网络信息安全实验室----脚本关

web菜逼一枚,如有错误,欢迎大家指出,一起共同进步吧!

第1题

key又又找不到了分值: 200

小明这次哭了,key又找不到了!!!key啊,你究竟藏到了哪里,为什么我看到的页面上都没有啊!!!!!!

通关地址

打开题目:

进行点击:

可以考虑此题为界面跳转藏flag.

采用burp抓包,果不其然,得到key

脚本关吗,写一个垃圾脚本,也能得到flag:

第二题

快速口算分值: 350

小明要参加一个高技能比赛,要求每个人都要能够快速口算四则运算,2秒钟之内就能够得到结果,但是小明就是一个小学生没有经过特殊的培训,那小明能否通过快速口算测验呢?

通关地址

直接上脚本:

网络信息安全实验室----脚本关_第1张图片

题目3

这个题目是空的分值: 100

Tips:这个题目真不是随便设置的。

什么才是空的呢?

通关地址:没有,请直接提交答案(小写即可)

直接提交null,答案就出来了??

题目4

怎么就是不弹出key呢?分值: 150

提交说明:提交前14个字符即可过关

通关地址

打开题目:

然后点击后没什么反应。

查看源代码:

网络信息安全实验室----脚本关_第2张图片

源代码都已经给出了,尝试在本地运行源代码 ,调整为如下代码即可弹出flag

网络信息安全实验室----脚本关_第3张图片

提交了老久都说不对,然后结果没有去除'chars',无奈,去掉以后再次提交,得解。

第5题

逗比验证码第一期分值: 100

逗比的验证码,有没有难道不一样吗?

通关地址

网络信息安全实验室----脚本关_第4张图片

首先对题目进行分析,截取发送的包:

网络信息安全实验室----脚本关_第5张图片

发现多次提交后只要Cookie不变,验证码就不会改变,这就想到了验证码创建一个会话(Session)

脚本题吗,就需要写一个脚本(刚开始做 了老半天没做出来,没有考虑login.php)

网络信息安全实验室----脚本关_第6张图片

第6题

逗比验证码第二期分值: 150

验证便失效的验证码

通关地址

题目提示是“验证便失效的验证码”,采用burp抓包,然后验证一次后就将验证码去掉发现可以绕过。

网络信息安全实验室----脚本关_第7张图片

再在界面上整整,发现同一个cookie必须验证一次验证码,这样就简单了,和刚刚一样,只需要将上一题的脚本稍微改一改,脚本如下:

网络信息安全实验室----脚本关_第8张图片

第7题

逗比的验证码第三期(SESSION)分值: 150

尼玛,验证码怎么可以这样逗比。。

验证码做成这样,你家里人知道吗?通关地址

采用burp抓包,发现和上一题一模一样???(你家里人知道吗????)

网络信息安全实验室----脚本关_第9张图片
和上一题代码一样,只是地址变了

第8题

微笑一下就能过关了分值: 150

尼玛,碰到这样的题我能笑得出来嘛...

通关地址

查看网页源代码,点击"?view-source"可以看到源代码:

网络信息安全实验室----脚本关_第10张图片

这道题比较简单,我挑重点讲哈,然后主要是对^_^进行赋值,但是值中不能有_,这就需要url编码绕过。然后需要使用file_get_contents来获取东西,总结如下:

网络信息安全实验室----脚本关_第11张图片
参考:http://blog.csdn.net/qq_30637197/article/details/52933130

然后直接使用第一个就好了,payload:

网络信息安全实验室----脚本关_第12张图片

第9题

逗比的手机验证码分值: 150

你的手机号码是13388886666,验证码将会以弹窗的形式给出

通关地址

傻瓜式从操作了几次后发现让登陆手机号13388886667,而且多次验证后发现验证码都是4位数字,这就好办了,直接上代码:。。

跑了半天没结果,这里就不丢人了,后来发现直接获取66的验证码在用67登陆可以直接拿到flag

第10题

基情燃烧的岁月分值: 150

Tips:你是一名黑客,你怀疑你的“(男/女)闺蜜”的出轨了,你要登陆TA手机的网上营业厅查看详单,一探究竟! 闺蜜手机号码:13388886666

通关地址

写的脚本如下:

网络信息安全实验室----脚本关_第13张图片

但是不知道为什么提示错误no session,no talk,做不了(跪求大佬帮忙啊)

但是用burp竟然可以做,然后直接用burp先爆破,然后后面会出来一个手机号,那个再次暴力破解验证码就可以得到flag。

第11题

验证码识别分值: 350

验证码识别

Tips:验证码依然是3位数

通关地址

                扑街(涉及到识别验证码,还未学习,未完待续)






第12题

XSS基础关分值: 50

XSS基础:很容易就可以过关.XSS类题目必须在平台登录才能进行.登录地址请参考左侧<子系统>

通关地址


直接在alert(HackingLab)[加上script]就能出flag

第13题

XSS基础2:简单绕过分值: 100

很容易就可以过关.

通关地址

输入上一题的答案(两道题的嵌入应该是一样的),然后

采用上一题的html进行编码,不过貌似没有什么作用(虽然成功提交了)

然后进行多次尝试,发现除 了不能有

你可能感兴趣的:(网络信息安全实验室----脚本关)