码迷,mamicode.com
首页 > Web开发 > 详细

xctf-WEB-新手练习区Exercise area-Writeup

时间:2020-05-10 16:38:02      阅读:142      评论:0      收藏:0      [点我收藏+]

标签:font   php   list   php文件   需要   span   ctf   函数   新手练习   

1        XCTF平台Web新手练习区

 

https://adworld.xctf.org.cn/task/task_list?type=web&number=3&grade=0&page=1

技术图片

 

 

1.1      view_source

 技术图片

  无法右键;

 技术图片

  F12,取得flag~

 

1.2      robots

 技术图片技术图片

  根据题目提示,尝试访问robots.txt;

 技术图片

  获得信息:f1ag_1s_h3re.php,访问该php文件;

 技术图片

  取得flag~

 

1.3      backup

 技术图片

技术图片

  备份文件,尝试访问index.php.bak文件;

 

 技术图片

  下载该备份文件;

 

 技术图片

  取得flag~

 

1.4      cookie

 技术图片

技术图片

  查看cookie;

 技术图片

  访问cookie.php文件;

 技术图片

  查看返回包;

 技术图片

  取得flag~

 

1.5      disabled_button

 技术图片

技术图片

  将disabled删掉后点击按钮;

 技术图片

  或者POST auth=flag;

 技术图片

  取得flag~

 

1.6      weak_auth

 技术图片

  尝试输入;

 技术图片

 

  用admin;

技术图片

  提示需要一本字典,应该是弱口令爆破;

 技术图片

  尝试了一下123456,取得flag,emmm…

 

1.7      simple_php

 技术图片

 技术图片

  分析一下代码:

  用GET方法传递两个参数a和b,$a==0为真且$a为真时给flag1,$b不是数字或数字字符串,且$b>1234时给flag2;

 

 技术图片

  构造一下取得flag~

 

1.8      get_post

 技术图片

技术图片

  让用GET提交一个名为a值为1的参数;

 技术图片

  然后用hackerbar工具用POST提交一个名为b值为2的参数;

 

 技术图片

 技术图片

  取得flag~

 

1.9      xff_referer

 技术图片

技术图片

  限定了访问IP必须为123.123.123.123;

 

 技术图片

  拦包后添加XFF头部参数并添加IP123.123.123.123;

 技术图片

  又提示必须来自https://www.google.com;

 技术图片

  添加Referer字段,取得flag;

 

1.10  webshell

 技术图片

技术图片

  根据题目,该句话在index.php文件中,直接拿菜刀连;

  我用的是Cknife,好像连不上,直接输命令吧;

 

技术图片

  可以看到web目录下有一个flag.txt文件;

 技术图片

  打印flag.txt文件内容,取得flag~

 

1.11  command_execution

 技术图片

 技术图片

  用管道符即可输入命令,先判断是什么操作系统;

 

 技术图片

  判断为linux系统,当前目录下只有index.php文件;

 

 技术图片

  很多文件夹啊,分析一下,根据最近修改时间可以判断只要不是今天的基本可以排除,然后根据文件大小,过小的可以排除,只剩下/etc、/home和/tmp了,一般不会在/tmp临时文件里,看看/etc和/home里都有啥;

 

 技术图片

  我首先试了/home,很惊喜啊,直接找到了flag.txt;

 

 技术图片

  查看文件内容,取得flag~

 

1.12  simple_js

 技术图片

技术图片

  直接让输入密码,随意输一个试试;

 技术图片

技术图片

  查看源码,分析一下可以发现输入的内容格式大致应为用“,”断开的数字字符串;

 

 技术图片

  看到一串字符,先去转换一下变成十进制;

 

 技术图片

  试着用了一下这个函数,但是返回的是提示密码错误的返回,然后尝试转为ascii码对应的字符,获得一串字符后,根据题目提示flag格式为Cyberpeace{xxxxxxxxx},输入Cyberpeace{786OsErtk12},成功。

 

xctf-WEB-新手练习区Exercise area-Writeup

标签:font   php   list   php文件   需要   span   ctf   函数   新手练习   

原文地址:https://www.cnblogs.com/Dio-Hch/p/12863563.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!