攻防世界XCTF-WEB入门全通关

为了更好的体验,请见我的---->个人博客

XCTF的web块入门区非常简单,适合一些刚解除安全或者对攻防世界XCTF-WEB入门全通关

3.b攻防世界XCTF-WEB入门全通关

4.cookie

根据抓包信息,让我们访问cookie.php
攻防世界XCTF-WEB入门全通关

访问cookie.php后提示我们See the http response。再抓个包看response
攻防世界XCTF-WEB入门全通关

成功定位目标

5.disabled_button

攻防世界XCTF-WEB入门全通关

查看前端代码
攻防世界XCTF-WEB入门全通关

直接删除disabled即可

6.weak_auth

题目描述:小宁写了一个登陆验证页面,随手就设了一个密码。

猜测弱密码,burp进行爆破,最后得出admin和123456

7.simple_php

这是一段简单的php代码审计

<?php   	show_source(__FILE__);   	include("config.php");   	$a=@$_GET['a'];   	$b=@$_GET['b'];   	if($a==0 and $a){   		echo $flag1;   	}   	if(is_numeric($b)){   		exit();   	}   	if($b>1234){   		echo $flag2;   	}   ?> 

GET请求传参,a值为0并且a不为0,b不能是数字也不能是数字字符串但是要大于1234

is_numeric : 如果指定的变量是数字和数字字符串则返回 TRUE,否则返回 FALSE,注意浮点型返回空值,即 FALSE。

http://111.200.241.244:57773/?a='0'&b=12345a 

8.get_post

非常无聊的一道题
攻防世界XCTF-WEB入门全通关

9.xff_referer

伪造xff和referer。
我们的ip需要为123.123.123.123 , 以及来源为google。
攻防世界XCTF-WEB入门全通关

10.webshell

webshell都帮你做好了,菜刀或者蚁剑直接连上去就能看到flag了。
攻防世界XCTF-WEB入门全通关

攻防世界XCTF-WEB入门全通关

11.command_execution

这是一个没有waf的命令执行。
攻防世界XCTF-WEB入门全通关

攻防世界XCTF-WEB入门全通关

12.simple_js

开屏弹窗,直接禁用js,查看源码,通过代码审计,发现真密码在最下面
攻防世界XCTF-WEB入门全通关

这是一串url编码,解码后又是一串ascii码,解码得到最终的flag

总结

新手区的这12道题目完全考验常识,是为了消除你对ctf的恐惧感,真正的ctf试题比这个难十倍以上,这12道题完全可以在10分钟内全部搞定,全当娱乐而已。

版权声明:玥玥 发表于 2021-08-24 23:53:27。
转载请注明:攻防世界XCTF-WEB入门全通关 | 女黑客导航