一、PHP2
1.百度搜索攻防世界,进入官网,然后选择题库,web,新手模式,在下面的题目中找到PHP2
2.点击进入,点击获取题目场景,完成后进入网址,看到如下界面
3.查看源代码:在地址栏继续输入/index.phps,然后按下回车,看到如下界面
4.将地址复制到火狐浏览器打开,记得关闭火狐中的代理(用自带浏览器也可以),接下来打开burp,点击decoder,然后输入admin,在右侧encode as中选择URL,看到如下界面
5.此时一次编码成功,但浏览器会自行进行一次解码,所以需要二次编码,即在第二栏右侧进行同样的操作,看到如下界面
6.第三栏的内容即为我们所需要的内容,将其复制下来,回到浏览器,在浏览器的地址栏中删去刚刚添加的/index.phps,在后面输入?id=,然后粘贴在后面,如图所示
7.按下回车键,即可看到答案,将答案复制到PHP2的flag即可
二、backup
1.输入如下,点击回车
2.使用记事本打开
三、weak_auth
1.先随便输试试看,发现提示用户名为admin,接下来爆破密码即可
2.打开bp开始抓包
3.选择密码,点击add
4.点击payloads,点击load,选择一个字典,打开后点击右侧start attack就可以开始爆破了。
如果速度太慢可以建一个多线程,再开始攻击
5.找到结果中长度不一样的密码即为正确密码,登录后即可看到flag
四、simple_php
输入如下,按下回车后即可
五、baby_web
1.输入index.php后没反应,用bp抓包
2.然后点击send,即可发现flag