一点知识:查看源代码的三种方式:
1.点击右键,选择查看网页源代码
2. 按下F12键,选择elements
3. 网页地址栏前面加上入view-source
滑稽
打开题目地址可以看到一群滑稽
F12查看,即可发现flag
计算器
打开题目地址看到一道加法题
但是只能输入一位数,F12查看源码发现长度限制为1
将其修改为大于2,返回页面输入题目答案验证即可得到flag
GET
打开题目会发现
源码直接给出了了传入参数(PHP传入参数要 ‘?’) 直接what=flag 即可得到
POST
标题post,打开题目我们使用Firefox上一款明为hackbar的插件进行post请求即可得到flag
本地管理员
打开题目地址看到下面一串nnn,F12查看源码发现一串信息:dGVzdDEyMw
观察信息,用base64解码后,得到test123,可能是个密码;
返回原界面,尝试输入账号密码,因为题目为本地管理员,所以我账号首先想到了admin,密码使用刚刚解密出来的test123,返回信息为:
继续输入上述账号密码,使用burpsuite抓包
因为题目提示是本地管理员,添加X-Forwarded-For:127.0.0.1伪造本地IP请求头,sent后,flag就展示在响应信息里了
X-Forwarded-For
X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。它不是RFC中定义的标准请求头信息,在squid缓存代理服务器开发文档中可以找到该项的详细介绍。
新手第一次接触ctf,第一次写博客,如有问题请多多包涵指正。