View-source 类:
1、view_source
此时无法右键点击查看网页源代码
则可用F12进入开发者模式查看源代码或者用Ctrl+u打开网页源代码界面
可以得到Flag
2、[BSidesCF 2019]Futurella
此时发现网页是一张图片加几句文字,但后续可以发现图片中的文字可以选取,说明这不是图片,
而是图片背景加上设置的文字字体,此时可以查看源代码找到图片中的说明文字,找出flag
3、key究竟在哪里呢?
查看源码也不能发现什么
此时可使用Burpsuite进行抓包查看,或者直接使用网页的网络查看,得到标头
方法一:使用Burpsuite
可在响应头里找到key
方法二:直接使用游览器查看
也可同样在响应头中找到key
4、头等舱
题目链接:
跳转提示Bugku CTFhttps://ctf.bugku.com/challenges/detail/id/77.html
与上一题一样查看源代码不能发现什么
同样进行抓包查看
方法一:使用Burpsuite
在响应头中找到了flag
方法二: 直接使用游览器查看(略)
前端绕过题:
1、disabled_button:攻防世界https://adworld.xctf.org.cn/challenges/details?hash=d48eee8a-4e10-4b3a-913b-e7df2749c4ef_2&task_category_id=3
可发现他给了一个按钮,但是我们按不动它
可以怀疑可能是前端设置了某些格式,使用F12试试
可发现有一个disable 格式,可能这就是罪魁祸首,删除后发现按钮可以点击了,并显示了flag
2、计算器
题目链接:跳转提示Bugku CTFhttps://ctf.bugku.com/challenges/detail/id/69.html
输入答案结果发现只能输入一个数字
可能是在网页中动了手脚,使用F12查看网页格式
果然网页设置了最大输入长度只能是一个数字,则可以更改格式将最大输入长度改大 ,输入答案后出现了flag
3、web3
题目链接:跳转提示Bugku CTFhttps://ctf.bugku.com/challenges/detail/id/73.html
打开网页后会发现只有一个弹窗,并且无法右键查看网页,此时只能使用Ctrl+u或者F12查看网页源代码
此时会得到一串字符,利用搜索引擎可以得知这是HTML字符实体,可以使用工具进行转换
这样就可以得到这道web3题目的flag
HTTP字段分析
1、web基础$_GET
题目链接:跳转提示Bugku CTFhttps://ctf.bugku.com/challenges/detail/id/70.html
根据提示进行传参, 成功得到flag
2、web基础$_POST
题目链接:跳转提示Bugku CTFhttps://ctf.bugku.com/challenges/detail/id/71.html
这里提示是要求改变请求方式,再请求what=flag 。
我们可以对其进行抓包
右键发送到repeater并且改变请求模式,由GET方式改变为POST方式,发送后成功得到flag
3、请求方式
提示说明要改变GET请求方式为CTFHUB方式 ,并且是请求index.php
我们右键查看网页并找到index.php的请求网页地址
我们使用Burpsuite对这个网址进行抓包
更改请求方式为CTFHUB,成功得到flag