web1
直接全局搜,flag即可得到。
web2
打牌赢了,直接得到flag。
web3
点击查看,发现提示20200101,20200101
我这里是把账号,密码,submit,全爆破了一遍,(有点难受,我是先爆破的submit),submit可以在BP抓包可以看到,这里发现账号为爆破点,使用数字爆破。
依次记录得到flag
web4
发现index.php,我这个人(不会就喜欢用御剑扫,说白了,就是菜)
第一个为php弱口令绕过
第二个为shal绕过
第三目前太菜,搞不懂
web4
先引用一下,大佬们挂在嘴边的话:一般检查的地方有:后缀名、content-type、文件头的部分内容,我们一般做题也是,这样逐一检查(目前我是这样,因为太菜,也只能这样。)
我这里直接说,mine绕过,content-type更改,蚁剑链接,即可得到flag.