首页 > Web开发 > 详细

XCTF-WEB-新手练习区(5-8)笔记

时间:2020-04-09 01:37:52      阅读:324      评论:0      收藏:0      [点我收藏+]

5:disabled_button

X老师今天上课讲了前端知识,然后给了大家一个不能按的按钮,小宁惊奇地发现这个按钮按不下去,到底怎么才能按下去呢?

删除disable="" 字段,点击按钮得到flag

技术分享图片

 

6:weak_auth  

小宁写了一个登陆验证页面,随手就设了一个密码。

关键:弱密码/字典暴力破解

Burpsuite抓包,获得HTTP报文

技术分享图片

右键加入到Intruder中

技术分享图片

选择需要暴力破解的字段

技术分享图片

导入字典

技术分享图片

猜解得出结果

技术分享图片

 

7:simple_php

小宁听说php是最好的语言,于是她简单学习之后写了几行php代码。界面如下

先用扫描工具扫一下,发现config.php为0B,因此主页为index.php

技术分享图片

 

 

 打开后为:

技术分享图片

 

 

 代码中可以看出,满足a==0且a为真,输出flag1, 当b为数字或数字字符串且b>1234时,输出flag2

 因此构造url:http://111.198.29.45:50255/index.php?a=%271%27&b=1235c

技术分享图片

 

 

 8:get_post

 X老师告诉小宁同学HTTP通常使用两种请求方法,你知道是哪两种吗?

 打开界面要求使用GET和POST方法进行传参

 GET方式通过URL方式传递,POST方式通过改包&Hackbar工具传递

 技术分享图片

 

XCTF-WEB-新手练习区(5-8)笔记

原文:https://www.cnblogs.com/SonnyYeung/p/12664080.html

(0)
(0)
   
举报
评论 一句话评论(0
关于我们 - 联系我们 - 留言反馈 - 联系我们:wmxa8@hotmail.com
© 2014 bubuko.com 版权所有
打开技术之扣,分享程序人生!