网络信息安全实验室----基础关

web菜逼一枚，如有错误，欢迎大家指出，一起共同进步吧！

第一题

key在哪里？分值: 100

过关地址

直接查看源代码。

第二题

再加密一次你就得到key啦~分值: 150

加密之后的数据为xrlvf23xfqwsxsqf

根据经验来看，它是rot-13加密（凯撒密码（字母按照某种形式进行替换）的一种变形）

这里是一个非常好的加解密网站：

http://www.mxcz.net/tools/rot13.aspx

第三题

猜猜这是经过了多少次加密？分值: 200

加密后的字符串为:

根据最后面的等号初步判断为base64解码，然后找个网站进行多次解密，也可以写一个python跑跑结果:

`import base64

`secret=''#这里赋值那一长串的东西

`key=base64.b64decode(secret)

`print(key)

`for i in range(0,20):

`try:

`        key = base64.b64decode(key)

`except:

`        print(key)

第四题：

据说MD5加密很安全，真的是么？分值: 200

e0960851294d7b2253978ba858e24633

在线解密就好，我是在：

http://www.cmd5.com/

第五题

种族歧视分值: 300

小明同学今天访问了一个网站，竟然不允许中国人访问！太坑了，于是小明同学决心一定要进去一探究竟！

通关地址

尝试用burp抓包，没抓到什么的东西。

外国人，一般都在burp头部信息可以修改的好像只有语言，这里直接将burp的payload修改成如下形式（去掉中文）：

得到flag

第六题

HAHA浏览器分值: 200

据说信息安全小组最近出了一款新的浏览器，叫HAHA浏览器，有些题目必须通过HAHA浏览器才能答对。小明同学坚决不要装HAHA浏览器，怕有后门，但是如何才能过这个需要安装HAHA浏览器才能过的题目呢？

通关地址

这个和上题一样，都需要修改头文件，这里应该是要修改浏览器为HAHA，这里将payload修改为如下形式：

得到flag

第7题

key究竟在哪里呢？分值: 200

上一次小明同学轻松找到了key，感觉这么简单的题目多无聊，于是有了找key的加强版，那么key这次会藏在哪里呢？

通关地址

和上次找key的题一样，这里查看源码啥也没看到

尝试用burp抓包

可以看到key就在那里

第八题

key又找不到了分值: 350

小明这次可真找不到key去哪里了，你能帮他找到key吗？

通关地址

打开网页：

点击后：

所以可能是跳转界面中含有信息，尝试用burp抓包，果然：

然后访问这个文件就得到flag了。

第九题

冒充登陆用户分值: 200

小明来到一个网站，还是想要key，但是却怎么逗登陆不了，你能帮他登陆吗？

通关地址

打开网页

可以知道需要进行修改Cookie来进行登陆，这里用burp抓包：

这里把0改为1就可以登陆了。

第10题

比较数字大小分值: 100

只要比服务器上的数字大就可以了！

通关地址

查看网页源代码：

一看就需要改长度，然后提交一个大一些的数，这样改就行 了：

第11题

本地的诱惑分值: 200

小明扫描了他心爱的小红的电脑，发现开放了一个80端口，但是当小明去访问的时候却发现只允许从本地访问，可他心爱的小红不敢让这个诡异的小明触碰她的电脑，可小明真的想知道小红电脑的80端口到底隐藏着什么秘密(key)？

通关地址

打开网页：

可能需要修改ip，查看源代码：

果然需要修改ip，而且x-forwarded-for修改，这里直接这样就好了：

不对不对不对，源代码中已经给了key 了，直接提交，不过要修改的话可以改成这样：

第12题

就不让你访问分值: 150

小明设计了一个网站，因为总是遭受黑客攻击后台，所以这次他把后台放到了一个无论是什么人都找不到的地方....可最后还是被黑客找到了，并被放置了一个黑页，写到:find you ,no more than 3 secs!

通关地址

最后一题啦

打开网页后

然后直接访问admin.php，发现没有找到.....

然后尝试访问robots.txt，果然，出来了这些东西：

然后访问

http://lab1.xseclab.com/base12_44f0d8a96eed21afdc4823a0bf1a316b/9fb97531fe95594603aff7e794ab2f5f/

然后直接访问login.php，flag就出来了？？