hackinglab笔记

最新推荐文章于 2023-07-11 10:30:25 发布
最新推荐文章于 2023-07-11 10:30:25 发布
阅读量123 收藏
点赞数
分类专栏: 笔记 文章标签: php
本文链接:https://blog.csdn.net/curryzzb/article/details/118884747
版权

hackinglab笔记

基础关

第一关:key在哪里?

  • 直接查看源代码,key在注释中

第二关:再加密一次你就得到key啦~

  • 得到一串字符串,xrlvf23xfqwsxsqf
  • 根据题目,在加密一次就可以得到key,因为rot-13是它自身的逆反,两次加密即为本身
  • 通过ROT-13再次加密,获得key
  • ROT-13在线解密工具:ROT13 @ http://www.rot13.de/

第三关:猜猜这是经过了多少次加密?

在这里插入图片描述

  • 通过加密字符串的最后,“=”,猜测,可能是base64编码
  • 将全部字符串复制一直进行base64解密,20次果然得到了key

第四关:据说MD5加密很安全,真的是么?

第五关:种族歧视

在这里插入图片描述

  • 只有外国人能够访问?
    在这里插入图片描述

  • 查看请求头的信息,外国人?将语言改成英语?

  • 尝试抓包,将语言修改只剩下en
    在这里插入图片描述

  • 果然的到了key

第六关:HAHA浏览器

在这里插入图片描述

  • 只允许HAHA浏览器访问,抓包修改信息,将浏览器修改成HAHA
    在这里插入图片描述

  • 就能得到key

第七关:key究竟在哪里呢?

在这里插入图片描述

  • 直接从响应头中找到了key

第八关:key又找不到了

在这里插入图片描述

  • 点击后出现了key is not here!的页面。
  • HTTP数据包中也找不见
  • 抓个包试试,发现
    在这里插入图片描述
    在这里插入图片描述

第九关:冒充登陆用户

在这里插入图片描述

  • 查看信息发现login的值为0,抓包修改值为1
  • 得到key

第十关:比较数字大小

  • 只要比服务器的数字大就行
    在这里插入图片描述

  • 前端限制了输入的长度为3,修改长度,就可以输入一个比服务器大的数,得到key

第十一关:本地的诱惑

  • 提示,必须从本地访问,设置 x-forwarded-for: 127.0.0.1,还是提示要从本地访问?

  • 抓包
    在这里插入图片描述

  • 嗯?这里就有key。

第十二关:就不让你访问

  • I am index.php , I am not the admin page ,key is in admin page.

