Session固定攻击

2026/5/8 题解 Session

打开题目发现可以登录，和给管理员发消息，还提示测试账号和flag在管理员页面

Session固定攻击_d4625a96

先登录上test账号，然后给管理员发消息，这里要直接的session id

Session固定攻击_3b7e42fd

在cookie中找到自己的session

Session固定攻击_db98ad1a

给管理员发消息

Session固定攻击_0e9f2c21

返回开始界面，刷新得到flag

Session固定攻击_ef3eedfd

CTF{ctfshow_session_fixation_is_a_common_web_security_vulnerability}

LOADING