首页 > Web开发 > 详细

Syclover 第十次极客大挑战web题题解

时间:2019-11-17 13:48:00      阅读:397      评论:0      收藏:0      [点我收藏+]

这次有空的时候报名参加了一下三叶草的招新比赛,比赛时间是一个月,题目都挺基础挺好玩的,在这里记一下自己的题解同时把自己没有做的题目也跟着writeup做一遍

 

第一题:cl4y:打比赛前先撸一只猫!: 猫猫陪我打ctf!

技术分享图片

 

 到了页面之后审查元素。发现源代码里面有提示:

技术分享图片

 

 这里我们需要使用get请求让cat这个变量等于dog,就可以得到flag

技术分享图片

 

 

第二题:cl4y:你看见过我的菜刀么

技术分享图片

 

 进入页面之后很明显是一句话木马,白送的flag

菜刀使用Syc密码连接

技术分享图片

 

 在根目录下有flag这个文件夹,里面的flag.txt就是flag

技术分享图片

 

 

第三题:Lamber:BurpSuiiiiiit!!!: 拿起你的burp,开始战斗吧

 

提示了是使用burpsuite,下载了分享的文件之后打开是一个jar包,想起来burpsuite有增加扩展的功能,导入这个Extender包

也就是在burpsuite的extender的extensions选项里面选择Add

技术分享图片

 

 添加了之后有一个output

技术分享图片

 

 并且提示我们去看error page

里面就有:

OK, I‘ll give you the flag now. Here is your flag Syc{BurpExtender_Are_guns_F0r_Hack3rs}

当然,下面还有一句base64编码的话,解码后如下:The first person to send a screenshot of the egg to Lamber, who will invite him to drink milk tea. Ps:Color Egg in Decompiled Source Code

第一个发现彩蛋的人Lamber会请他喝奶茶

这个彩蛋是在jar的反编译源码里面的

我之前做这个题的时候找到了彩蛋,这里就不赘述了

 

有空在更

Syclover 第十次极客大挑战web题题解

原文:https://www.cnblogs.com/Cl0ud/p/11876018.html

(0)
(0)
   
举报
评论 一句话评论(0
关于我们 - 联系我们 - 留言反馈 - 联系我们:wmxa8@hotmail.com
© 2014 bubuko.com 版权所有
打开技术之扣,分享程序人生!