  • 要登陆么?试着访问login.php,竟然没有这个页面

  • 呃?在网上查了一下其他人做的过程,原来要访问robots.txt文件啊
    在这里插入图片描述

  • 嗯?sitemap是个url,访问一下,是个404页面

  • 又尝试这个不允许访问的目录
    在这里插入图片描述

  • 嗯?还是刚才那句话?不对,这是新的页面,好像快了

  • 不是登录界面?那我再访问登录界面login.php,key出来了
    在这里插入图片描述

Оrdsh1ne
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java超强笔记
12-03
"Java超强笔记"正是一份专为新手准备的学习资源,它全面涵盖了从Java环境的搭建到软件设计的各种概念,旨在提供一个易读且系统的学习路径。 首先,笔记可能会从Java的起源和发展开始介绍,让你了解这门语言的历史...
CTF之HAHA浏览器
Yvan的魔仙堡
11-27 2367
HAHA浏览器 据说信息安全小组最近出了一款新的浏览器,叫HAHA浏览器,有些题目必须通过HAHA浏览器才能答对。小明同学坚决不要装HAHA浏览器,怕有后门,但是如何才能过这个需要安装HAHA浏览器才能过的题目呢? 通关地址 目测和上一道种族歧视一个道理 去百度下怎么改浏览器的agent 先把Chrome给改成haha试试 这个太简单了吧 ...
靶场练习之hackinglab(鹰眼)-基础题
快乐时光
05-15 1434
说明 鹰眼系统的地址是:http://hackinglab.cn/index.php,需要注册然后进行练习。本篇先进行基础题的练习记录 1、寻找key在哪里 第一题中,点击过关地址,访问之后是一个接近空白的页面。key的位置肯定是隐藏在页面中,于是祭出burpsuite抓个包看一下。在返回的html页面中,key果然被隐藏了<!--key is jflsjklejflkdsjfklds-->,现在输入jflsjklejflkdsjfklds提交。 2、再加密一次就可以得到key...
Hackinglab(鹰眼)——解密关
计算机硕士的博客
06-18 521
Hackinglab(鹰眼)——解密关(详细版),包括了做题思路和详细步骤。 以管理员身份登录系统、邂逅对门的妹纸、万恶的Cisco、万恶的加密、异常数据、md5真的能碰撞嘛、小明爱上了一个搞硬件的小姑凉、有签名限制的读取任意文件、美丽的邂逅与密码器的开门密码
hackinglab基础关
一个学习网安的鸡翅
04-24 1996
上hacklab平台上基础关的题解及个人解题过程(1-8题)
Hackinglab(鹰眼)——脚本关
计算机硕士的博客
06-14 323
Hackinglab(鹰眼)——脚本关(详细版),包括了做题思路和详细步骤。 key又又找不到了、快速口算、这个题目是空的、怎么就是不弹出key呢?、逗比验证码第一期、逗比验证码第二期、逗比的验证码第三期(SESSION)、微笑一下就能过关了、逗比的手机验证码、基情燃烧的岁月、验证码识别、XSS基础关、XSS基础2:简单绕过、XSS基础3:检测与构造、Principle很重要的XSS。
1635491168笔记
11-28
Linux笔记
mybatis相关笔记
05-20
mybatis相关笔记
C++学习笔记
05-14
C++学习笔记C++学习笔记C++学习笔记C++学习笔记C++学习笔记
华为学习笔记
03-28
华为学习笔记
Hackinglab(鹰眼)——基础关
计算机硕士的博客
06-07 279
Hackinglab(鹰眼)——基础关(详细版),包括了做题思路和详细步骤。 key在哪里?、再加密一次你就得到key啦~、猜猜这是经过了多少次加密?、据说MD5加密很安全,真的是么?、种族歧视、HAHA浏览器 、key究竟在哪里呢?​key又找不到了、冒充登陆用户、比较数字大小、本地的诱惑、就不让你访问。
Hackinglab(鹰眼)——综合关
最新发布
计算机硕士的博客
07-11 111
Hackinglab(鹰眼)——综合关(详细版),包括了做题思路和详细步骤。 渗透测试第一期、没有注入到底能不能绕过登录、美图闪亮亮交友平台
网络安全实验室-基础1-12
hzxtjx的博客
07-08 1979
进入过关地址后按F12 复制数据使用凯撒加密 加密网址:https://www.qqxiuzi.cn/bianma/kaisamima.php 猜测flag格式是key is XXX,而从x后面开始计算第十三个字母为k,r也是第十三个字母为e,l第十三个字母为y,所以移位13位 观察加密后的字符串,最后是一个=,猜测是base64加密 base64的一些特征: 1.密文中会出现“=”等号。 2.有64个可见字符。 3.代码中含有0xF、0x3F、0x3等符号 复制字符串到base64的解密网站:https:
HackingLab之脚本关攻略
Kerke的博客
08-12 541
开始脚本关的攻略!! 本次依旧无题目描述。 网络信息安全攻防学习平台 第一关 这题不是跟基础关的第八题一样吗?使用的python代码也只用改一下url,key就直接出来了。 import requests url = "http://lab1.xseclab.com/xss1_30ac8668cd453e7e387c76b132b140bb/search_key.php" r = requests.get(url,allow_redirects=False) # 请求获取URL位置的资源,包含从服务器返回的
HAHA
xiaoyao6958的专栏
12-25 181
DABFKNBFKJSBNMBVOWEFGRGDSDFSFSDFSDFSDFSDFSDGEFEW
hackinglab-基础关6——HAHA浏览器
Ifish的博客
07-27 1340
HAHA浏览器 题目描述: 解题思路: 抓包 修改User-Agent,得到key
hackinglab习题解析
xuanyulevel6的博客
07-30 5730
hackinglab基础关+脚本关【详解】
网络信息安全攻防学习平台HackingLab 综合关(第二题)
江湖
01-12 5661
没有注入到底能不能绕过登录 分值: 350 不是SQL注入 通关地址 题目打开后显示 Login Burte Force,想着是爆破,随便拿了个字典跑了跑没结果,扫了下有个弱口令test:test。 显示key在admin界面,御剑扫了下后台admin也没结果,不过发现了robots.txt(御剑字典要把这个加进去,很常见)。 User-agent: * Disallo
HackingLab 综合关
4ct10n
12-21 3430
第一关1.首先注册账号 然后让你注册手机号,但是题目提示源码中有内部人员的手机号 于是查看源代码号码为13388453871 通过burpsuit发现该请求有三个字段 于是绑定成功,想想我们将该手机号绑在了admin的账号上。下一步就很明显了,利用查找密码功能找回admin密码。 2.利用Forgetpassword? 通过用户名:admin;密码:XXXXXXXX 登录进去 即可
JavaEE全栈学习笔记
"这是一份综合性的JavaEE学习笔记,由作者续祥整理,涵盖了从基础的Java知识到JavaEE的深入内容,还包括了Unix、Core Java、Java 5.0(Tiger)的新特性、XML以及Oracle数据库的相关学习资料。笔记详细介绍了各个主题的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值