#14 web4 (80)

打開題目地址,如圖:

提示讓看看源碼
那麼,按F12,

這好像是10進制還是啥的,
那麼看這一句eval(unescap(p1)+unescap('%35%34%61%61%32' + p2));

這句話就是把p1和'%35%34%61%61%32'和p2連接起來
放到Converter中解碼(注意拼接順序)

點擊那個Hex to Text,我試出來的,(￣▽￣)"
格式化一下代碼,如下:

function checkSubmit(){
    var a=document.getElementById("password");
    if("undefined"!=typeof a){
        if("67d709b2b54aa2aa648cf6e87a7114f1"==a.value)
            return!0;
    alert("Error");
    a.focus();
    return!1
    }
}
document.getElementById("levelQuest").onsubmit=checkSubmit;

好了有了源代碼,那麼就簡單了
這段代碼就是說如果password==67d709b2b54aa2aa648cf6e87a7114f1
就好了,填入框框中submit

KEY就拿到了

#13 管理員系統 (60 point)

打開題目地址,如圖

嗯, 沒啥想法,先按F12,

果然,這裏有東西,不過好像是base64編碼的東西,可以在線解密,也可以用py工具解碼(需要先安裝python3,然後加入到環境變量中)

這個test123 應該是密碼了

額,IP不對,必須本地登陸,本地就是127.0.0.1,那麼用burp把訪問地址改成127.0.0.1把
打開firefox和burp,輸入網址並訪問,然後填入賬號和密碼
把burp設置爲監聽,然後submit
這樣burp就捕捉到了請求,
右鍵發送到Repteaer
在HTTP頭的下面填入 X-Forwarded-For : 127.0.0.1
記得和圖中的一樣,與下面的post數據中間留一行的距離

點擊Go,flag就出來了

#12 網站被黑 (60 point)

進入題目地址,如圖:

是一個黑頁,嗯,一個網址被黑了,那麼應該會被上傳shell,那麼直接御劍掃描後臺

掃描出shell.php,打開鏈接是一個webshell

額,嘗試一下弱密碼,不行

那就只能爆破了
打開firefox和burp
打開題目地址,輸入123(隨便)
然後把burp調到監聽,再在firefox中點擊登陸
然後burp就捕捉到這一次請求了

右鍵發送到爆破模式

在Payloads中設置
Payload type爲Simple list
點擊下三角,選擇Passwords

然後再Options中設置多一點線程,能快一點,(視情況而定)

然後在Intruder菜單中點擊Start attack開始爆破

然後等待一會,因爲大多數的密碼都是不對的,那麼大多數的返回值都是一樣的,那麼這些返回值的Length也是一樣的,那麼正確的那個密碼的返回值就會和其他的不一樣,那我們按Length排序,就可以把正確的返回拍到最上面,或最下面,(也有可能在其他地方,這不重要)
這裏可以看到第1944次Request中Payload爲hack的那一次,Length與其他的不同,那麼點擊查看一下,果然,flag出來了

#11 頭等艙 (60 point)

進入題目地址後,如圖:

不過題目是頭等艙,猜想flag可能在http頭中
用burp抓包就行了
設置firefox代理,然後打開burp,設置監聽
在firefox中輸入題目地址
burp就接受到請求了

注意一下網址對不對
然後右鍵發送到Repeater中點擊GO

flag就在HTTP頭中

#10 變量1 (60 point)

進入題目地址:

是一道代碼審計,大意如下:
如果GET中有參數args
那麼獲取args
如果匹配args中有字母
輸出$$args

flag在變量中，我們看到 $\text{[math]}$ 我們知道容易引發變量覆蓋
還有一段正則表達式 /^\w+$/
進行過濾不會的可以百度或者Google
[a-z0-9A-Z] 以外的都不行我們 get傳入args
我們讓args=GLOBALS 全局數組變量關於這個變量可以百度Google
$args=GLOBALS 又和var_dump($$args) 前面那個$ 組成$GLOBALS
flag變量又在$GLOBALS中，var_dump eval 成功得到flag