- cookie
- weak_auth
- simplejs
- webshell
COOKIE
根据题目提示先查看cookie
查看cookie.php
根据提示查看请求头
weak_auth
常见用户名admin+随便输个密码,抓包,发给测试器
提示:用字典
到github上下载字典,load字典
在需要爆破的地方添加符号
作为一个几乎没做过web的废物。。一开始发POST没有加Content-Type: application/x-www-form-urlencoded。。。。我tcl。。
找到返回长度不同的即可
simple_js
根据题目肯定是查看源代码看js
看样子。。。好像并没有对字符串做什么运算,那就直接输出试试
哦,前面是个假flag,那真的就是后面的字符串
webshell
去装了传说中的蚁剑
据说github上的antsword不太行?。。。感谢大佬提供资源
添加,点开,里面就有flag.txt
不得不说 XCTF 这新手区的难度还是很友好的(比起一来就上盲注的buu。。。。
卑微re萌新为招新赛学习web。。。晚安