hackinglab笔记
基础关
第一关:key在哪里?
- 直接查看源代码,key在注释中
第二关:再加密一次你就得到key啦~
- 得到一串字符串,xrlvf23xfqwsxsqf
- 根据题目,在加密一次就可以得到key,因为rot-13是它自身的逆反,两次加密即为本身
- 通过ROT-13再次加密,获得key
- ROT-13在线解密工具:ROT13 @ http://www.rot13.de/
第三关:猜猜这是经过了多少次加密?
- 通过加密字符串的最后,“=”,猜测,可能是base64编码
- 将全部字符串复制一直进行base64解密,20次果然得到了key
第四关:据说MD5加密很安全,真的是么?
- 直接通过在线MD5解密工具进行解密,得到key
- md5在线解密破解,md5解密加密 (cmd5.com)
第五关:种族歧视
-
只有外国人能够访问?
-
查看请求头的信息,外国人?将语言改成英语?
-
尝试抓包,将语言修改只剩下en
-
果然的到了key
第六关:HAHA浏览器
-
只允许HAHA浏览器访问,抓包修改信息,将浏览器修改成HAHA
-
就能得到key
第七关:key究竟在哪里呢?
- 直接从响应头中找到了key
第八关:key又找不到了
- 点击后出现了key is not here!的页面。
- HTTP数据包中也找不见
- 抓个包试试,发现
第九关:冒充登陆用户
- 查看信息发现login的值为0,抓包修改值为1
- 得到key
第十关:比较数字大小
-
只要比服务器的数字大就行
-
前端限制了输入的长度为3,修改长度,就可以输入一个比服务器大的数,得到key
第十一关:本地的诱惑
-
提示,必须从本地访问,设置 x-forwarded-for: 127.0.0.1,还是提示要从本地访问?
-
抓包
-
嗯?这里就有key。
第十二关:就不让你访问
-
I am index.php , I am not the admin page ,key is in admin page.
-
要登陆么?试着访问login.php,竟然没有这个页面
-
呃?在网上查了一下其他人做的过程,原来要访问robots.txt文件啊
-
嗯?sitemap是个url,访问一下,是个404页面
-
又尝试这个不允许访问的目录
-
嗯?还是刚才那句话?不对,这是新的页面,好像快了
-
不是登录界面?那我再访问登录界面login.php,key出来了