Hackthis!! Writeup——Main Level

最新推荐文章于 2020-10-03 17:48:13 发布
最新推荐文章于 2020-10-03 17:48:13 发布
阅读量362 收藏 1
点赞数
分类专栏: hackthis WP 文章标签: hackthis writeup main
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43148462/article/details/85413695
版权

Level 1:

最常见的查看源代码,然后可以轻易地找到注释中的username和Password
截图

Level 2:

同样是查看源代码,然后就隐藏在代码行中
截图

Level 3:

同样是查看源代码,这次是一个JS代码验证(然而关掉JS并绕不过。。服务器端应该也有验证)截图

Level4:

同样是查看源代码,这次给了一个网页截图直接访问这个url,得到密码截图

Level 5:

同样是查看源代码,然后可以发现以下JS代码:截图
这里是通过修改url来用GET方法通关

Level 6:

首先我们可以看到,要求用户选择为Ronald,而选项框中没有Ronald。
因此,我们可以有两条思路:
1,通过修改html来得到Ronald的选项,如下图。截图我是用的firefox的开发工具(F12开启)
2,通过对传输数据的包进行修改,如下图。
截图这里我用的是Fiddler,在上传前进行截断并修改可得到Ronald。

Level 7:

同样查看源代码。。。。哦不这次好像并不是
于是看了一下hint,得到以下信息:

The password is again stored in a txt file. This time however it is not as straight forward as viewing the source.
You wouldn’t even find the page by using a search engine as search bots have been excluded.

这个提示所给的信息指向一个关键网页:robots.txt(关于robots协议,请自行百度其功能)
于是,我们访问这个页面,得到以下信息:在这里插入图片描述
至此我们找到了这个所谓的txt文件。访问这个网页得到以下账号密码:

48w3756
u3qh458

Level8:

首先依旧是查看源代码,得到以下提示:
在这里插入图片描述访问这个页面,得到以下信息:

1011 0000 0000 1011
1111 1110 1110 1101

这里需要手动将2进制转换成16进制,并按照ASCII表对应出user和pass。

Level9:

首先依旧查看源代码,发现了这个东西:在这里插入图片描述进入这个页面,然后继续查看源代码,得到以下信息:
在这里插入图片描述将下面这个邮箱填入框中,然后。。。。不对
于是,我用Fiddler抓了下包,发现他发送了两条信息在这里插入图片描述然后根据提示:

The developer has now added a feature that allows him to get a password reminder. Can you exploit it to send you the login details instead?

得出以下结论:是需要把email2和email1都改成自己的邮箱。
更改后,通过。

Level 10:

依旧是首先查看源代码,得到以下信息:在这里插入图片描述访问这个文件,便可以得到以下密文:

69bfe1e6e44821df7f8a0927bd7e61ef208fdb25deaa4353450bc3fb904abd52
f1abe1b083d12d181ae136cfc75b8d18a8ecb43ac4e9d1a36d6a9c75b6016b61

