本文详细介绍了寒假期间参与CTF比赛的一些Web和Misc类挑战的解题过程,包括科学计数法构造payload获取flag、URL编码解密、HTTP头篡改、PHP MD5特性和流量分析等技巧,涉及多种安全知识点。
题目来源:https://ctf.bugku.com/
1.Web
根据给出的代码,num既不能是数字字符,但是要等于1,用一下科学计数法构建一个payload,得到flag
查看网页源代码,根据提示,把三段URL编码解密后连起来,提交就能得到flag
打开链接什么都没有,查看网页源代码还是什么都没有
用Burpsuite抓个包,发送到Repeater,点go
得到flag
根据提示,先试了一下在请求头中添加X-Forwarded-For,结果没用,然后试了一下修改请求头中的Referer(当前访问URL的上一个URL,就是用户是从什么哪个页面来到本页面),这里用到HackBar
得到flag:
flag{bug-ku_ai_admin}
根据提示,并利用php中MD5的特性(无法处理数组),得到flag
根据提示,进去之后直接查看网页源代码,当clicks>=1000000时得到flag
用hackbar,post一个clicks=1000000
得到flag:
flag{Not_C00kI3Cl1ck3r}
直接在header中添加X-Forwarded-For:127.0.0.1,得到flag
根据提示,这道题需要爆破获得密码
密码是五位数,那么设置为10000~99999
耐心等一会,就能爆破出密码
输入密码得到flag:
flag{bugku-baopo-hah}
Misc
根据提示应该和telnet协议有关,下载文件之后解压,里边是一个流量的信息文件,使用wireshark打开,右键追踪TCP流,得到flag
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
