[TOC]

Misc

signin

登录网站,是个签到的题,根据提示直接让luo缺勤,其他全补签就可以了。(我第一次的时候还专门给其他人缺勤了,真是个好老师了。)

image-20240810151950359

罗小黑战记

考点:动态图片

下载文件,是个116张图组成的动图,一帧一帧看,看到一个二维码,扫一扫出flag。

image-20240810152201508

杂项入门指北

考点:摩斯密码

这个下载后是群里的入门文件和海报,线索在海报上,仔细观察就能看到摩斯密码。(找了好久才看到)

image-20240810152343047

image-20240810152357028

放进工具里解码。

image-20240810152505225

不知道哪里出了点小问题,多了个‘T1’,要删除前面的,删后面的不行(恼火)

ez-F5

考点:F5隐写

下载文件,是一个jpg文件,根据题目可知,应该是F5隐写工具。

在属性里找到备注信息

image-20240812184844735

是base64,解码后得到no_password,盲猜是F5的密码。

使用工具拿到flag。

image-20240812184708960

image-20240812184612024

web

Web渗透测试与审计入门指北

就用他给的文件搭建个环境,然后进网站就拿到flag。

弗拉格之地的入口

考点:爬虫管理

image-20240810152955144

关键词“爬虫”,马上想到/robots.txt。

image-20240810153043136

访问出flag。

image-20240810153122557

ez_http

考点:http基础

考察http基础知识(不难但复杂)。打开网站,根据提示进行输入。

image-20240810153501204

先post,再get。

image-20240810153400287

image-20240810153542605

这里困了我半天(汗)。要修改source,先pb进行抓包,修改referer就行。

为了方便,直接在重放器里面进行了。

image-20240810153825556

再是修改Cookie。

image-20240810153913196

image-20240810153935693

下一个是要修改浏览器,就是修改User-Agent。

image-20240810154052149

image-20240810154117863

然后是修改本地访问(幸好之前有笔记),在请求头里面添加 X-Forwarded-For:127.0.0.1 就可以了。

image-20240810154158461

image-20240810154233997

拿到flag。

image-20240810154330859

弗拉格之地的挑战

考点:http基础,查看源代码,控制台运行,上传木马,后台连接

打开网站,收集七颗龙珠。

image-20240810173418160

进入第一关,简单查看源代码。

image-20240810173447584

image-20240810173459995

进入第二关。查看网络请求包,发现线索。

image-20240810173551821

进入第三关。先get,再post,再修改Cookie变成admin。(修改身份验证就是修改Cookie)

image-20240810173729509

进入第四关。这里耍了个把戏。从他的意思知道要修改来源source,抓包修改referer就行。

image-20240810173856717

image-20240810174008816

正式进入第四关。

image-20240810174108333

这里点开始他怎么都是9。

image-20240810174140720

要想个法子,看源码。

image-20240810174225334

直接在控制台重构这个函数,将button.id改成8,然后点8就过关了。

image-20240810174319507

image-20240810174418710

这也提醒我前端的一切都可以更改。

接下来去第五关。

image-20240810174506622

先老实输入试试。

image-20240810174550396

emmmm…,好嘛,根据提示说前端不靠谱,估计又是要更改前端。找到控制函数修改。

image-20240810174717389

把false改成true就ok了。

image-20240810174807544

进入第六关(终于快到了)

image-20240810174914705

读代码,get一个,post一个,但基本都是用get的判断。大致意思就是不能匹配小写flag,但是必须匹配到flag,大小写都可以,所以只有大写传入了。

进入第七关(文件上传漏洞雏形,使用中国蚁剑)

image-20240810175150389

第一反应,这不就是直接输入命令嘛,试试。

image-20240810175256329

没看到什么有用的,直接找flag试试。

image-20240810181009670

本来能找到的,不知道为什么又找不到了(恼火)

用蚁剑算了。

image-20240810181114495

网站就是当前网址,连接密码就是参数名。连上过后双击进去,然后找到flag。

image-20240810181252784

这里有个小彩蛋。

image-20240810181318978

说实话才看到还是挺大感触的。作为一个新手,靠自己一步一步的解出来题,成就感还是蛮大的。

最后将7个flag合在一起,解码,就得到flag了。

image-20240810181436782