- 拿到题目第一步就是看一下题目标题和背景以及有没有hint,确定自己的做题方向
- 打开靶机。看页面有没有提示,如果是网站就多点一点看看url有没有变化
- 放到火狐浏览器打开(因为火狐的f12可以修改代码也可以用hackbar)
- 观察源代码有没有flag(不可能),再看注释里面有没有提示词语
- 修改url比如尝试flag.txt或者index.php(s)或者flag.php(/py/pyc……)观察有没有反应
- 如果是提交密码用户名可以尝试万能密码或者寻找注入点,多次尝试,观察返回值
- 如果是php代码就可以代码审计,看看主函数和要传入什么参数,if条件是什么。
- 用harkbar可以提交get或者post,也可以加上xff或者referer头
- 用burpsuit抓包,放到repeat看看response
- 用BP抓包之后用intairl爆破用户名或者密码或者文件类型
ctf-web入门详解思路
最新推荐文章于 2024-05-20 23:51:15 发布