题目介绍
这儿需要我们登录,根据题目提示,我们需用admin登录就能拿到flag,我们先随便登录一下试试~~
这儿返回了cookie,应该是某种加密~~
但是题目并没有提示,尝试解码也并没有特别明显的线索,后来随便改一下user的值,发现报错,并且返回
我们这儿猜测是cbc加密,因为其它的我也不知道
根据题目我们知道,解码应该为
{"first_name":"ma","last_name":"jian","is_admin":0}
但是这儿没有提供`vi`,所以我们无法直接通过脚本伪造~~
但是题目有个较特殊的性质,只需要将0改为1即可,而且1.00000000 == 1
所以我们可以尝试整块替换
{"first_name":"A1.00000000000000","last_name":"paww","is_admin":0}
最终构造这个样子,我们知道一般cbc是16字节为一个块的
{"first_name":"A
1.00000000000000
","last_name":"p
aww","is_admin":
0}
所以我们可以分为5块,而加密后是以16进制表示的,所以我们需要的第二块就在32-64,我们把这块加在倒数第二块。
第二块的值为1.00000000000000
最后一块为0},所以结合起来就是
1.000000000000000},再与之前的结合
整体就是
{"first_name":"A1.00000000000000","last_name":"paww","is_admin":1.000000000000000}
这样就能打到题目要求
解题
我们以账号A1.00000000000000 xxxx登录
得到的cookie为
8ceef2c6f61c5a00530647b4f42a218605a7af0d8a977750c8a6fbfe94bc5758e87590e6eb119ed8bb94bba45ad924ca7f39880bc69572964f7b135c8b6c7113e90661dfeee696ce45e27e594547dafd
我们提取第二块加在倒数第二块
然后替换cookie,直接得到flag
