View-source 类:
例一:view_source
题目链接
https://adworld.xctf.org.cn/challenges/details?hash=a47bef3d-7ec7-4a18-b9d9-f7bacfecb17c_2&task_category_id=3
1、无法右击查看源代码
2、F12或Ctrl+u 发现flag
例二:[BSidesCF 2019]Futurella
题目链接https://buuoj.cn/challenges#%5BBSidesCF%202019%5DFuturella
发现页面中的符号可以选中,猜测是flag,然后查看源代码 ,得到flag
例三:key究竟在哪里呢?
题目链接http://lab1.xseclab.com/base7_eb68bd2f0d762faf70c89799b3c1cc52/index.php
1、查看源代码发现没有key
2、抓个包尝试一下
3、发送到repeater并send一下找到key
例四:头等舱
题目链接https://ctf.bugku.com/challenges/detail/id/77.html
1、查看源代码尝试一下
2、抓包
3、 发送到repeater并send一下,发现flag
前端绕过题:
例题1:disabled_button
1、发现按钮无法点击
2、怀疑前端设置格式问题,F12查看源代码 ,发现disabled
3、删除disabled,并再次点击按钮
例题2:计算器
题目链接https://ctf.bugku.com/challenges/detail/id/69.html
1、发现只能输入一位数 ,推测前端设置问题,F12查看源代码
2、发现设置输入最大长度是“1”,修改并重新验证
例题3:web3
题目链接https://ctf.bugku.com/challenges/detail/id/73.html
1、发现反复出现弹出
2、查看源代码,发现一行由html实体字符构成的注释,转换得到flag
HTTP字段分析
例题1:web基础$_GET
题目链接https://ctf.bugku.com/challenges/detail/id/70.html
使用get方式传参
例题2:web基础$_POST
题目链接https://ctf.bugku.com/challenges/detail/id/71.html
burp抓包并发送到repeater,右键请求更换模式,GET变为POST,在末尾隔一行输入what=flag,send一下得到flag
例题3:请求方式
题目链接https://www.ctfhub.com/#/skilltree
用burpsuite抓包
发送到repeater,看到请求方式为GET,我们改成CTFHUB,如果得到指示:HTTP Method Not Allowed的话,就请求index.php,最后send得到flag
例题4:key又找不到了
题目链接http://lab1.xseclab.com/base8_0abd63aa54bef0464289d6a42465f354/index.php
抓包尝试一下
发现一个新地址,进得到key
例题5:302跳转
题目链接https://www.ctfhub.com/#/skilltree
点击 Give me Flag 没有反应 ,抓包没有反应
例题6:Cookie
题目链接https://www.ctfhub.com/#/skilltree
只有admin才能获得flag,抓包试一下
将 0改为1试一下
例题7:HAHA浏览器
抓包 尝试一下
将Chrome改为HAHA
例题8:种族歧视
题目链接http://lab1.xseclab.com/base1_0ef337f3afbe42d5619d7a36c19c20ab/index.php
抓包
将语言改为en
