目录
刚刚开始学web的菜鸡,如果有错误,请各位大佬不吝赐教。
ctf-web 方向的爆破基本上只用一个工具:BurpSuite。具体怎么下载CSDN上面有很多,然后顺便提一嘴,社区版的Burp爆破太慢了,建议下载专业版(网上可以找到破解)。然后我做题写wp的时候用的是Burp的专业版+汉化版,也是CSDN上面找的。
Ctfshow web 21
一个爆破题。
抓个包送去爆破。
应该是base64编码的。
如果有base64编码要去掉burp爆破里面的url编码选项。(因为base64里面经常有=)
Ctfshow web 22
这里可以直接用子域名挖掘机
Ctfshow web 23
爆破一个值使他的md5满足条件。
Ctfshow web 24
intval() 函数用于获取变量的整数值。
mt_srand(372619038):PHP mt_srand() 函数 | 菜鸟教程 (runoob.com)
Ctfshow web 25
是php伪随机数
扫了一下没什么后台。
工具用法:https://www.cnblogs.com/zaqzzz/p/9997855.html
kali上使用工具爆出种子:796406899 1266095163 2836167966
运行一下发现是1266095163,获得flag
Ctfshow web 26
直接爆破
Ctfshow web 27
界面上有一个录取名单,打开。
爆破无疑了。
这个地方爆破目的是身份证上的日期。先添加前后缀。之后可以爆破八位数字(hgameweb第二周爆破过八位,难度太大,时间太久),也可以爆破日期。爆破日期用汉化burp看起来清楚一点,这里形式是yyyyMMdd,举个例子,2004年8月11日,这个形式是20040811,和爆破目的符合。
Ctfshow web 28
目录爆破
爆破就此完结