1.PHP2
- (1)进入攻防世界网站,点击题库
,选择web,再选择新手模式,点击php2,然后点击获取在线场景。
(2)点击获取在线场景,点击出来的网站,会出现下面的页面。
在URL上输入index.phps,会出现该页面 。这段的意思是admin不能等于id,但解码后的id要等于admin。
打开burp suite,点击Decoder,点击encoder,进行编码,由于输入浏览器时,浏览器会自动进行一次解码,说以我i们要进行二次编码。
将二次编码的码输入到URL,得到flag,输到题目中,解出该题。
2.simple-php
点击网址, 看到如下界面,由此可判断出a的值要等于0,且是真值。b的值不能是纯数字,还要大于1234。
我们可以在URL上写a==0,b=9999bgf(随便的英文)。得到该题的flag。
3.back-up
点击网址,看到如下界面。根据提示,index.php的备份文件形式一般为php~或php.bak.
我们可以在URL中输入index.php~或index.php.bak。最后发现bak的形式可以,会出现下载页面。点击下载。打开。
得到flag,解出该题。
4.weak-auth
点击网址,得到如下场景 ,我们可以写123为用户名,456为密码。
打开burp,进行爆破。得到用户名为admin,得到密码为123456
输入用户名和密码 ,解开该题
5.baby-web
点击该网址,进入以下界面。
用burp进行抓包,发送到 repeater,点击send,会出现hello,world.
根据提示,我们应该把在第一行前加上index.,同时删掉1.。点击send,得到flag,解决该题。