔者准备写这个，也是解完题目后整理一下思路，顺便做个笔记。嘿嘿

看页面的话语，应该是要越权，但是我不会啊。【越权应该是没有这个权限，但是我偏偏可以去进行了不属于当前用户的这个操作。】【专业的大家自行去搜索啊，笔者这里只是简单谢写写】

看看老师傅的WP

对不起了，我看看看 WP，先搞到登录页面什么的，进行到下一步啊

解说：
不会了，不知道了怎么办呢？当然是不耻下问，或者向前辈们讨教啦。

瞄了一眼“orzw”师傅的 WP 文章，抓包是对的。要改用户为 admin。我的猪脑子啊，真笨哎。

解说：
看到这个，我都有点不好意思了。这么简单的我竟然没有想到。页面都说是越权了，管理员了，请求包里面还有 user=xxx ，我竟然没想到。也怪我没有细看数据。吃一堑长一智昂。

4.再次抓包

抓包修改user为admin，进行重放，观察响应包。

又懵逼了，为什么还是这个，改了这么没反应啊。

5.本地绕过

在瞄一眼“Delevy”师傅的 WP，竟然还有绕过本地的事。再改，添加 Client-Ip：127.0.0.1

常见的修改本地地址的方式为:
Client-Ip: 127.0.0.1 //有用
X-Forwarded-For: 127.0.0.1 //无用
Host: 127.0.0.1 //响应 400
Referer: 127.0.0.1 //无用

解说：
这个绕过本地，我是真不知道，也不会啊。也没有说过还有这事啊。参照老师傅的WP，笔者将4个都试了一遍。结果在后面写着。

为什么要绕到本地呢？？？笔者不解，非常不解。
经过一坤分的寻找，笔者终于找到了。
来自mb_mgodlfyn师傅的WP解释：
页面提示的两个关键点：“本地” “管理员”
“本地”：用 'Client-IP: 127.0.0.1' http头绕过
“管理员”：服务器响应有'Set-Cookie: user=guest'，所以本地传一个 'Cookie: user=admin'