这里使用了MD5加密,解密网站如下

https://www.cmd5.com/

解密之后便可得到user和pass。

Roverdoge
关注
专栏目录
HackThis!!-MAIN LEVEL1~10
Crystal_bing的博客
12-15 514
这个月开一个新的战场,按照题目特点按分类写writeup。 Main Level 1 提示看源代码,打开: 29行有答案。 Main Level 2 依旧看源代码,这次稍微藏了一下: Main Level 3 Hint提示只用js来校验: Main Level 4 搜username看到下面的信息里给出一个地址: Main Level 5 依旧是一个校验: Main Leve...
hackthis攻略(Javascript Level)
qq_28719743的博客
08-29 1540
Javascript Level 1
Hackthis!! Writeup——Intermediate Level
qq_43148462的博客
03-04 481
Level1: Use the GET method to send the password ‘flubergump’ to this page 要求用get的方式向网站发送password,于是我们直接访问 https://www.hackthis.co.uk/levels/intermediate/1?password=flubergump 便可以过关。 Level2: Use the...
Hackthissite Basic-Writeup
Shinukami's Space
05-25 1300
Address: www.hackthissite.org Recently , I just writeup some simple CTF at www.hackthissite.org The Basic Missions Writeup: Basic-1:         lookup the source of the page Basic-2:      
Hackthis!! Writeup——Basic+ Level
qq_43148462的博客
03-04 368
Level 1: 首先在网站上可以下载到一个b1.txt,下载下来直接打开是乱码。于是用010editor打开进行分析,发现该文件格式是一个jpg文件,于是改后缀名为.jpg获得username和password 关于jpg格式的分析,可以看这篇文章 https://blog.csdn.net/su1041168096/article/details/80938977 Level 2: ...
Hackthis!! Writeup——Crypt Level
qq_43148462的博客
03-05 500
Level 1: 这道题。。。反过来看一下就OK了。。。略了 Level 2: Aipgsqi fego, xlmw pizip mw rsx ew iewc ew xli pewx fyx wxmpp rsx xss gleppirkmrk. Ws ks elieh erh irxiv xlmw teww: wlmjxxlexpixxiv 这道题是一道凯撒密码的题,上网随便搜一个或者自己写一...
hackthis攻略(Crypt Level)
qq_28719743的博客
08-31 680
Crypt Level 1 这个…..考眼力了,就是把语句颠倒看就是了 密码:woocrypt Crypt Level 2 这个也很简单,最后teww:***** 有个冒号,肯定是在说 pass:***** teww和pass的区别就是对应的字母差了4个字母,这就是凯撒密码 密码:shiftthatletter Crypt Level 3 这个很明显,...
i春秋ctf夺旗赛(第四季)writeup——web
jammny
01-06 1969
前言: 这次的比赛一共有六道web题,接下我会详细介绍解题的步骤以及思路,以便让小白和没有接触过这类题型的小伙伴们能读懂。 第一题,nani 1、打开网页啥都没有,内容一片空白啥。这时候我们应该按F12去查看网页源码。往往很多提示和关键性信息都藏在这里。如图所示: 2、得到提示:./index.php?file=show.php ;看到关键字file,下意识想会不会存在文件包含呢?不急,我们先去访...
PWN STEP2 writeup —— 初试栈溢出
格物致知
05-02 3274
Hint:缓冲区溢出时需要构造好哪些东西? 题目描述: pwnstep Writeup: 纠结要不要把这篇writeup归到“原创”分类下,因为这道题是看了大神的writeup(注:http://blog.csdn.net/zh_explorer/article/details/45193905)之后才做出来的。。。。。。。。。 不过脚本完全是自己写的,所以姑且将它算为“原创”吧
hackthis攻略(Basic Level)
qq_28719743的博客
03-23 6020
Basic Level 1 下载这个b1.txt文件,打开 乱码 我们把文件拉到ubuntu里面看看怎么回事 原来是一个bmp文件被改了后缀名改成txt了,怪不得一堆乱码 修改后缀名 打开 Basic Level 2 浏览器默认UA被限制访问,找一个拓展把浏览器UA改成secure_user_agent就可以了 我是用User Agent Sw...
hackthis攻略(Intermediate Level)
qq_28719743的博客
03-24 1724
Intermediate Level 1 这个比较简单,改一下url就可以了 Intermediate Level 2 和Basic Level 3类似的解决办法 搞一个按钮出来,点击就通过了 Intermediate Level 3 虽然写了danger,但是我还是义无反顾的点击了,然后才知道不能点,点了就失败了 Intermed...
Hack This Site JavaScript 4
记录、总结
02-04 814
Hack This Site JavaScript 4 题目描述: 解题思路: 我们可以先从题目着手,题目给出var?的提示,还说什么试图要欺骗我们,让我们做很多的无用功。我们来看密码提交页面的代码,发现如下代码: 如果你懂得JavaScript中var的作用,并且知道定义变量的知识,那么看了JavaScript中check函数的代码之后,你可能认为密码应该是hack_this_site,等我...
hackthis攻略(Coding Level)
qq_28719743的博客
08-31 509
Coding Level 1 要我们排个序,限时5秒,所以我们得写个程序来实现 用python写个脚本就好了 import requests, re # 创建session对象 r = requests.session() postdata = {'username': '****', 'password': '****'} # 我使用了代理,这个可以看情况...
hackthis攻略(Main Level)
qq_28719743的博客
03-23 1634
遇到不会的时候可以看看show hint里面的提示 Main Level 1 查看网页源文件,搜索username 用户名密码以注释的形式隐藏了,所以填入in和out后submit就可以了 Main Level 2 方法和level1一样,查看源文件 用户名和密码通过span标签弄成和页面背景同个颜色了,填入resu和ssap后submit ...
凯撒密码
weixin_43723935的博客
10-03 7008
为了防止信息被别人轻易窃取,需要把电码明文通过加密方式变换成为密文。输入一个以回车符为结束标志的字符串(少于80个字符),再输入一个整数offset,用凯撒密码将其加密后输出。恺撒密码是一种简单的替换加密技术,将明文中的所有字母都在字母表上偏移offset位后被替换成密文,当offset大于零时,表示向后偏移;当offset小于零时,表示向前偏移。 输入格式: 输入第一行给出一个以回车结束的非空字符串(少于80个字符);第二行输入一个整数offset。 输出格式: 输出加密后的结果字符串。 输入样
【4.29安恒杯】writeup
aodiyi6351的博客
08-06 435
#### 安恒杯_writeup 下面为比赛中做出的题目 MISC: SHOW ME THE FLAG-by-cyyzore CRYPTO: LAZYATTACK-by-GoldsNow 这一题非常巧。所有的队伍里面仅仅有我们一个队伍将其做出来。 这一题做出来完全然全是靠运气,在当我做出这一题的时候感觉是懵逼的,全然不知道是怎么回事...
CUMT第一轮双月赛Web题解
0verWatch的博客
12-17 970
ez-upload 这个题目作为Web题的第一个题难度刚好,很基础的漏洞点,就考了个文件上传,上来直接用phtml就可以绕过,但是给出来的hint是.htaccess,可能是我非预期了? 菜刀链接获取flag Cve 参考了这篇文章:https://www.menzel3.fun/2018/08/02/Drupal%20CVE2018-7600/#代码执行现场 这是一个Drupal 7的cve...
安恒月赛WriteUp-2018.12
BlusKing
12-22 2927
安恒月赛WriteUp2018-12月   WEB1-easy: web1反序列化   一打开就显示了源代码:  <?php   @error_reporting(1); include 'flag.php'; class baby {        public $file;     function __toString()           {      ...
奇怪的恐龙特性
hhh
11-17 561
  做这道题发现了好多自己之前完全不知道的小知识…… php小特性   php自身在解析请求时,会把+和.解析成下划线; 数字绕过   数组永远比数字大,永远比数字大hh 字符   admin在和整形比较时,会被强制转换成整形,而它的整形……刚好是0   所以,payload就是…… http://60.205.189.243:9010/?A+A[]="admin" ...
2020 YCBCTF羊城杯官方Writeup:PHP与Web安全解题技巧实录
2020YCBCTF羊城杯官方Writeup是一份详细的竞赛报告,涵盖了该年度网络安全 Capture The Flag (CTF) 比赛中的一系列挑战,主要集中在Web、PHP、漏洞利用、密码学、以及逆向工程等不同领域。以下是各个部分的主要知识...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值