概述
HackTheBox 网站CTF靶场Web相关题目baby todo or not todo,题目地址https://app.hackthebox.com/challenges/baby-todo-or-not-todo,主要考察对http请求的交互理解和对JavaScript源代码的审计。
题目
题目概述
开启程序实例后,提示访问178.62.96.143:31217
,访问后得到一个类似ToDoList的页面
随意提交信息,这里提交的是11
并在Burp中观察
在Burp中看到POST下的GET内容为
对应的Web内容为
查看源代码,发现注释提示不要使用all
参数
题目解法
重新以Get方式发包请求页面,拼接all
参数在相应中得到flag