學習目標:
做自己喜歡的事
學習內容:
攻防世界新手區練習
學習時間:
2021年2月6日
學習產出:
1.
打開后會出現
查看其HTML
2.
首先需要了解啥是robot協議
在其后綴加入robots.txt后得到
然后在URL后面加入f1ag_1s_h3re.php
3.
打開后
首先需要了解啥是index.php備份檔案名
所以在URL后面加上index.php.bak
發現bak檔案直接打不開,所以需要在 bak檔案所在的檔案夾中用記事本的形式打開,查看他的HTML
找到cyberspace
4.
首先需要了解啥是cookie協議
所以在URL上加上cookie.php得到結果是
看到這種情況看到提示說查看response,回應頭就一定藏著flag
5.
發現點不了這個flag
發現有一個disabled,disabled屬性可設定或回傳是否禁用單選按鈕,所以刪掉disabled屬性
6.
隨便登陸,提示說要admin登陸
查看HTML沒看到重要資訊,所以就需要暴力破解了
用到burp suite(需要Python環境),所以提前先下載Python環境
看到這個123456回傳長度不一樣,所以密碼就是123456,賬號就是admin
7.
分析代碼,需要滿足$ a==0 and $b>1234,b還不能是數字
我們使a=true 當比較時true轉換為0 輸出前半段
b=2000a 比較時轉換為2000>1234.輸出后半段
8.
這一看就是考get post唄
get方式提交即url上輸入
post提交使用火狐瀏覽器(需要用到hackbar插件)
12.
打開頁面后讓你輸入密碼,(放心,你是不可能輸入對的)
查看頁面的源代碼
發現了重要的東西
有2c 明顯是十六進制
將這些十六進制數轉換成十進制后,
55,56,54,79,115,69,114,116,107,49,50
sacll處理后得到
Cyberpeace{786OsErtk12}
9,10,11題小白還沒弄懂,等小白弄懂后,再在上面補充,*
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/257753.html
標籤:其他
上一篇:你們要的微信紅包封面來了