最近本姑娘着迷ctf类竞赛,有志同道合的小伙伴可以留言一起来做点趣味题目呢
此网站第一道题目如下
一、robot
1,先进网站,发现了一张萌萌哒的图片,相信许多人和本姑娘一样,第一反应是load图片查看代码里面有没有猫腻,然而其实什么也木有呢。本姑娘就第一时间抓了包,用的burp你懂的。
2,本姑娘在burp里面稍微找了一下,因是第一道题,着实没有什么难处,在spider发现了如下东西,就是本题解题思路啦
3,直接输入找的线索,得到小旗旗
二、ipspoofing
1,打开页面,发现是个页面,本姑娘按照一般思路看了下源代码没发现可疑之处,于是抓包。
2,抓包后右键到spider想找找页面信息,不了突然跳出了如图所示的东西,甚为惊喜,上面给了登录网址,密码用户名,本姑娘快速访问链接
3,后来再浏览文件时发现页面最下方有链接提示,直接可进入登录页面
4,激动人心的最后一步,本姑娘输入了spider里面的用户名和密码登录不成功,立刻看源码,如图看到登录的username和password
三、seelog
1,第三个题目有点意思,本姑娘回头想想答案全在题目里面
首先看着页面see blog 看到这里本姑娘一直在头脑风暴,势必记住看blog ,打开网址。
2,网页是非请勿入,本姑娘,依然先看源代码,再抓包都没有什么重大发现
3,纠结了半天,发现猫腻都在blog 里面,本姑娘在网页后面加了一个blog 出现了如图所示的东西
4,打开第一个文件,查看blog 在这里科普两个小常识,
(1)一些常见的状态码为:
- 200 – 服务器成功返回网页
- 404 – 请求的网页不存在
- 503 – 服务器超时
终于找到了图示的链接
5,输入提示的链接成功拿到小旗旗
四、phpinfo
五、VID
number=0&username=%00' and updatexml(1,concat(1,(select group_concat(table_name) from information_schema.tables where table_schema=database())),1)#&password=123&submit=Submit+Query //爆表
number=0&username=%00' and updatexml(1,concat(1,substr((select * from flag),1,15)),1)#&password=123&submit=Submit+Query //爆flag
六、GetFlag
七、天下武功唯快不破
八、pyscript
九、fuzzing
十、blog,最后一个