Bugku CTF 学习记录(sayo)
Bugku CTF 学习记录(sayo)
web篇
1.web2
打开后满屏滑稽,F12即可,简单掠过。
2.计算器
对输入框进行限制,但前端限制等于没限制,F12后修改maxlength参数即可
3.web基础 get
阅读一下php程序,是需要发起一个get请求,在浏览器中输入 “?what=flag”即可,更详细的php语法以及浏览器如何发起get请求还请移步****搜索框。
4.web基础 post
阅读一下php程序,是需要发起一个post请求并代入特定参数,这里写了一个简单的python实现(flag见终端框),听说能用其他插件实现,自己写也不费事。
5.矛盾
同样是发起get请求,但根据php代码,需要一个num的值不是数字且值为1的参数,只需在参数后面添加一下其他符号就可以绕过了,比如如图中一样加一个逗号。
6.web3
一个空白网页,查看源代码,如下:
根据经验,这些是常规符号与代码的转化,查询资料得知搜狗搜索可以直接都其进行转换。有个细节问题是,由于代码过长,以前文方法解除前端限制。
转换后如下:
7.域名解析
对于特殊的域名,要手动更改hosts文件。以下为路径及更改内容(按照里面的例子修改即可):
保险起见修改后可以用cmd验证一下
ping成功,最后用浏览器访问即可
8.你必须让他停下
打开后网页不断闪烁,出现一些图片,源代码显示是图片在不断更换。既然要停下,那就先代理拦截下来。
起一个burpsuite,注意浏览器ip和端口的设置:
(这里使用的是火狐)
该网页很明显是图片的循环,拦截下来也就只有几种情况,依次拦截下来观察应该就会出现答案。
(flag在上图response中的下方)
日期:2020/11/11