ctf新手入门 课堂上同学出的两道题
level1
解题思路:由提示信息我们想到用爬虫spider和扫描robots目录开始
解题步骤:
第一步:由"机器人","robot"的提示词,我们想到一般网站都有一个防爬虫的目录robots,用御剑目录工具进行扫描,扫描结果如下:
进入http://43.142.241.50:8080/robot/robots.txt页面如下:
跳转url到 http://43.142.241.50:8080/robot/robots.txt/f1a9.zip下载fla9.zip并解压
第二步:在第一步的扫描后我们成功下载到fla9的zip,打开时却发现有密码
我们使用工具进行密码破解
基于模板的破解
破解成功得到密码:860834338
第三步:破解zip密码后我们打开发现一张平平无奇(gui ji duo duan)的图片,如下:
还好我们机智的队员提出图片隐写的思路:修改图片的高和宽
将图片拖入editor 找到它的宽高属性值
修改高度
最终成功得到flag
反思与总结:
第一步根据提示可以直接在域名后加/robots.txt进行访问文件,而不需要用到扫描工具;
第二步中已知部分密码,采用模板破解会节省时间消耗;
补充资料:
robot:初级CTF:robot writeup - 爱码网
图片隐写(持续更新)_[mzq]的博客-CSDN博客_图片隐写
level2
解题思路:通关需求是显示弹窗,根据提示xss,我们考虑xss攻击的绕过
查看网页源代码如下:
我们发现可以在输入框input的value值里面做文章
如果我们在value=""的冒号中间加上">,就可以闭合input标签
<input name=keyword value="">就可以变成<input name=keyword value="">">
再通过window.alert显示弹窗,用单标签如body、svg将其包括起来即可
如 "><body οnlοad= alert(1)>
弹窗成功
此时我们可以看到网页变为
补充资料:
CTF学习笔记——XSS攻击_Obs_cure的博客-CSDN博客_ctf xss