Guess Next Session
实验吧题目，链接：http://ctf5.shiyanbar.com/web/Session.php
这个题目操作上倒不是太复杂，主要是理解了session的原理，就非常好做
先贴上源码
<?php
session_start();
if (isset ($_GET['password'])) {
if ($_GET['password'] == $_SESSION['password'])
die ('Flag: '.$flag);
else
print '<p>Wrong guess.</p>';
}

mt_srand((microtime() ^ rand(1, 10000)) % rand(1, 10000) + rand(1, 10000));
?>

代码要求，当参数值等于$_SESSION[‘password’]获取的值时，可以获得flag
1.session的工作原理
（1）首先使用session_start()函数进行初始化，启动会话
（2）当执行PHP脚本时，通过使用$_SESSION变量注册session文件。
（3）当PHP脚本执行结束时，未被销毁的session变量会被自动保存在本地一定路径下的session库中， 这个路径可以通过php.ini文件中的session.save_path指定，下次浏览网页时可以加载使用。

2.session_start()做了什么

（1）读取名为PHPSESSID（默认）的cookie值，假使为abc123
（2）若读取到PHPSESSID这个COOKIE，创建$_SESSION变量，并从相应的目录中（可以再php.ini中设置）读取SESS_abc123（默认是这种命名方式）文件,将字符装在入$_SESSION变量中; 若没有读取到PHPSESSID这个COOKIE，也会创建$_SESSION变量，同时创建一个sess_abc321(名称为随机值)的session文件,同时将abc321作为PHPSESSID的cookie值返回给浏览器端。

所以源码中的第一个函数上来就读取cookie的PHPSESSID的值，然后就进入判断语句，比对两个参数是否相等。
我们抓包，将cookie的PHPSESSID的值改为空，Password改为空。返回flag。

处理过程
1、当我们发送请求的时候，服务器以session_start()来开启会话，产生cookie相应头信息（默认为PHPSESSID），记录到新的session文件中，这里我们给的参数值是空，获取的$SESSION[‘password’]的值也为空。
2、然后再看脚本执行，使用$_SESSION['password']读取session文件的password的空值。
3、最后，将get的password的空值与$SESSION[‘password’]读取的空值比较，相等，得到flag。