网络信息安全攻防学习平台(基础关)

 目录

key在哪里？

再加密一次你就得到key啦~

猜猜这是经过了多少次加密？

据说MD5加密很安全，真的是么？

种族歧视

HAHA浏览器

key究竟在哪里呢？

​编辑key又找不到了

冒充登陆用户

比较数字大小

本地的诱惑

就不让你访问 

---

key在哪里？

1.点进去通关链接，网页里面只有一句话“key就在这里中，你能找到他吗？”

2.查看网页源代码

3.里面有一句被注释掉了，就是我们需要的key

再加密一次你就得到key啦~

1.根据题目提示得到只要对密文在进行一次加密就可以得到key了

2.由于不知道要加密的类型只好一个一个的去尝试了

3.最后发现是rot13的加密方式，可以看到密文通过rot13加密后出现了keyis...这样的提示

 

 猜猜这是经过了多少次加密？

1.根据题目的意思需要对题目提供的密文进行不断的解密才能够得到key

2.根据密文最后的等于号，猜测可能是base64加密

3.开始进行解密 

4.最后得到了key

 据说MD5加密很安全，真的是么？

1.根据题目提示可能是md5加密

2.对密文进行md5解密

3.解密出来的结果就是key 

种族歧视

1.进入链接，发现里面只有一句话“only for Foreigner” 

2.查看一下网页源代码，并没有发现key

3.尝试抓包

4.可以利用里面Accept-Language这个参数，把 “zh-CN,zh;”去掉，只留下“q=0.9,en-US;q=0.8,en;q=0.7”

5.点击forward

6.网页上立马出现了key 

HAHA浏览器

1.点开链接，只给出一句话“只允许使用HAHA浏览器，请下载HAHA浏览器访问！”

2.说明了需要修改浏览器的agent

3.我使用的是burpsuit抓包工具进行修改

>>首先抓包

>>抓到的数据包里面有一个User-Agent的参数，我们需要的就是修改里面的参数

>>将Firefox修改成HAHA

>>修改成功后点击 forward，就可以看到网页出现了key

 key究竟在哪里呢？

1.点进去链接，里面只有一句话“Key就在这里，猜猜这里是哪里呢？(Web找key加强版)”

2.查看网页源代码，没有发现key

3.进入开发者模式尝试寻找key

4.最终在标头里面找到了key 

key又找不到了

1.点击 题目链接，发现题目里面还有一个链接，上面写着“到这里找key”

 2.点击进入链接，上面写着“key is not here!” 

3. 查看两个页面的源代码，都没有发现key

4.按F12进入开发者模式查看，仔细检查表头及请求字符串，并发现并没有可以着手的地方，包括请求和响应各种尝试都无解。

5.使用抓包工具进行抓包

>>首先尝试使用burpsuit抓包工具

>>将抓到的数据包发送到repeat模块查看响应

>>点击send查看响应 

>>看到一个很像key的地方，尝试进入“./search_key.php”这个路径下

>>发现无法进入，总是会跳到另外一个路径

>>再次使用burpsuit抓包工具对该路径进行抓包

>>将抓到的数据包发送到repeat模块查看响应

>>点击send查看响应 

 >>又得到了一个路径

 >>进入该路径下进行查看，找到key

其他方法

>>可以使用另外一个抓包工具尝试抓包（wireshark） 

>>先在网页上进入开发者模式，查看ip地址（用于在wireshark中作筛选）

>>这里使用到的是 Edge浏览器进行查看，（火狐浏览器我没有找到IP地址，谷歌浏览器我的不知道为什么没有得到响应）

>>也可以使用burpsuit进行抓包查看IP地址

 >>开启wireshark抓包

>> 先筛选我们需要的包

>>在服务器发来的信息中有一条显示302 Found中找到了key的提示
（302 Found: HTTP协议中的一个状态码(Status Code)。 可以简单的理解为该资源原本确实存在，但已经被临时改变了位置）

 >>最终得到了正确的地址找到了key

>>还可以使用另外一种抓包工具进行抓包（Fiddler） 

>>用这个工具可以更快的找到关于key的提示 

冒充登陆用户

1.点击进入题目，得到提示“必须要登陆才能得到key” 

2.查看网页源代码没有得到key

3.进入开发者模式看到了cookie参数里面看到“Login=0”，由此可知这是一个突破口

3.使用抓包（burpsuit）修改login值

 >>将Login值改为1，点击forward

>>便得到了key

比较数字大小

1.开始提示要比服务器上的数字大，点击进入题目，里面有一个输入框

 2.尝试输入一个数字 999,提示数字太小了，同时发现这个输入框只能输入三位数的数字

 3.进入开发者模式，将maxlength的值改成10 （由于不知道服务器上的数字使用值尽量大）

>>在输入框中输入“9999999999”后点击提交，得到key

 本地的诱惑

1.点击进入题目，给出提示“必须从本地访问！”

 2.查看源代码，一下子就看到了key

3.应该是题目出现了问题 

就不让你访问 

1.点击进入题目，得到一句提示“I am index.php , I am not the admin page ,key is in admin page.” 

>>尝试进入admin.php进行查看

>>并没有找到 

2.查看网页源代码没有得到什么

3.进入开发者模式也没有得到什么

4.使用burpsuit抓包

 >>查看数据包没有得到什么有用的信息

>>将抓到的数据包发送到repeat模块查看响应

 >>点击send查看响应 ，也没有得到有用的信息 

5.看是否可以进入查看robots.txt

>>发现可以进入

>>发现有一个不允许访问的地址，进入访问

 >>访问过后得到新的提示

 >>尝试继续访问login.php

>> 得到flag