记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

Xctf-web新手区下

2021-03-19 12:57

8 .get_post1616120820_60540bf461ee6ec2ee897.png!small

1.首先开始分析题

2.然后使用hackbar,提交一个a=1, 然后改为post。然后执行,发现了flag。
1616120820_60540bf462112f3a06bec.png!small

9.xff_referer

题目描述:X老师告诉小宁其实xff和referer是可以伪造的。

1616120820_60540bf46343b5476548f.png!small

1.利用X-Forwarded-For Header 工具可以改主机IP地址

1616120855_60540c173840131656d48.png!small

2.使用burp,然后进行该包

1616120869_60540c25461d7707223d4.png!small

3.将抓到的包发送到Repeater重放模块,进行改包,在Request添加“Referer:https://www.google.com”,点击Go,在Response得到答案。

1616120882_60540c3291ceb1a88fbfc.png!small

10 Webshell

1.首先进入题目

1616120899_60540c4399c96feaebdd9.png!small

2.使用webshell-蚁剑连接。根据一句话木马提示,密码为shell

1616120911_60540c4f13ec048026eea.png!small

3.然后看到了flag.txt

1616120925_60540c5d1768f29031525.png!small

4.然后看到了flag.txt的内容。

1616120938_60540c6a51b2cd2c76752.png!small

  1. commadn_execution

1616120961_60540c8192ef4fa7a125f.png!small

1.根据提示,然后ping 127.0.0.1 本机地址,测试能否ping通。

1616120980_60540c94ce84494cb53e8.png!small

2.然后使用&&语法,联合使用ls查询

3.然后使用../../.../home,查看home目录下的内容

1616121013_60540cb51b836bb6c7882.png!small

4.然后使用联合语句使用cat查看flag.txt

1616121030_60540cc6a2977aeab867b.png!small

12.simple_js

1616121043_60540cd387378484b9013.png!small

1.首先随便输入一个密码。然后使用f12 查看源代码

1616121056_60540ce0e77cf84068022.png!small

2.然后进行分析代码。

1616121070_60540cee64bb7d957372c.png!small

3.使用python,将字符串转换为url编码

s="\x35\x35\x2c\x35\x36\x2c\x35\x34\x2c\x37\x39\x2c\x31\x31\x35\x2c\x36\x39\x2c\x31\x31\x34\x2c\x31\x31\x36\x2c\x31\x30\x37\x2c\x34\x39\x2c\x35\x30"

print(s)

1616121080_60540cf8b45ae5a1959d8.png!small

4.将这串数字进行ASCII码转换得:786OsErtk12

根据提示flag格式为Cyberpeace{xxxxxxxxx} ,提交Cyberpeace{786OsErtk12}得到正确答案。


知识来源: https://www.freebuf.com/articles/web/266759.html

阅读:65545 | 评论:0 | 标签:CTF

想收藏或者和大家分享这篇好文章→复制链接地址

“Xctf-web新手区下”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

标签云 ☁