Forms
看到这题目第一反应就是先抓个包试试,抓包之后效果如图所示
看到一个showsource=0,那就想着把它改成1看看会出现什么效果,改成1之后forward,发现网页上变成了这个样子
根据这个意思我们知道就是当输入a的值为那一串数字的时候会得到flag,于是直接把那一串数字copy下来Enter,最后得到了flag
Once more
依旧抓包
查看网页上的代码,之前做过类似题目,是函数参数类型错误,直接在password后面加上[]即可
what a fuck!这是什么鬼东西?
这是jother编码,有一堆的括号。直接F12,找到console,复制粘贴所有代码,然后回车,弹出key
貌似有点难
一开始看题目没什么思路,那就先抓个包看看吧,查看代码,发现代码说只有IP为1.1.1.1时访问才可以看见key,那我们就想办法给他换成1.1.1.1,直接在http 头部中加上X_FORWARDED_FOR字段,然后更上真实IP为1.1.1.1即可
接着forward,得到key
头有点大
很明显题目提示需要我们安装.net framework 9.9,然后要求在英国,需要用IE浏览器打开这三个条件,根据这些提示在User-Agent里添加上.net framework 9.9,把accept-language改为en-gb
forward之后即可得到key
Forbidden
同样,这道题和上一道类似,题目提示我们要在香港,那就把accept-language改为zh-hk
forward之后得到key
猫抓老鼠
先抓包,看到回包里Content-Row: MTQ2OTU1Njc1Mg==
这是很明显的base64编码,于是用base64解码之后得到1469556752,提交之后却返回check failed,于是尝试着直接提交MTQ2OTU1Njc1Mg==,没想到反而直接得到了key
请输入密码
看到题目是考js,直接先F12,在头部看到javascript看到如下源码
题目的意思是先计算出a的值跟我们提交的数进行比较,若相等,返回 true,若不相等,弹出密码错误。所以我们只要计算出a的值就可以了,把源代码中计算a的值的代码丢到console中执行
然后提交计算出来的值,即可得到key
进来就给你想要的
根据提示需要找后台,先改个目录试试,常用目录有admin,改完之后是这个效果
提示思路是正确的,但是需要更高的权限,比admin更高的权限是什么,当然是system,改完之后得到key
你能跨过去吗
先进行url解码
再对得到的编码进行base64解码,得到key
小结
这些题目都比较基础,但是目前有些题目做起来还是有一定的难度,在我看来,Web类的题目首先要把那几种常用的方法掌握,比如F12,抓包等基本技能,这里要说到一点就是抓包应该是我们每个人都必须要掌握的,常用的工具像burp suite也要会运用,这些技能对于我们解题帮助还是挺大的。目前自己仍处在一个菜鸟的水平,以后还要多多学习!