目录
001 view_source
题目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。
解:F12看源代码,发现flag,即cyberpeace{2f02c337ed8e430393527ed58b1091f8}
002 robots
题目描述:X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。
解:打开链接什么也没有,这时就需要知道什么是robots协议,robots协议也叫robots.txt(统一小写)是一种存放于网站根目录下的ASCII编码的文本文件。所以打开robots.txt.
再进php文件
cyberpeace{33da599d7abd3d1a2d2b0b1eeaa9a4f6}
003 backup
题目描述:X老师忘记删除备份文件,他派小宁同学去把备份文件找出来,一起来帮小宁同学吧!
解:php备份文件后缀加.bak,所以咱们就去打开index.php.bak,会提示下载,下载后用记事本打开就有flag了
Cyberpeace{855A1C4B3401294CB6604CCC98BDE334}
004 cookie
题目描述:X老师告诉小宁他在cookie里放了些东西,小宁疑惑地想:‘这是夹心饼干的意思吗?
解:用bp抓包或F12查看均能得到提示,cookie.php,打开cookie.php,
提示看response,在bp上找到此包送去repeater
flag在response里, cyberpeace{a0745b394d9662e5beee17eb9708f61c}
005 disabled_button
题目描述:X老师今天上课讲了前端知识,然后给了大家一个不能按的按钮,小宁惊奇地发现这个按钮按不下去,到底怎么才能按下去呢?
解法一:有前端基础的同学会比较简单,F12找到disabled,去除即可,cyberpeace{2c3ffd855649a6e31d27870d004b1b09}
解法二:直接将flag值输入到name的auth,打印auth
006 weak_auth
题目描述:小宁写了一个登陆验证页面,随手就设了一个密码。
解:随便输,提示出admin
密码错误
打开bp爆破,123456异常即为密码,登录显示flag
cyberpeace{7740722015c06ca11f94bbe2c8e9a153}
007 simple_php
题目描述:小宁听说php是最好的语言,于是她简单学习之后写了几行php代码。
解:此题考验php基本函数,a==0是个弱比较, 意思是开头是0,后面不全是数字,如aa1;is_numeric()是判断是不是数字,b>1234,那么b可以是1235b.
Cyberpeace{647E37C7627CC3E4019EC69324F66C7C}
008 get_post
题目描述:X老师告诉小宁同学HTTP通常使用两种请求方法,你知道是哪两种吗?
解:get方法简单,就是直接提交
post方法需要用到插件,插件名称 HackBar。使用插件输入b=2,cyberpeace{2300699c19ea0fdc43b193edabe4db22}
009 xff_referer
题目描述:X老师告诉小宁其实xff和referer是可以伪造的。
解:bp抓包,X-Forwarder-For设置为123.123.123.123,看有没有什么提示,发现提示必须来自谷歌,那就再加个Referer: https://www.google.com
cyberpeace{f50d1d27db96a52ae317877be3ef490c}
010 webshell
题目描述:小宁百度了php一句话,觉着很有意思,并且把它放在index.php里。
解: 题里给了信息,进入index.php。进入后发现无变化,此为一句话木马,菜刀连接一下,口令为shell。
发现有两个文件,打开flag.txt,里面有flag,cyberpeace{b3222ead9d2df065e944f3d384f1f4df}
011 command_execution
题目描述:小宁写了个ping功能,但没有写waf,X老师告诉她这是非常危险的,你知道为什么吗。
解:先ping本地127.0.0.1
成功后按部就班找目录
不知道flag什么格式,那就用*表示,找到flag.txt ,大功告成
最后用cat抓一下目标数据就行了,
cyberpeace{710244865c0f565da34d19d3c0795dea}
012 simple_js
题目描述:小宁发现了一个网页,但却一直输不对密码。(Flag格式为 Cyberpeace{xxxxxxxxx} )
解:随便输入,提示框消失后没有头绪F12看源代码,划线部分为提示,很明显后面就是flag
基本思路16进制转十进制再转ASCII码就是对应答案,可自行写脚本得答案,也可在cyberchef上进行解码
最后得出答案 786OsErtk12,所以flag为 Cyberpeace{786OsErtk12}