Xctf-web新手区下 – 作者:pony686

8 .get_post1616120820_60540bf461ee6ec2ee897.png!small

1.首先开始分析题

2.然后使用hackbar,提交一个a=1, 然后改为post。然后执行,发现了flag。
1616120820_60540bf462112f3a06bec.png!small

9.xff_referer

题目描述:X老师告诉小宁其实xff和referer是可以伪造的。

1616120820_60540bf46343b5476548f.png!small

1.利用X-Forwarded-For Header 工具可以改主机IP地址

1616120855_60540c173840131656d48.png!small

2.使用burp,然后进行该包

1616120869_60540c25461d7707223d4.png!small

3.将抓到的包发送到Repeater重放模块,进行改包,在Request添加“Referer:https://www.google.com”,点击Go,在Response得到答案。

1616120882_60540c3291ceb1a88fbfc.png!small

10 Webshell

1.首先进入题目

1616120899_60540c4399c96feaebdd9.png!small

2.使用webshell-蚁剑连接。根据一句话木马提示,密码为shell

1616120911_60540c4f13ec048026eea.png!small

3.然后看到了flag.txt

1616120925_60540c5d1768f29031525.png!small

4.然后看到了flag.txt的内容。

1616120938_60540c6a51b2cd2c76752.png!small

  1. commadn_execution

1616120961_60540c8192ef4fa7a125f.png!small

1.根据提示,然后ping 127.0.0.1 本机地址,测试能否ping通。

1616120980_60540c94ce84494cb53e8.png!small

2.然后使用&&语法,联合使用ls查询

3.然后使用../../…/home,查看home目录下的内容

1616121013_60540cb51b836bb6c7882.png!small

4.然后使用联合语句使用cat查看flag.txt

1616121030_60540cc6a2977aeab867b.png!small

12.simple_js

1616121043_60540cd387378484b9013.png!small

1.首先随便输入一个密码。然后使用f12 查看源代码

1616121056_60540ce0e77cf84068022.png!small

2.然后进行分析代码。

1616121070_60540cee64bb7d957372c.png!small

3.使用python,将字符串转换为url编码

s=”\x35\x35\x2c\x35\x36\x2c\x35\x34\x2c\x37\x39\x2c\x31\x31\x35\x2c\x36\x39\x2c\x31\x31\x34\x2c\x31\x31\x36\x2c\x31\x30\x37\x2c\x34\x39\x2c\x35\x30″

print(s)

1616121080_60540cf8b45ae5a1959d8.png!small

4.将这串数字进行ASCII码转换得:786OsErtk12

根据提示flag格式为Cyberpeace{xxxxxxxxx} ,提交Cyberpeace{786OsErtk12}得到正确答案。

来源:freebuf.com 2021-03-19 10:32:48 by: pony686

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论