最近看到了一个十分牛掰的靶场,里面有各种各样的好东西,链接在此https://adworld.xctf.org.cn
- web入门题,第一题
很显然,这道题只要能找到源代码就可以了,像火狐浏览器都有f12功能就可以查看网站源码,但是不知道为啥我的就不行,不过不要紧,在浏览器设置选项也是可以查看源代码的,大家别忘了点击题目场景里面的ip地址哦
成功获得源码
2. 第二题,robots.txt文件是一种类似于君子协议的东西,里面会存放一些默认的敏感文件,如果网站建站不删除此文件则会泄露一些敏感信息
如上图所示,已经暴露出flag的所在位置,只需要直接访问即可
3. index.php备份文件一般是安装好cms之后就要手动删除的,否则就会泄露一些重要文件,他和robots.txt十分相似,只是他还可以直接下载
当我们直接访问./index.php的时候并没有任何反应,我们此时可以尝试加上index.php.bak这种,果然可以下载,下载好就可以成功get到flag了
4. 第四题看就知道flag藏在cookie里面了,所以我们可以通过火狐浏览器拦截网络请求查看里面的详细信息,当然也可以通过拦截数据包使用burpsuite
我们果然发现里面另有玄机,我们直接访问./cookie.php
5. 这道题一看到不能按的按钮,首先联想到就是按一下,能按下去就好了
果然出现了一个按钮,只是按不下去,大家只需要查看元素,找打按钮的位置,将disabled删掉即可
删掉之后按下回车,重新点击按钮,果然出现flag
6. 从题目上来看,就可以知道是弱口令爆破,大家可以尝试一波弱口令
随便输了点东西,登陆一下之后弹出对话框,提示需要admin登录,得到用户名
随意的输入123456果然登录的,大家也可以拦截一下http请求,使用burpsuite进行爆破密码
7. 看题目的意思,猜测估计是命令执行漏洞,可以通过ping命令后面加上 && || | 等连接符进行多个命令执行
执行 127.0.0.1 && ls 之后出现了index.php文件
输入命令127.0.0.1 && find / -name 'flag*'成功找到flag的位置
执行127.0.0.1 && cat /home/flag.txt 命令,即可查看到flag
8. 看题目估计是和代码写的有关
呃呵,看代码是说以get方式提交,a0且b>1234但是b不能是纯数字,那么就可以是/?a0 & b=12345a
ok非常好,成功拿到flag
9. 看题目,是两者请求方式,分别是get方式和post方式
使用火狐自带的max-hackbar插件可直接进行模拟get和post提交
10. 这题一看就是要伪造请求,修改http数据包
使用burpsuite拦截数据,这里需要一个新的知识,就是伪造ip的时候,需要使用一个新的语句(http://www.jianshu.com/p/98c08956183d参考一下大牛的文章)
使用burpsuite进行数据包拦截,并且更改数据 X-Forwarded-For: 123.123.123.123
没好使,太尴尬了,在网上看了一下,有个大哥也是写在最下面没好使,然后把它夹在中间,终于告诉我提交的地址得是www.google.com
增加 Referfer:https://www.google.com 成功拿到flag
11. 这道题看上去应该是把不该写的东西给写进去了
点进去之后会出现一句话小马,密码是shell,这里大家可以直接用蚁剑之类的工具直接连接,也可以像我一样直接用max-hackbar直接来一下
我们直接在页面访问./flag.txt即可
12. 这道题有点意思,说怎么也输不对密码
不知道是什么鬼
查看检查器里面的内容,乱七八糟的,就是感觉和这趟代码有点关系
这串字符串在下要是没看错,应该是ascii十六进制,这个东西转换无敌麻烦,我手里的小葵和burpsuite瞬间就不香了,python还不太会,想了想用PHP写了个小脚本,但是有一个问题也没有明白,功能的实现也是糊里糊涂的,搞不懂怎么就从ascii十六进制转成了ascii十进制,我貌似是想将ascii十六进制直接转成字符串的
算了,不去管了