本文详细解析了Bugku网络安全挑战赛中的多个WEB题目,包括利用源代码查看、参数修改、爆破、文件包含、模板注入等多种技巧,通过解码、构造payload等方式获取flag。
滑稽
打开题目发现一堆笑脸怼脸
按F12直接查看网页源代码即可获得flag
计算器
打开之后发现需要计算并输入验证码,可只能输入一位数字
我们可以右键单击输入框审查元素把maxlength改成3,使得我们能在验证框输入三位数
输入验证码即可得到flag
或者我们也可以直接点击上文中红框中的"js/code.js"也可以直接查看flag
POST
通过阅读代码得知$what=='flag' 即可得到flag
可是我们直接在URL后输入无法得到flag,于是我们可以通过hackbar以post的方式发出请求,即可得到flag
矛盾
打开题目可知要使num不是纯数字且要等于1。
则构造num=1sa(开头要为1),即可得到flag
alert
打开题目
点击确认之后却没有出现flag
于是我们按Ctrl+U查看源代码,发现有一串乱码
现在可以把这一串乱码复制到解码工具进行解码,即可得到flag
你必须让他停下
打开题目,发现网页不断在刷新
等到网页刷新出图片的时候按ctrl+U查看源码即可得到flag,或者可以用Bp进行抓包
头等舱
打开题目可知,里面啥也没有
于是用Burp抓包查看
将包发送到Repeater中并点击send,即可得到flag
eval
打开题目可知此题主要考察php
最低0.47元/天 解锁文章
扫一扫
1979
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
