CTF
CTF Write Up
天才魔仙
这个作者很懒,什么都没留下…
展开
-
XCTF-WEB练习区-012-simple_js
012-simple_js 题目描述 小宁发现了一个网页,但却一直输不对密码。(Flag格式为 Cyberpeace{xxxxxxxxx} ) 解题思路 一路点击,最后获得的一个response页面源码中含有一份JS代码,解读一下 大概阅读+猜测一下,不管输入什么密码,它都会输出哪个pass的值。ascii码转一下,目测或者打开jupyter,写python脚本,可以得出就是那个弹窗里的FAUX PASSWORD HAHA 观察到程序里面有一大串奇怪的字符,盲猜跟密码有关。\x35转换成10进制原创 2022-03-29 14:34:30 · 4581 阅读 · 0 评论 -
XCTF-WEB练习区-011-command_execution
011-command_execution 题目描述 小宁写了个ping功能,但没有写waf,X老师告诉她这是非常危险的,你知道为什么吗。 解题思路 使用分号来输入多条命令 首先输入pwd查看一下当前路径 使用find命令查找一下有没有名字里带flag的文件,find命令是默认递归查找的,所以我们就指定根目录地址 找到一个 我们打开它看看 ...原创 2022-03-29 10:52:54 · 76 阅读 · 0 评论 -
XCTF-WEB练习区-010-webshell
010-webshell 题目描述 小宁百度了php一句话,觉着很有意思,并且把它放在index.php里。 解题思路 php代码一定要放在<?php ?>里面执行 eval() 函数就是把字符串按照 PHP 代码来计算。 @符号是让语句不报错 预定义的 $_POST 变量用于收集来自 method=“post” 的表单中的值。名称即为 _POST[ ] 括号中的值。 因此我们需要利用burpsuite,使用POST方法提交名称为shell的一个变量 但变量的值是啥呢?这时候就要思考一下题目w原创 2022-03-29 10:21:15 · 3496 阅读 · 0 评论 -
XCTF-WEB练习区-009-xff_referer
009-xff_referer 题目描述 X老师告诉小宁其实xff和referer是可以伪造的。 解题思路 百度搜索xff和referer是什么 使用burpsuite,把包转到repeater,加上一条 X-Forwarded-For:123.123.123.123 再加一条 Referer:https://www.google.com 有个注意点,get包后面一定要空两行,但我不知道为啥 ...原创 2022-03-28 16:26:22 · 82 阅读 · 0 评论 -
XCTF-WEB练习区-008-get_post
008-get_post 题目描述 X老师告诉小宁同学HTTP通常使用两种请求方法,你知道是哪两种吗? 解题思路 跟着页面提示走,get方法就直接url加上?a=1 POST方法还是用了burpsuite,右键send to repeater,然后在repeater页面,change request method,把get改成post,在地址那加上?a=1,然后在最下面加上b=2 ...原创 2022-03-27 11:30:11 · 143 阅读 · 0 评论 -
XCTF-WEB练习区- 007-simple_php
007-simple_php 题目描述 小宁听说php是最好的语言,于是她简单学习之后写了几行php代码。 解题思路 阅读这个php代码,它要求a==0成立并且a不为0(false),才会输出flag1,要求b>1234并且b不为数字,才会输出flag2。 php里的比较会把两边类型转化成一样的再比,所以可以把 a 设置成字符 ‘0’。数字和字符混合以后转化成整数只保留数字,所以可以把b设置为1235t 在url里加上 ?a=‘0’&b=1235t ...原创 2022-03-27 11:05:55 · 2727 阅读 · 0 评论 -
XCTF-WEB练习区-006-weak_auth
006-weak_auth 题目描述 小宁写了一个登陆验证页面,随手就设了一个密码。 解题思路 随便输点东西,提示需要以用户admin来登入 随便数个密码进去,它提示密码错误,按下f12,发现有个使用字典的提示 此题需要使用到工具,burpsuite。我使用了kali虚拟机里自带的免费社区版。推荐大家直接去burpsuite官网跟着它的建议入门教程过一下,了解一下基础用法。 输入admin点击登录,查看网络包,右键 copy to intruder,点击intruder-position,把原创 2022-03-27 10:50:33 · 2162 阅读 · 0 评论 -
XCTF-WEB练习区-005-disabled_button
005-disabled_button 题目描述 X老师今天上课讲了前端知识,然后给了大家一个不能按的按钮,小宁惊奇地发现这个按钮按不下去,到底怎么才能按下去呢? 解题思路 一开始,我是按下f12,打开设置(齿轮图标,setttings),选择禁用JavaScript,但是感觉有点子赖皮 于是我查看源代码 把这个 disabled=“” 去掉,点击按钮 ...原创 2022-03-26 21:17:20 · 234 阅读 · 0 评论 -
XCTF-WEB练习区-004-cookie
004-cookie 题目描述 X老师告诉小宁他在cookie里放了些东西,小宁疑惑地想:‘这是夹心饼干的意思吗? 解题思路 我不太知道 但我按下了f12,印象里和网络传输的包有关,于是点开network那一列,看眼尖的我发现了什么! url访问cookie.php,再次眼尖! ...原创 2022-03-26 20:25:53 · 510 阅读 · 0 评论 -
XCTF-WEB练习区-003-backup
003-backup 题目描述 X老师忘记删除备份文件,他派小宁同学去把备份文件找出来,一起来帮小宁同学吧! 解题思路 我不知道,所以我打开百度,搜索index的备份文件名是什么 于是在网站的url里去访问这个文件 它叫我下载,那我就下载,下载完了打开文件 ...原创 2022-03-26 19:54:20 · 204 阅读 · 0 评论 -
XCTF-WEB练习区-002-robots
002-robots 题目描述 X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。 解题思路 不知道robots协议是啥,打开百度搜索 在网页url处访问robots.txt 发现flag地址,把url改成该地址在这里插入图片描述 ...原创 2022-03-26 19:24:46 · 472 阅读 · 0 评论 -
XCTF-WEB练习区-001-view_source
001-view_source 题目描述 X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 解题思路 按下F12,查看网页源代码即可原创 2022-03-26 19:13:08 · 423 阅读 · 0 评论