请求方式
先看题目
提示将GET改为CTFHUB,我们利用burp抓包,刷新页面即可
然后发送给重发器,修改后发送
得到flag
302跳转
Cookie
提示用管理员登录,抓包查看
0和1代表两个状态,我们改为1发包查看结果
得到flag
基础认证
发现题目需要登录
先任意输入admin/admin进行登录尝试。没什么反应。抓包看数据。
Basic表示基础认证,字符串格式xxxxxxxxx==大概率为Base64编码,暂时没有其他线索,我们假设用户名就是admin,然后进行暴力破解。因为题目给了个附件。
将报文发送到Intruder,先点击clear,再点击Add,将 Basic 后面 base64 部分添加为 payload position
然后添加前缀 admin: 有冒号记得
添加编码取消勾选
开始爆破
找到flag。
响应包源码
打开关卡
发现是个贪吃蛇小游戏,我们按F12,查看源码,可以看到
得到flag