信息安全组的第一次作业----完成bugku十题以上
杂项
第一题
就是签到题,扫二维码即可。
第二题
用winhex打开这张图片,最后一段编码酷似HTML编码,用HTML解码工具解码,得到flag。
第三题
下载2.rar,解压得到一张图片,用winhex打开。
查看PNG文件格式时,IHDR后面的八个字节就是宽高的值
在下面的表格里是IHDR的资料。查了一下资料,图片是被截掉的,将F4改为A4,flag就出来了。
第四题
用百度的图片搜索,是刘亦菲。
Web
第一题web2
查看网页源代码,注释中有flag。
第二题计算器
只能输一个数,看了一下js文件正好看到flag。在网上查了一下,标准做法是改一下输入长度就可以得到flag。
第三题web基础$_GET
根据题意,直接赋值。?what=flag
第四题web基础$_POST
在网上查了一下,装了一个Hackbar插件,与上一题类似,post data 上传what=flag,flag就出来了。
第五题矛盾
根据题意和所查的资料是使用is_numeric遇到%00截断的漏洞
直接构造http://123.206.87.240:8002/get/index1.php?num=1%00得到flag。
第六题web3
有无数个弹窗,看了一下源码,有一段代码,像前面提到的html编码,用html解码器,得到flag。
第七题域名解析
在网上查了一下,用ubuntu解题,在ubuntu中打开打开host文件,再根据题意修改。
第八题变量1
出现$args,可能考GLOBALS变量,直接构造,
http://120.24.86.145:8004/index1.php?args=GLOBALS
得到flag。
第九题web5
查看网页源代码,发现了一大堆组合。
查了一下资料,可能与JSFUCK有关,复制到控制台,运行得到flag。
第十题web4
没看懂题目的意思,查了一下做法,用URL解码。
先进行解码
P1=functioncheckSubmit(){vara=document.getElementById(“password”);if(“undefined”!=typeof a){if(“67d709b2b
P2=aa648cf6e87a7114f1”==a.value)return!0;alert(“Error”);a.focus();return!1}}document.getElementById(“levelQuest”).οnsubmit=checkSubmit;
再提交67d709b2b54aa2aa648cf6e87a7114f1
得到flag
第十一题点击一百万次
查看网页源代码,根据题目中的if(clicks >= 1000000)
用post的方法直接将clicks赋值为10000000
得到flag
社工
第一题和第二题根据题意即可,不再赘述。
第三题
压缩包被加上了密码,用winhex打开后还是解不开密码,这题没有弄清楚。
加密
第一题
摩尔斯密码
第二题
栏栅密码